Crime as a Service: Cybercrime, Ransomware und KI im Visier des BKA (mit Carsten Meywirth)

00:00:02: Tech, KI und Schmetterlinge.

00:00:03: Ein Podcast von Sascha Lobo in Zusammenarbeit mit Schwarz-Digits.

00:00:07: Guten Tag und herzlich willkommen zu einer neuen Ausgabe von Tech, KI und Schmetterlinge.

00:00:13: Dem Podcast von mir, Sascha Lobo in Zusammenarbeit mit Schwarz-Digits, dem Digitalarm der Schwarzgruppe.

00:00:21: Und das Thema heute ist eins, das viele Menschen intensiv umtreibt, nämlich Cybercrime.

00:00:29: Genau genommen sogar Cybercrime in engeren Sinn, also Straftaten gegen IT-Systeme.

00:00:36: Und mein Gast ist Carsten Maywirt.

00:00:39: Carsten, kannst du vielleicht kurz dem Publikum erklären, was genau du tust und im Nachgang sogar warum?

00:00:45: Ja, hallo Sascha.

00:00:46: Ich freue mich heute dabei zu sein, Carsten Maywirt.

00:00:49: Ich bin Direktor beim Bundeskriminalamt und leite die Abteilung Cybercrime.

00:00:54: Unsere Mission in der Abteilung Cybercrime beim Bundeskriminalamt ist Strafverfolgung.

00:00:58: Das heißt, wir sind auf der einen Seite Zentralstelle.

00:01:02: Der Deutschen Cybercrime Bekämpfung unterstützen die Länder bei ihren Ermittlungsverfahren und bei ihrem Engagement bei der Bekämpfung von Cybercrime.

00:01:09: Versorgen Sie mit Informationen und Kontakten auch im Ausland.

00:01:13: Und unser zweites Standbein sind die Ermittlungen.

00:01:16: Wir führen auch selbst Ermittlungsverfahren.

00:01:18: Die sind originär nach dem BKA-Gesetz zuständig für Cyberangriffe.

00:01:22: auf kritische Infrastrukturen in Deutschland und auf Bundesbehörden und Bundeseinrichtungen.

00:01:27: Hier ermitteln wir selbst und dieses Ermitteln gestaltet sich sehr komplex.

00:01:34: Wir haben die sehr gefährlichen, sehr bedrohlichen Sabrequem-Akteure im Blick.

00:01:41: Dazu braucht man eine Menge an Ressourcen, an Personal, an Ausstattung.

00:01:45: Und ich glaube, es ist uns in der Vergangenheit ganz gut gelungen, hier die entsprechenden Akteure zu adressieren.

00:01:51: Da werden wir auf jeden Fall darüber reden, nämlich der Eindruck, den manche Leute haben, ich auch.

00:01:56: Ich verfolge das ja zum Teil auch beruflich einfach, was die Digitale Sphäre in diesem Bereich so unternimmt.

00:02:01: Aber der Eindruck, den viele Leute haben, dass Deutschland bis vor einem, sagen wir mal, Zeitraum X nicht besonders weit war, dass da aber einiges passiert ist.

00:02:11: Dass also wie in so vielen Bereichen Deutschland lange relativ Darf ich sagen, schläfrig unterwegs war, auch was die Bekämpfung von Cybercrime angeht.

00:02:20: Aber dann irgendwann haben die Leute gemerkt, wow, das ist so ein großes, so ein wichtiges Feld.

00:02:24: Jetzt müssen wir der ernsthaft ran gehen.

00:02:27: Wann bist du denn dazugekommen?

00:02:29: Ich bin in den Jahren... Arbeitsbereich, damals haben wir aus einer relativ kleinen Einheit eine Gruppe in der Abteilung schwerer und organisierte Kriminalität zur Bekämpfung von Cybercrime eingerichtet.

00:02:43: Ich war acht Jahre zuvor in unserer Enterprise-IT-Abteilung.

00:02:48: Und dann haben wir uns im Bundeskriminalamt, im Jahr two-tausendzwanzig, entschieden, diesen Phänomenbereich Bekämpfung der Cybercrime auf Abteilungsniveau.

00:02:57: zu heben.

00:02:58: und seit Jahrzehnte sind wir eine von elf Abteilungen im Bundeskriminalamt und eine von vier Fachabteilungen.

00:03:06: Die anderen drei Fachabteilungen bekämpfen schwere organisierte Kriminalität, Staatsschutzdelikte und Terrorismusdelikte.

00:03:15: Mit dieser Anhebung auf Abteilungsniveau ging auch einher eine bessere finanzielle und personelle Ausstattung.

00:03:21: Wir haben hier ganz klar die Bedrohung erkannt und einen Schwerpunkt gesetzt.

00:03:26: Wenn man sich jetzt erstmal so ran tastet an dieses Thema, das ja sehr sehr vielfältig ist, dann gibt es unterschiedliche Zahlen dazu, wie stark Cybercrime schäden verursacht in Deutschland und auch weltweit.

00:03:39: Was man zum Beispiel erstmal sagen kann, ist, dass ihr das Bundeslagebild Cybercrime jedes Jahr rausgebt.

00:03:46: Und da ist erstmal so eine normale, in Anführungszeichen, Kriminalstatistik.

00:03:51: Die sagt, wie viele Fälle gab es eigentlich?

00:03:53: Das sind über hundertdreißig tausend Fälle, die im Jahr zwei tausend vierundzwanzig geschehen sind.

00:03:59: Aber wie groß ist denn die Größenordnung des Schadens, der durch Cybercrime entsteht?

00:04:04: Ja, der Schaden wird ehrlich beziffert von einer Erhebung, die die Bitcoin durchführt.

00:04:11: Und die Bitcoin ist hier in zwei tausend vierundzwanzig zu einer Summe von.

00:04:16: sage und schreibe, einhundert und siebzig Milliarden Euro gekommen an Schäden durch Cybercrime für die deutsche Wirtschaft in einem Jahr.

00:04:24: Ich finde, eine sehr bemerkenswerte Zahl, die ist im Vergleich zum Vorjahr nochmal um dreißig Milliarden angestiegen.

00:04:31: Und wenn man sich die Zahl mal anguckt und mal ein bisschen vergleicht, das sind vier Prozent der deutschen Wirtschaftsleistung.

00:04:37: Ja, ich habe das mal versucht, einzusortieren, was Cybercrime allein in Deutschland für Schäden macht, dass das eben gerade skizziert mit fast hundred-achtzig Milliarden Euro pro Jahr, um das in eine Relation zu setzen, dass es etwa so viel wie die gesamte Tourismusbranche und die gesamte Farmerindustrie zusammengenommen.

00:04:59: Ja, das ist die Größenordnung.

00:05:01: von Cybercrime und das nach einer Erhebung, die tatsächlich als sehr valide gilt.

00:05:07: Das ist jetzt nicht über einen Daumen gepeilt, sondern das ist bis in die Details ausgerechnet.

00:05:10: Der Bitcoin als Branchenverband hat natürlich ein großes Interesse rauszufinden, wie viel Schaden entsteht da, einfach um auch einschätzen zu können, wie stark muss man dagegen steuern und wie viel Geld kann man und muss man ausgeben, um das zu verhindern.

00:05:21: Also Tourismusbranche plus Pharmaindustrie in Deutschland ist so groß wie schädend durch Cybercrime.

00:05:29: Und das ist vielleicht auch genau der Brückenschlag, den wir brauchen, wenn wir uns den ersten großen Themenfokus mal ansehen.

00:05:38: Die meisten Menschen, die Sanger mal seit zehn, seit fünfzehn oder seit X Jahren das Internet verfolgen, haben immer so mit halben Auge auf Kriminalität im Netz geschaut.

00:05:49: Manche sind vielleicht selbst schon mal Opfer geworden von irgendeinem Kreditkartenbetrug oder irgendeiner Attacke, Fishing oder was auch immer.

00:05:57: Man hat vielleicht auch schon mal gehört davon, dass jemand im Bekanntenkreis irgendwelche ungünstigen Daten in ungünstige Seiten eingegeben hat.

00:06:04: Aber da gab es eine Entwicklung, die an den meisten Menschen vorbeigegangen ist.

00:06:08: Und diese Entwicklung wollen wir jetzt besprechen, nämlich... Crime as a Service.

00:06:15: Das ist die Digital Crime Economy, so könnte man das nennen.

00:06:19: Es hat sich aus einer Vielzahl von Einzelverbrechern im Cybercrime Bereich und auch Verbrechergruppen, auch organisierte Kriminalität gibt es im Internet schon eine ganze Weile, spätestens seit den Neunzigern, aber daraus hat sich ein echter eigener Wirtschaftszweig entwickelt.

00:06:36: Und das Interessante und gleichzeitig Bestürzende ist, dass dort in dieser Wir haben eben von der Größe gehört, dass jetzt in der dunklen Seite der Wirtschaft Nicht nur ganz eigene Gesetze gelten, sondern auch eine Vielzahl von ganz klassischen Dienstleistungen angeboten werden.

00:06:55: Die meisten natürlich anonym über das Netz oder über das Darknet, da gibt es eine ganze Reihe von Instrumenten.

00:06:59: Aber da gibt es vom Steuerberater für Kriminelle über die Möglichkeit, bestimmte kriminelle Instrumente zu mieten und sich auszuleihen, bis hin zu der Garantie für Verkäufer von kriminellen Instrumenten, dass wenn es nicht klappt, du in kürzester Zeit einen Ersatz bekommst.

00:07:17: Er hat sich eine richtige Crime Economy gebildet.

00:07:21: Ja, genau so ist das Crime as a Service bezeichnen wir das.

00:07:24: Wir sagen auch, das ist die Underground Economy.

00:07:26: Und wenn man zurückblickt in die Vergangenheit, dann markiere ich mal das Jahr zwei Tausend Fünfzehn.

00:07:32: Das war so ein Game Changer für die Cybercrime Szene vorher.

00:07:37: Da war die Szene so beherrscht von den Scriptkittys, von den Hooditypen, wie man sich das so in den Büchern damals oder in den Fernsehsendungen vorgestellt hat.

00:07:46: Und ab zwei Tausend Fünfzehn haben die sich anders organisiert.

00:07:50: Sie haben, wie du das eben auch ausgeführt hast, eine kriminelle Dienstleistungsgesellschaft errichtet.

00:07:56: Es sind kriminelle Dienstleister da.

00:07:57: Niemand von den Cyberkriminellen muss mehr eine Straftat von A bis Z selbst organisieren, sondern er kann sich Kriminelle Dienstleister nehmen.

00:08:08: und einzelne Module seiner Straftat einkaufen.

00:08:12: Wir im Bundeskriminalamt unterscheiden da neun Säulen.

00:08:16: Da gibt es die Ballett-Proof-Hoster.

00:08:18: Das heißt, das sind die, die die Serber zur Verfügung stellen.

00:08:21: Cyberkriminelle brauchen eine Infrastruktur.

00:08:23: Die müssen Dienste hosten, die müssen halt Serber anmieten.

00:08:27: Das sind dann die Reseller, der Reseller, der Reseller von eigentlich legalen Serber vermietern.

00:08:33: Und am Ende steht halt einer, der nimmt ein bisschen mehr anmietet.

00:08:37: und die Cyberkriminellen zahlen das.

00:08:39: Und dafür hält er den Server Ballettpuff.

00:08:42: Es gibt die Foren, das ist so, wenn man so will, wenn man das mal mit der Analogenwelt vergleicht, das Örtliche für die Cyberkriminellen, wo die sich treffen, wo die ihre Dienste anbieten.

00:08:51: Das Örtliche muss man vielleicht den jüngeren Zuhörenden erklären.

00:08:54: Das war früher mal ein großes Verzeichnis aus Papier.

00:08:57: ... in dem Adressen Telefonnummern und Kontaktdaten drin standen.

00:09:02: Ja, dass wir bei der Kasten, wir sind ja noch ein bisschen ältere Generation, aber jüngere Menschen, die kennen das nicht mehr, da muss man einfach mal sagen, es ist halt im Prinzip wie Ksing oder LinkedIn, dann würde man so sagen.

00:09:13: Ja, oder wenn man einen Geburtstag wissen will, dann kann man sich auf dieser antiken Plattform Facebook einloggen und da stehen ja noch viele Geburtstage.

00:09:20: Genau, das örtliche, also sorry, dass ich da dich unterbrochen habe.

00:09:24: Das ist wirklich wichtig.

00:09:24: Es geht ein bisschen moderner weiter.

00:09:26: Das sind die Angebote und dann geht es auf Jabba-Strukturen weiter.

00:09:30: Da tauscht man sich dann aus auf den Kanälen.

00:09:33: Natürlich entsprechend abgesichert die Kommunikation mit allen Möglichkeiten, die das Internet bietet, Anonymität und Verschlüsselung.

00:09:39: Es gibt die Marktplätze, auf denen Daten gehandelt werden, gestohlene Daten oder alles einkaufen kann, Zugangsdaten, Passwörter, Nutzernamen.

00:09:48: Kreditkarten, Banking-Accounts und dann kannst du damit mal schön einkaufen gehen auf die Kosten anderer.

00:09:54: Es gibt die kleine Gruppe der Initial Access Broker.

00:09:58: Codstrike hat festgestellt mittlerweile auch sehr stark angestiegen.

00:10:01: Viertausend Fünfhundert Angebote, die einfach nichts anderes machen als Zugänge zu Systemen, sich zu erarbeiten und die dann weiterverkaufen.

00:10:10: Das heißt Zugangsdaten mit entsprechenden Passwörtern.

00:10:13: Es gibt die Malware Coder, die die Malware entwickeln.

00:10:16: Es gibt die Krypta dann die diese Malware verschleiern also quasi umlackieren des Tatfahrzeugs so in der aus der analogen Welt gesprochen.

00:10:27: und dann die Counter Antivirus Dienste die auch eine Abo Modell anbieten und die diese Malware die gekryptete Malware gegen die Antivironsysteme laufen lassen.

00:10:37: und wir sagen hier ist Proof hat keine einzige Malware Dienst angeschlagen, du kannst die einsetzen und sicher sein, dass die nicht detektiert wird.

00:10:47: Und dann gibt's die Drops, Mules und Cash-Out-Dienste.

00:10:50: Das heißt, die dafür sorgen, dass du deine Ware bekommst, ohne dass ein Spur zu dir führt.

00:10:57: Und dann gibt's die Exchanger, die dann dafür sorgen, dass jede Währung in eine jeweils andere Währung umgesetzt werden kann.

00:11:06: Und auch hier sich die Spur im Bezug auf deine Identität verliert.

00:11:11: Es hört sich alles an wie so ein Crash Course Wirtschaftslehre entlang der Wertschöpfungskette.

00:11:18: Also Crime as a Service, einfach mal die gesamte kriminelle.

00:11:24: Economy neu aufgeleist, auch Arbeitsteilung, das ja eine Erfindung, die im Prinzip überhaupt erst die Zivilisation, wie wir sie heute kennen, ermöglicht hat.

00:11:34: Hochspezialisierte Leute, die jeweils ihre Dienste anbieten.

00:11:37: Das ist ein großer Vorteil.

00:11:39: Wo sind denn aus deiner Sicht die neureigischen Punkte in diesem Crime as a Service Modell?

00:11:46: und zwar nicht.

00:11:47: Als wo kann man angreifen?

00:11:49: Da glaube ich jetzt nicht, dass du die intimsten Geheimnisse des BKA im Bereich Cybercrime so einfach verraten möchtest, obwohl wir dafür sehr offen wären, sondern wir die neuralgischen Punkte, wo setzen die an in unserer heutigen digitalen Gesellschaft?

00:12:00: Also wo können die am schmerzhaftesten inzwischen eingreifen, weil sie diese Arbeitsteilung und Professionalisierung und Internationalisierung hinter sich haben?

00:12:09: Wenn du dir das mal anguckst beispielsweise die kill chain von ransomware Akteuren.

00:12:14: Kannst du erklären kurz kill chain?

00:12:16: kill chain ist so ja wie ransomware.

00:12:18: Akteure agieren wie sie sich ihre service ist einkaufen und wenn sie eigentlich erst so auf die bühne.

00:12:25: Rensenwerkteure sind ja die, die deine Systeme kompromittieren, sich in den Systemen umgucken, deine Daten exfiltrieren und die Systeme dann verschlüsseln und dann ein Lösegeld von dir erpressen, dass du die Daten wieder entschlüsseln kannst.

00:12:40: Und wenn du dir diese Killchain anguckst, wie die ihre Taten organisieren, dann steht am Anfang der Killchain der Initial Access Broker, derjenige, der sich Zugangsdaten verschafft.

00:12:49: Nutzernamen, Passwörter, entsprechendes, der aber nichts damit macht, sondern diese Nutzungsdaten auf Marktplätzen verkauft.

00:12:57: Und dann kommen die Dropper und Loader Gruppierungen und nutzen diese Zugangsdaten, die sie gekauft haben, um eine Malwehr auf die Systeme zu bringen.

00:13:07: Diese Malwehr ist ein Dropper oder ein Loader, macht aber auch sonst weiter nichts, sondern diese Gruppierungen vermieten diese Malwehr, die auf den Systemen sich befindet nach einer initialen Kompromittierung.

00:13:20: an, beispielsweise Rensenwerkteure.

00:13:22: und erst jetzt betreten Rensenwerkteure die Bühne und schieben ihre Malwehr über diesen Tropper oder Loader auf das System.

00:13:32: und dann fängt das Geschäft der Rensenwerkteure an, die gucken sich da um und die exfiltrieren die Daten und dann betreiben die kriminelles Business.

00:13:40: und am Ende steht dann eine Erpressung erst.

00:13:43: So ein Zusammenspiel findet hier statt.

00:13:45: Viele Angriffe beginnen ganz traditionell mit Fishing-Attacken.

00:13:50: Das passiert nach wie vor recht traditionell.

00:13:54: In aller Munde sind Zero Days und Exploits und ähnliches aber relativ teuer.

00:13:58: und unsere kriminellen Akteure, die arbeiten sehr ökonomisch und die gehen lieber mit dem Schleppnetz raus, organisieren Fishing-Attacken, beobachten dabei sehr genau gesellschaftliche Entwicklungen und nutzen die Narrative bei dieser gesellschaftlichen Entwicklung um ihre Fishing Mails auch wirklich echt aussehen zu lassen und möglichst authentisch daherzukommen.

00:14:22: Du hast gerade eben einen sehr wichtigen Begriff nicht nur bei Hackern, sondern eigentlich in der gesamten digitalen Sphäre und das Recht in dem Cybercrime Bereich genannt Zero Day oder genannten Zero Day Exploits.

00:14:35: Das kann man vielleicht nochmal erklären.

00:14:36: Das ist nichts anderes als ein bisher unentdeckter, zumindest vom Hersteller einer Software, unentdeckter Fehler.

00:14:45: der sich umgehend ausnutzen lässt.

00:14:48: Weil Zero Day, das kommt daher.

00:14:50: die Firma, die dieses Angebot, dieses Software anbietet, hat bisher null Tage Zeit gehabt, um einen entsprechenden Patch herzustellen.

00:14:57: Ein Patch ist immer eine Art Flicken, den man als Lösung auf eine schadhafte Software drauf klatscht.

00:15:04: Und das Interessante daran ist, dass es eine ganze Reihe von sogenannten Zero-Day Exploits schon gab, die auch ausgenutzt würden.

00:15:13: Eine relativ bekannte ist zum Beispiel jetzt gerade im Juli.

00:15:17: erst offenbar geworden, da hat eine Sicherheitsfirma namens ESET herausgefunden, dass es einen Winrar Zero Day gibt.

00:15:26: Winrar ist eine sehr viel benutzte Software, die Fehler auf dem PC haben und die ist angreifbar mit einem bis dahin komplett unentdeckten Fehler.

00:15:36: und die haben ein bisschen nachgeforscht und gemerkt, aha, tatsächlich wird diese Lücke in Winrar.

00:15:41: auch echt ausgenutzt.

00:15:43: Das heißt, was ziemlich sicher passiert ist, ist, dass auf irgendeinem Marktplatz im Darknet, meinetwegen, dieser Zero Day exploit, also dieser ausnutzbare Fehler in Winrar irgendwann vor einiger Zeit verkauft worden ist für eine Summe X und dann haben Leute angefangen, den auszunutzen.

00:16:01: Wie kann man das ausnutzen, indem man Rechner, die dieses Software haben, versucht anzusteuern und dann diesen Fehler benutzt, um in das System hineinzukommen.

00:16:12: Und was kann man dann machen?

00:16:13: Dann kann man eine ganze Reihe von Dingen tun.

00:16:15: Im Idealfall aus krimineller Sicht kann man einen solchen Rechner übernehmen und dann von dort aus quasi anonym alles machen, was man mit einem Rechner machen kann.

00:16:25: Das ist eine Dimension, eine andere Dimension wäre ein ganz normal, in Anführungszeichen Daten zu klauen.

00:16:30: Zum Beispiel Kreditkartendaten.

00:16:32: Eine dritte Dimension wäre, den Rechner auszuspähen und einfach erst mal mitlaufen zu lassen, was passiert da dann so alles?

00:16:37: Vielleicht kriege ich ja noch viel interessanterer Daten, als nur irgendwie so einen schmalen Paper-Zugang, der irgendwie nach zweimal ausnutzen, dann wieder gesperrt ist.

00:16:43: Das sind also die verschiedenen Methoden.

00:16:45: Und das Einfallstor ist in vielen, nicht in allen Fällen, weil es wie gesagt sehr teuer ist, so einen Fehler zu kaufen, aber in vielen großen Fällen so ein Zero-Day.

00:16:56: und diese zero day exploit sind eher so das business der staatlich gelenkten aktöre die einfach mehr finanziellen background haben.

00:17:04: unsere crime aktöre machen das zwar auch.

00:17:06: es gibt ein paar ransomware kopierung.

00:17:08: die gehen so vor aber die allermeisten arbeiten eher mit diesem schleppnetz phishing males raus.

00:17:13: tausende von phishing males gehen raus irgendeiner klickt drauf dann sortieren die.

00:17:17: das fällt weil diese ransomware aktöre die gehen nach dem motto vor dass wir als big game hunting bezeichnen das heißt die sortieren ihre opfer.

00:17:26: es ist ja auch ein mythos dass eine renzenwert gruppierung ein bestimmtes unternehmen eine bestimmte behörde angreift.

00:17:33: so gehen die in der regel nicht vor sondern die gehen mit dem schleppnetz raus gucken wen sie kriegen.

00:17:38: wer klickt auf den.

00:17:40: maliziöses Dokument auf den Link, dann sortieren die das Feld und das machen die danach, wo sie den meisten Profit erwarten, diese Unternehmen kommen nach oben und die anderen kommen weiter nach unten und dann wird die Range abgearbeitet von den operativen Einheiten der Renz- und Wehrgruppierung, die teilweise mehr als hundert Mitglieder haben.

00:18:00: Also die großen Renz- und Wehrgruppierung, die Core Groups, steht jetzt nicht von den Affiliates, die diese ransomware mieten und ihre eigenen Zwecke nutzen, ich meine die Core Groups, die bestehen dann teilweise aus mehr als hundert Mitgliedern.

00:18:13: Wir wollen noch mal ganz kurz reingehen in diesen Begriff ransomware.

00:18:18: ransomware ist mit Sicherheit die größte Subbranche, kann man sagen, Teilbranche im Cybercrime Business.

00:18:29: Ransomware ist, dass das eben schon erklärt, eine Form von Erpressung, wo man versucht, ein System reinzukommen, bestimmte Daten zu verschlüsseln.

00:18:37: Und wenn man diese Daten dann benutzen will, als Unternehmen oder als Institution, dann muss man ein Lösegeld zahlen.

00:18:43: Das ist vielleicht ganz interessant.

00:18:44: Hier kann ich an dieser Stelle mal zugeben, dass ich als jemand, der beruflich sich um die digitale Sphäre kümmert.

00:18:49: Ja, schon sehr lange einfach auch gewissermaßen die Pflicht habe, mich in diesem Cybercrime-Bereich umzutun, als ich das erste Mal von ransomware gehört habe.

00:18:59: Ich würde sagen, Anfang der zehner Jahre grob geschätzt.

00:19:02: Da habe ich ganz lange gedacht, das ist doch Quatsch.

00:19:06: Das ist irgendwie so eine kleine Spielerei.

00:19:08: Ich dachte, das ist so ein bisschen wie der Hütchenspieler-Trick irgendwie auf den Straßen.

00:19:12: Es ist nicht besonders angenehm, aber geht vorüber und ist eher anektotisch relevant.

00:19:17: Und es war eine meiner größten Fehleinschätzungen überhaupt.

00:19:21: Tatsächlich ist ransomware inzwischen hauptverantwortlich für eine Vielzahl von katastrophalen Cybercrimefällen und vor allem auch katastrophalen Schäden.

00:19:30: Denn das passiert ziemlich oft, dass diese Lösegeldforderungen kommen.

00:19:33: Man ist nicht handlungsfähig.

00:19:35: Und dann gibt es eine ganze Reihe von Ausgängen, die hauptsächlich darum bestimmt werden, bezahlt man das Lösegeld oder nicht.

00:19:42: Und wenn ja, kommt dann noch eine Lösegeldforderung oder nicht.

00:19:44: Dann gibt es ungefähr alle Ebenen, die damit reinspielen.

00:19:47: Kannst du vielleicht mal so ein Ransomware-Angriff ein bisschen erklären und gleichzeitig gerne sagen, was die BKA-Befilmung wäre, wie man damit umgeht?

00:19:57: Ja, du hast es schon richtig ausgeführt, Ransomware-Aktöre.

00:20:00: die bringen ihre Malware auf die Systeme, nutzen dazu die Drop- oder Load-Zugänge, die sie angemietet haben.

00:20:08: Dann gucken die sich erst einmal im System um.

00:20:10: Sie sind eigentlich lange, bevor man sie irgendwie erkennt oder bevor die die Verschlüsselung vornehmen, auf den Systemen, gucken sich dort um, stellen fest, wo bin ich hier, welche Netzewerke bestehen hier, wo sind die Dateien?

00:20:24: und wo kann ich hier am effektivsten vorgehen.

00:20:27: um beim Opfer möglichst effektiv Dateien zu verschlüsseln.

00:20:32: Sie exfiltrieren in der Regel, nicht alle, aber in der Regel exfiltrieren sie die Daten.

00:20:37: Sie unterhalten sogenannte dedicated Leaksites im Darknet, wo sie ankündigen, welches Opfer sie kompromittiert haben und lassen da auch eine Uhr ablaufen, weil sie ja meistens eine Zeit einräumen für die Bezahlung des Lösegeldes.

00:20:54: und wenn das Opfer nicht zahlt, dann werden diese Daten für alle sichtbar freigeschaltet und jeder kann sich das anschauen.

00:21:01: Das sind sehr perfides Vorgehen, ein Vorgehen, bei dem man sehr viel Geld verdienen kann, sehr hohen Profit machen kann.

00:21:08: Wir haben hier die Summe von acht hundert und vierzehn Millionen Euro Lösegeld, die im letzten Jahr beziffert wird.

00:21:16: Das heißt, sehr einträglich.

00:21:18: Es kann auch dazu führen, wenn ein Unternehmen nicht zahlen möchte oder nicht zahlen kann, dass es zu Insolvenzen kommt.

00:21:24: Wir hatten kürzlich jetzt im September ganz aktuell ein deutsches Umweltechnologieunternehmen, das Insolvenz.

00:21:30: anmelken musste nach einem solchen Salbervorfall.

00:21:34: Ja, das ist interessanterweise oder eigentlich katastrophalerweise auch eine der Folgen.

00:21:40: Du spielst gerade an auf den Fall der wird selten mit Namen genannt ist immer eine hundert achtundfünfzig Jahre alte Firma.

00:21:48: so wird es dann interessanterweise genannt.

00:21:49: man kann das wenn man möchte recherchieren.

00:21:51: aber da durch diese insolvenz und die vor allem vorgehende sehr hohe lösegeldforderung sind in letztlich sieben hundert.

00:22:00: Jobs verloren gegangen ist.

00:22:02: Ein richtig schwerer Schaden entstanden und zwar hauptsächlich deswegen, weil die Lösegeld Leute, die das gefordert haben, die waren offenbar noch nicht so lange im Business und haben ein viel zu hohes Lösegeld gefordert.

00:22:16: Also eins, wo die Firma gar nicht sagen hätte können.

00:22:19: Das bezahlen wir jetzt einfach.

00:22:21: Das passiert gar nicht so selten, dass Leute, die, weil es als Crime-SS Service ist, Leute, die nicht so viel Ahnung haben, plötzlich sagen, ich hab genug kriminelle Energie, ich hab zwei, drei Kontakte, ich kann vielleicht irgendwie so ein Darknet-Browser bedienen und stöpsel mir da irgendwie so eine Angriffskette zusammen.

00:22:38: Und plötzlich hat man das mit dem Gegenüber zu tun, die völlig... Ungebildet sind im Crime Bereich, unerfahrenen Gangstern.

00:22:44: und das kann man gut damit vergleichen, dass es mit das schwierigste ist, wenn man von unerfahrenen Gangstern zum Beispiel entführt wird, weil die überhaupt nicht wissen, wie das funktioniert und dadurch extrem viele gefährliche Situationen entstehen können.

00:22:55: Ja und da ist ein relativ klarer Fokus darauf, dass zu hohe Gelder selten dazu führen, dass das Lösegeld bezahlt wird, was ja eigentlich das Interesse von den Gangstern sein sollte.

00:23:08: Ich habe mir jetzt mal kurz erlaubt, aus der Perspektive der Kriminellen selbst zu argumentieren.

00:23:12: Ja, richtig.

00:23:13: Also du hattest ja auch gefragt, was wir empfehlen.

00:23:15: Wir empfehlen natürlich immer, ohne jeglichen Zeitverzug, polizeilich Anzeige zu erstatten, damit wir die Spuren verfolgen können.

00:23:22: Wir haben in der Polizei im übrigen auch geschulte Mitarbeiter, sogenannte Verhandlungsgruppen, das sind Spezialeinheiten, die nichts anderes machen, als auf solche Situationen ausgebildet sind und die dann auch die Verhandlungen mit der Täterseite aufnehmen können.

00:23:37: Natürlich auch, um die Spuren der Täter zu verfolgen und die Identität der Täter zu ermitteln.

00:23:43: Wir haben aber, was ist richtig dargestellt, auch schon viele Erfahrungen gemacht mit solchen Verhandlungen.

00:23:48: Und wir haben vieles erlebt hier.

00:23:50: Man muss als Unternehmen unbedingt wissen, man verhandelt hier nicht mit seriösen Geschäftsleuten, sondern mit Verbrechern.

00:23:57: Und man hat keine Garantie, dass man danach auch tatsächlich die Schlüssel bekommt.

00:24:01: Man muss sich einfach vorstellen, das Hauptwissen ist, ist es zu Verschlüsseln.

00:24:05: Und da liegen die Prioritäten dieses kriminellen Unternehmens, die liegen nicht darin, hinterher zu entschlüsseln.

00:24:11: weil da haben sie ihre Profit gemacht und ihr Lösegeld eingesagt.

00:24:15: Wir haben auch schon Fälle erlebt, da haben Unternehmen erfolgreich verhandelt, dann ist es zur Zahlung gekommen und dann hat sich ein Tag später die Renzmeer-Kruppierung wieder gemeldet und gesagt, wir haben uns das nochmal angeguckt, ihr verdient da eigentlich viel mehr als ihr hier zugegeben habt.

00:24:30: Wir wollen jetzt nochmal ordentlich einen oben drauf haben.

00:24:32: Und erst dann bekommt ihr die Schlüssel, um die Dateien wieder entschlüsseln zu können.

00:24:38: Also da ist alles möglich in diesem Geschäft, da geht es richtig zur Sache, da wird es auch richtig emotional, kann ich sagen.

00:24:46: Und was man dazu sagen muss, gerade weil auf der anderen Seite eben keine seriösen Geschäftsleute und manchmal halt noch nicht mal Geschäftsleute sind, sondern bösartige Menschen, gibt es eine ganze Reihe von sag ich mal Eskalationsstufen.

00:25:01: Eine davon ist vielleicht deswegen interessant, weil sie so in der Szene als dasjenige ransomware Modell gilt, was weltweit am meisten Schaden verursacht hat im Jahr unter dem Namen Notpatia bekannt geworden.

00:25:17: und das ist deswegen gleichzeitig ein typischer Fall.

00:25:19: und ein völlig untypischer Fall, weil auf der einen Seite die Größenordnung des Schadens gigantisch ist und zwar über zehn Milliarden Dollar weltweit hat das verursacht und gleichzeitig muss man aber sagen, ist es kein besonders typischer Fall.

00:25:36: Denn das ist hinterher rausgekommen, als.

00:25:40: dieser Schaden ist übrigens entstanden wegen eines richtigen Kollapses quer durch Logistik bestimmte Industrieunternehmen und Handel, die entsprechende Software verwendet haben und die dann nicht mehr verwendet werden konnte.

00:25:50: Dieser Schaden vor allem über Ausfälle.

00:25:53: Gleichzeitig ist hinterher erst rausgekommen.

00:25:56: Das ist sich gar nicht um eine Ransomware handelte, also eine Erpressungssoftware, die einfach Daten verschlüsselt hat und dann kann man sie wieder entschlüsseln, sondern um einen sogenannten Viper.

00:26:07: Und dieser Viper will nichts anderes als maximalen Schaden verursachen.

00:26:12: Der hatte die Daten gar nicht verschlüsselt, sondern unwiederbringlich zerstört und gelöscht.

00:26:18: Das heißt, selbst wenn Geld gezahlt worden wäre, was im Nachhinein häufig gar nicht nachvollziehbar ist, Dann hätte der Datensatz gar nicht wieder hergestellt werden können.

00:26:27: Da wollte jemand trollen, würde ich mal sagen, maximalen Schaden verursachen.

00:26:32: Es ist bis heute nicht ganz klar, wer genau wie, wo, wann das getan hat, aber, dass auch klar ist, man kann auch noch heute, nicht nur im Jahr zwei Jahrzehnte, auch noch heute ziemlich übel dastehen und am Ende gar keine Daten mehr haben oder ein komplettes System komplett.

00:26:51: zerstört vorfinden, wo man doch eigentlich dachte, man zahlt vierzigtausend Dollar oder zwölf Bitcoin oder was.

00:26:57: und dann ist alles wieder gut.

00:26:58: Und ich setze jetzt noch einen oben drauf.

00:27:00: Es gibt Statistik von Tech-Dienstleistern, die besagen, dass die Täter in vierzig Prozent der Fälle dorthin wieder zurückkommen, wo die Zahlung erfolgt ist.

00:27:09: Ja.

00:27:10: Würde ich jetzt also, wenn man schon mal kriminelle Energie hat, dann ist ja klar, dass man ein einmal gut verwendetes Einfallstor versucht, noch mal zu benutzen.

00:27:20: Das ist wie ein Wegweiser, zu sagen, hey, da ist schon mal Geld hergekommen, dann gucke ich mal, ob ich noch mal da Geld herbekomme.

00:27:27: Cyber-Sicherheit ist ein riesiges Thema in unserem Alltag geworden.

00:27:31: Und wir haben Angst vor digitalem Identitätsklau und dem Missbrauch unserer Daten.

00:27:36: Doch wie wir Menschen manchmal eben sind, ist unser Verhalten auch in diesem Fall paradox.

00:27:41: Das bestätigt nun sogar eine Studie unter vierzehntausend Europäern aus vierzehn Ländern.

00:27:46: Die Studie wurde von Schwarz-Didgets in Zusammenarbeit mit dem Marktforschungsinstitut GIMM durchgeführt und bringt erstaunliches zu Tage.

00:27:55: Tatsächlich äußern achtundachtzig Prozent der Befragten bedenken, wenn es um die Sicherheit ihrer Daten und den Schutz der Privatsphäre bei der Nutzung von zum Beispiel Streaming-Plattform, sozialen Medien oder Online-Shops geht.

00:28:07: Etwas mehr als die Hälfte nutzen zum Beispiel die zwei Faktor-Authentifizierung und gerade einmal neunzehn Prozent einen VPN.

00:28:15: Eine private Cyberversicherung haben nur zehn Prozent der Befragten.

00:28:19: Das Bild verbessert sich nicht, wenn wir einen Blick auf das Vertrauen werfen, das wir Bürger, Unternehmen und Behörden entgegenbringen.

00:28:26: Nur einunddreißig Prozent glauben, dass staatliche Stellen ausreichend Maßnahmen ergreifen, um ihre digitale Identität und Daten zu schützen.

00:28:35: Zwei Drittel der europäischen Bürger vertrauen dagegen auf ihre Sicherheit bei der Nutzung digitaler Produkte und Dienstleistungen von europäischen Unternehmen.

00:28:43: Das Vertrauen in amerikanische oder chinesische Anbieter liegt weit darunter.

00:28:48: Immerhin verstehen fast die Hälfte der an der Studie teilnehmenden, dass ihr eigenes Onlineverhalten eine Risiko für ihre eigene Sicherheit darstellt.

00:28:57: Das waren nun ziemlich viele Zahlen und Prozentwert in kurzer Zeit, doch die Aussage ist eindeutig.

00:29:03: Ja, wir haben Angst vor digitalen Bedrohungen, Identitätsklau und den Auswirkungen eines möglichen Cyberangriffs auf die Demokratie.

00:29:10: Doch eigenverantwortlich zu handeln, diese Verantwortung übernimmt nur die Minderheit von uns.

00:29:16: Doch wenn wir selbstbestimmt sein und handeln wollen, müssen wir Verantwortung für uns und unser Handeln übernehmen.

00:29:22: Wer mehr über die Studie lesen möchte, kann dies auf der Website von Schwarz-Digits unter dem Menüpunkt Publikation tun.

00:29:29: Und die App von Omniac kann beim Schutz der Daten ein echter Mehrwert sein.

00:29:34: Sie deckt auf, ob durch ein Datenleg persönliche Daten veröffentlicht wurden und gibt entsprechende Hilfestellungen.

00:29:40: Ein Blick lohnt sich auf jeden Fall.

00:29:44: Okay, wir haben jetzt eigentlich ganz gut skizziert, wie diese Cybercrime as a Service, wie diese digitale Untergrundökonomie funktioniert, wie arbeitsteilig sie funktioniert.

00:29:56: Und jetzt müssen wir fürchte ich ein bisschen den Fokus darauf legen, wie man das eigentlich bekämpft.

00:30:03: Ja, fürchte ich natürlich nicht, sondern das ist ja... Dein Hauptjob, genau das zu bekämpfen.

00:30:07: Und das, was du gerade erzählt hast, hört sich für mich jetzt erstmal so an, als würde man einer gigantischen, hundertköpfigen, ich weiß nicht, krake Medusa gegenüberstehen, wo man gar nicht genau weiß, wo kann ich denn überhaupt anfangen.

00:30:21: Und vor allem, wo kann ich anfangen, wenn es halt nicht nur darum geht, nachzuverfolgen, wer hat das gemacht und Verbrechen aufzuklären, sondern vielleicht im Idealfall schon Verbrechen zu verhindern.

00:30:33: Das Bild ist kein schlechtes, schon ein sehr reales.

00:30:39: Wir haben auch festgestellt, dass Kriminalität durchaus auch runtergeht, dass wir durchaus mit unseren Maßnahmen auch Wirkung erzielen.

00:30:47: Bei Marktplätzen beispielsweise stellen wir fest, die weichen ein bisschen aus, gehen auf Telekram vielleicht rüber oder gehen gar nicht mehr auf große Marktplätze, sondern etablieren Single Window Shops.

00:30:58: Das ist so eine Gegenbewegung.

00:31:01: Das Vertrauen in so einen Marktplatz ist gestört und dieses wirklich sehr effiziente und effektive Geschäft ist zumindest nachhaltig gestört.

00:31:12: Wir glauben, dass durch eine hohe Frequenz an Strafprozessor allen Maßnahmen schon eine erhebliche Wirkung auch in der cyberkriminellen Community zeitigt.

00:31:22: Wir gehen insgesamt bei unseren Ermittlungen vor gegen kriminelle Marktplätze, gegen kriminelle Dienstleister aus der underground economy gegen crypto exchanger gegen sogenannte stresser dienste die dedos dienstleistung anbieten.

00:31:36: dedos attacken sind überlastungs angriffe wo eine vielzahl von anfragen auf einen Server treffen und dieser Server durch die Vielzahl der Anfragen überlastet wird und sein Dienst nicht mehr erbringen kann.

00:31:48: Es sind in der Regel online Präsenzen, die dann den Dienst quittieren.

00:31:52: Und das ist natürlich ein ganz wesentliches Geschäftsmodell der Banken beispielsweise oder das E-Commerce, dass auch das die Cyberkriminellen hier abzielen und dafür Lösegeldforderungen stellen oder ganz einfach aus sabotage Gründen ihre Straftaten begehen.

00:32:07: Wir zielen auch ab auf Ransomware-Aktöre und Malware-Kropierung, Tropper-Loader-Kropierung.

00:32:12: Da kann ich gleich nochmal ein bisschen was sagen zu sehr erfolgreichen Operationen, die wir im Rahmen einer internationalen Allianz durchgeführt haben.

00:32:22: Ich habe eine kleine Enektote zum Thema DEDOS-Angriffe.

00:32:25: Ich glaube, inzwischen ist der NDA, also Non-Disclosure Agreement, die Schweigeverpflichtung, die ich damals unterschrieben habe, ausgelaufen wird, meine Unterstellung.

00:32:35: Tatsächlich habe ich mal als Student bei einer Wettbörse gearbeitet, natürlich komplett legal, vollkommen klar.

00:32:44: Diese Wettbörse hatte ihre Server auf Malta, weil es damals aus europäischen Gesetzesgründen sinnvoll war.

00:32:52: Und direkt vor einer Europameisterschaft, und das ist relativ lange her, über zwanzig Jahre, direkt vor einer Europameisterschaft, kam da beim Geschäftsführer plötzlich so eine Mail auf, da stand, also ihr habt jetzt irgendwie eine Stunde Zeit, um Lösegeld zu zahlen, sonst greifen wir euch an.

00:33:10: Wir haben gedacht, naja, das ist lächerlich, das stimmt ja, das ist ja Quatsch, machen wir natürlich nicht.

00:33:14: Ja, das sogar noch als Gag im Büro so rausgerufen.

00:33:17: Schaut mal, was ich gerade für eine Bullshit-Mail bekommen habe.

00:33:20: Die werden ja immer cleverer, dieses Spammer.

00:33:22: Eine Stunde später war tatsächlich nicht nur die Seite offline.

00:33:26: Eine DDoS-Attacke besteht ja daraus, dass man zum Beispiel ganz viele infizierte Geräte, die oft gar nichts davon wissen, dass sie infiziert sind, mit irgendwelchen Bots bestückt, die dann ständig koordinierte Anfragen auf einen einzelnen Server schicken.

00:33:38: Und diese Dedos-Attacke auf diese Seite, die in Malta gehostet war, die war so groß, dass die damals einzige Leitung von Sizilien nach Malta komplett zusammengebrochen ist.

00:33:49: Es bedeutet, durch eine Dedos-Attacke ist die gesamte Insel Malta offline gegangen.

00:33:55: Ja, und das über mehrere Stunden.

00:33:58: Wir sind dann in dieser kleinen Wettbörse sehr hektisch mit der Situation umgegangen.

00:34:03: Damals gab es noch relativ neu am Markt sogenannte Load Balancer.

00:34:07: Inzwischen hat sich das alles auch noch sehr viel weiterentwickelt.

00:34:09: Und diese Load Balancer versuchen eine sehr große Last von einzelnen Seiten auf mehrere Schultern zu verteilen, um das mal ganz simpel zu erklären.

00:34:18: Aber damals für über zwanzig Jahren war das so, dass man nur mit größter Mühe so eine DDoS-Attacke an... werden könnte.

00:34:25: Und dadurch, dass das von der Europameisterschaft war, da kann man sich denken, dass für eine Wettbörse das relativ ein Business-Ausschlag geben ist.

00:34:31: Dadurch war auch relativ klar, mit jeder Stunde, die vergeht, wurde es attraktiver, dieses gar nicht so hohe Lösegeld zu zahlen und nicht weiter zu warten, bis irgendwelche Loadbalancer es hinbekommen, die Seite so halbwegs wieder online zu stellen.

00:34:47: Und das war wirklich ein Live-Crimi, bei dem ich dabei war, wo ich dieses Schwitzen und dieses Zucken und dieses Zittern, wenn man unmittelbar selbst betroffen ist, unmittelbar miterlebt habe.

00:34:57: Und wo ich auch, und das ist etwas, was sehr häufig gesagt wird von Opfern von Cybercrime, wo diese unfassbare Hilflosigkeit deutlich wird.

00:35:06: Du sitzt da, du weißt nicht, wer wo, was wann gemacht hat, ob das irgendwann in der Nachbarn sind oder ob die auf den Philippinen sitzen in der Ukraine oder in den Vereinigten Staaten.

00:35:16: Du hast gar keine Ahnung, ist das eine einzelne, fünfzehnjährige Person oder ist das ein Trupp von siebenundreißig Menschen, die high-endmäßig, know-how-seitig aufgestellt sind?

00:35:25: Du weißt nichts und bist trotzdem das Opfer von einer solchen Person.

00:35:29: Und das ist eines der gruseligsten Gefühle, was ich mir so vorstellen kann.

00:35:33: Das ist auch das gleiche bei Ransomware Angriffen.

00:35:38: Was wir sehen, ist natürlich die technische Möglichkeit.

00:35:41: besser geworden sind, solche Angriffe abzuwehren und das aber auch die Möglichkeiten gestiegen sind, solche Angriffe durchzuführen.

00:35:49: Wir haben im vergangenen Jahr zur Hauptzeit des E-Commerce, dann Ende des Jahres, ist das ja immer so der Fall, haben wir eine koordinierte Aktion gefahren gegen sogenannte Stresserdienste im Netz.

00:36:00: Wir haben wir uns die gesammelt vorgenommen, die an Infrastruktur runtergenommen, deren kriminelle Angebote vom Markt genommen, sodass die selber kriminellen nicht auf diese Angebote zurückgreifen konnten, das nämlich mittlerweile relativ Einfach, wenn man auf die Seiten dieser Dienstleister geht, braucht man mit nur wenigen Daten und Klicks, ist man in der Lage, irgendeine IP zu wählen, die dann mit entsprechenden DDoS-Attacken belegt wird.

00:36:23: Und kannst du vielleicht mal aus eurem reichen Erfahrungsschatz der Bekämpfung von solchen digital organisiert kriminellen Strukturen?

00:36:33: Kannst du da mal eine Anekdote erzählen, wie eine solche Bekämpfung ganz konkret funktioniert hat?

00:36:39: Du musst jetzt nicht aus dem Nähkästchen plaudern.

00:36:43: Ja, ich kann so ein bisschen mal was erzählen, so was in zwei Richtungen geht.

00:36:47: Ich habe ja gerade gesagt, wie unser Portfolio ist.

00:36:49: Wir bekämpfen natürlich illegale Marktplätze und auch Malwehrgruppierung.

00:36:55: Bei den illegalen Marktplätzen nehmen wir uns eigentlich immer die vor, die ganz oben im Ranking stehen.

00:37:00: Beobachten die zähne.

00:37:01: wir vergehen ins core hat auch viel damit zu tun welche Auswirkungen die in deutschland haben welche bedeutung die für deutschland haben.

00:37:09: und dann hatten wir in der vergangenheit den archetype markt ausgewählt der bis dato dann.

00:37:16: älteste Marktplatz.

00:37:18: Den haben wir uns vorgenommen, haben sehr intensiv ermittelt.

00:37:22: Ich weiß noch, das ging über Jahre, weil unser Ansinn ist es dann natürlich die Leute, die diesen Marktplatz hosten, die Administratoren, vielleicht auch noch die Moderatoren, ihrer Identität festzustellen.

00:37:36: Und das war sehr schwierig, weil die Administratoren technisch sehr versiert gewesen sind.

00:37:43: Aber in der Regel ist es so, Die machen den Fehler und dann haben wir eine Chance.

00:37:47: Also ich vermute jetzt mal, du kannst gerne ja oder nein sagen oder sagen, das darf ich nicht sagen oder das will ich nicht sagen.

00:37:53: Aber ihr tut dann quasi so, als seid ihr selbst ein Crime-Dienstleister, geht in einen Chat, versucht euch das Vertrauen zu erschleichen und irgendwann nachts, wenn vielleicht die Leute schon betrunken sind, postet ihr einen Link, der auf den ersten Blick normal aussieht, aber auf den zweiten Blick irgendwelche Entschlüsselungssoftware behind seven proxies irgendwie dabei hat.

00:38:15: So

00:38:15: würde man sich in Kido-Filmen vorstellen, sagst du, aber das ist gar nicht so kompliziert, wir machen das viel einfacher.

00:38:22: die uns die Strafprozessordnung bietet.

00:38:24: Wir können natürlich Server überwachen, auch entsprechende Kommunikation verfolgen.

00:38:29: Und dann arbeiten wir uns vor und wir versuchen, wir warten auf den Fehler.

00:38:34: Wenn dieser Fehler gemacht wird, dann haben wir die Möglichkeit, die Beschuldigten dahinter zu identifizieren.

00:38:43: Das ist jetzt nicht so ein Fehler, dass irgendjemand die falsche Mail-Adresse zugibt, das Steam, die gehört und die schon mal in einem Videospiele-Forum, in dem es im Jahr two-thausend drei verwendet worden ist und deswegen irgendwie zuordentlich da ist.

00:38:54: Das sowas sagst du jetzt natürlich nicht, oder?

00:38:56: Nein, natürlich nicht.

00:38:57: Wir wollen natürlich, dass diese Fehler weiterhin gemacht werden und dass wir die Chance haben, weiterhin diese Leute zu ermitteln, die hinter diesen kriminellen Marktplätzen stehen.

00:39:07: Das war wie gesagt ein sehr großer Marktplatz, waren insgesamt drei tausend zweihundert Wendoren, sechshundert zwölftausend Kunden konnten, siebzehntausend Verkaufsangebote.

00:39:17: Der hat Umsatz gemacht von, wir schätzen, zweihundertfünfzig Millionen Euro.

00:39:22: Und ja, wir haben über Jahre ermittelt, konnten Infrastruktur ausfindig machen, konnten die aufklären und haben dann an einem Tag zugeschlagen.

00:39:31: konnten auch den Verantwortlichen festnehmen, haben durchsucht bei ihm, konnten auch Vermögenswerte in einer einstelligen Millionengrößenordnung, es waren so, ich glaube, acht Millionen Euro sicherstellen und dieser Marktplatz existiert dann nicht mehr.

00:39:50: Und zu dieser Ermittlung gibt es in der Tat eine kleine Anekdote und zwar war der Ministerator.

00:39:58: Wie wir glauben, im Internet unterwegs unter dem Pseudonym Apfesaftnaturtrüb, der Kollege, der dann ihn abgeholt hat, die Festnahmen und der Suchung fand im Ausland statt.

00:40:11: Die beiden haben dann im Flieger zusammengesessen und der Beschuldigte hatte sich auch soweit nicht eingelassen.

00:40:17: Und ja, der Ermittlungsführer hat dann, als die Stewardess vorbeikam.

00:40:23: ein Apfelsaftnaturtrück bestellt, worauf der Beschuldigte neben ihm lachen musste.

00:40:28: Und damit war er überführt?

00:40:32: Das wird leider nicht reichen.

00:40:33: Das ist sicherlich eine der netten Anekdoten, die wir dann auch mal erleben.

00:40:39: Dieser Marktplatz hatte auch... eine Referenz auf red ziemlich bekannter markt platz wo cyberkriminelle auch ihre angebote darstellen und da können die user dann auf diesem forum können bei den einzelnen marktplätzen setzen auf entweder fast exit scam oder retire nämlich das was.

00:41:04: dieser Marktplatz noch erleben wird, wie es ausgehen wird, wird er gebastet, macht dann Exitscam oder geht er gut durch im Interesse aller?

00:41:13: und retired, dann ja, wir haben dann allen den gratuliert, die auf Bust gesetzt haben

00:41:18: und

00:41:19: war mit einem entsprechenden Konfetti-Code.

00:41:21: Ja, dieser archetype Marktplatz gibt ja diesen Begriff, der kommt aus einem mankanschen vielleicht und sprucht über Crime, das sind Pay.

00:41:28: Verbrechen lohnt sich nicht.

00:41:30: bei zweihundertfünfzig Millionen Euro Umsatz und acht Millionen Euro auf dem Konto, würde ich sagen, teils teils.

00:41:38: Also auf der einen Seite ist acht Millionen jetzt gar nicht so wenig.

00:41:42: Und auf der anderen Seite würde man noch annehmen, dass bei zweihundertfünfzig Millionen Euro Umsatz irgendwie bei dem Betreiber eine größere Marge hängen bleibt als nur in Anführungszeichen acht Millionen Euro.

00:41:55: Das finde ich fast ein bisschen wenig.

00:41:57: oder bin ich da schiefgewickelt.

00:41:59: Ja, das ist die Frage, was du letztlich findest auf den Infrastrukturen.

00:42:04: Inwieweit die Täter in der Lage sind, ihre Vermögenswerte zu verschleiern, ist in der Tat immer die Frage, das ist ganz richtig bei diesen Marktplätzen, wie viel dann die Organisatoren, also die Administratoren, verdienen und wie viel an Handelsumsatz tatsächlich dann bei den Vendoren oder auch den Kunden bleibt.

00:42:25: Das ist immer eine Bewertungsfrage, das ist richtig.

00:42:28: Wenn man jetzt mal so eine Zahl nimmt, gerade jetzt was Erpressungen angeht, so eine der häufigsten kriminellen Aktivitäten in dem Bereich, die auch ganz viel über diese Marktplätze vertrieben wird, dann haben wir eine Zahl von Coughwear-Sicherheitsunternehmen, die sagen, dass im Durchschnitt Unternehmen dreihundertneunzigtausend Euro Zahlen, um Zugang zu ihren Daten zurückzubekommen.

00:42:49: Das ist ein Durchschnittswert.

00:42:50: Das hört sich jetzt für mich nicht immer wie ein besonders cleverer Deal an, aber das führt direkt zu dieser Frage aus deiner Perspektive.

00:42:58: Es wird häufig diskutiert eine Art Verbot von, ja, so ein gesetzliches Verbot von Lösegeldzahlungen.

00:43:05: Ist das in deinem Sinn oder würdest du eher sagen, wir brauchen andere Meldepforschriften, wir brauchen eine andere Harngehensweise an solche Erpressungen?

00:43:14: Ich glaube, Das wäre nicht das Mittel, das im Vordergrund stehen sollte, sondern wir haben andere Möglichkeiten, operativ tätig zu werden.

00:43:24: Ich glaube, dass wir dieses Instrumentarium nicht brauchen, sondern dass wir andere Möglichkeiten haben, hier erfolgreich vorzugehen, wie wir das ja auch schon erwiesenermaßen getan haben.

00:43:36: Wir haben im vergangenen Jahr festgestellt, dass nur Neun Prozent der Opfer in Deutschland bei den Rensenwehr-Angengriffen tatsächlich gezahlt haben.

00:43:47: Es gibt auch Tech-Dienstleister, die hier entsprechend veröffentlicht haben, dass die Zahlungsbereitschaft zurückgegangen ist.

00:43:53: Du weißt sicher, es gibt auch die Möglichkeit, lösige Zahlungen auch zu versichern oder Schäden insgesamt zu versichern in diesem Bereich, das wieder dazu führt, dass die Versicherer höhere Anforderungen an die IT-Sicherheit stellen.

00:44:05: Also das ist ein ziemlich komplexes Thema, sehr facettenreich mit einer Menge Entwicklung im Augenblick drin.

00:44:12: Und ich glaube, wir tun gut daran, diese Marktmechanismen laufen zu lassen und durch Strafverfolgungsmaßnahmen oder durch Präventionsmaßnahmen hier einzugreifen und nicht durch entsprechendes Verbot.

00:44:25: Das meinte ich natürlich in Bezug auf Präventions- und Strafverfolgungsmaßnahmen, die eine entsprechende Wirkung auf die cyberkriminellen Szene hat.

00:44:35: Und ich glaube, dass das wirksamer ist, als ein Verbot auszusprechen, dass eine ganze Menge an Problemen und Herausforderungen danach mit sich bringen wird in der Realisierung.

00:44:46: Das finde ich sehr spannend und was ich aber leider fürchte, ich jetzt noch mit dir besprechen muss.

00:44:52: Ist das naheliegende?

00:44:54: Nämlich, wir haben mit Crime as a Service, mit der Underground Economy natürlich auch einen Wirtschaftsseig, der sich durch künstliche Intelligenz stark verändern wird oder schon verändert.

00:45:08: Und da würde ich jetzt gerne so als letzten großen Punkt.

00:45:11: mit dir darüber sprechen.

00:45:12: Was seht ihr denn beim BKA im Cybercrime-Bereich heute schon für Veränderungen, wo künstliche Intelligenz Cybercrime auf eine neue Ebene zuhiefen scheint?

00:45:22: Natürlich ganz klar auch Cyberkriminelle beobachten den Markt und die technische Entwicklung und die sind da relativ schnell solche Instrumente auch einzusetzen.

00:45:31: Wir erleben das seit vielen Jahren schon, was die Qualität von Fishingmails anbelangt, die wesentlich besser geworden ist.

00:45:39: Die sehen wesentlich authentischer aus, die sehen nicht mehr so aus mit irgendwelchen Schreibfehlern drin.

00:45:43: Da merkt man, dass Sakai zum Einsatz gekommen ist.

00:45:46: Man merkt es auch, dass sie Effiziente in der Lage sind Malware zu Koden.

00:45:52: Auch hier hilft KI entsprechend.

00:45:54: Es gibt natürlich auch ganz aktuelle Entwicklungen.

00:45:57: Die ZERT der Ukraine hat es noch gar nicht so lange her.

00:46:00: Ich glaube im Juli festgestellt, dass sie Tool entdeckt haben.

00:46:06: wo die Täter Malware auf den System aufbringen.

00:46:09: Diese Malware, die sich dann auf diesen System umtut und wo man schaut, welche Netzwerke da sind, welche Dateien da sind, dass das gar nicht mehr im Hintergrund ein Mensch steuern muss, sondern dass diese Malware ein Tool besitzt, das sich mit einem LLL verbindet und dann über eine KI.

00:46:30: gesteuert wird und diese Standardprozesse, die ein Täter vornehmen würde, dann in dem System von der KI gesteuert wird.

00:46:37: Das sind ganz neue Entwicklungen, die uns natürlich auch erschrecken.

00:46:42: Und wenn man sich dann auch vorstellt, dass es möglich wäre, diese Malwehr, die man auf die Systeme aufbringt, in Verbindung mit KI so zu gestalten, dass sie adaptiv auf Sicherheitsmaßnahmen des Opfers reagiert, dann sind wir wirklich in einem ganz neuen Zeitalter.

00:47:00: Wenn man sich das mal ganz konkret vor Augen führt, dann war einer der größten, wirkmächtigsten, auch weltweit bekannten Angriffe, einer der mit der Software Emotet unternommen wurde.

00:47:14: Der Höhepunkt von EMOTED war so im Jahr zwei Tausend achtzehn, zwei Tausend neunzehn.

00:47:18: Und das war tatsächlich einen Makrovirus Angriff.

00:47:22: Will sagen, EMOTED hat versucht, dass Leute in Mails oder an Mails Angehängte Makrowieren öffnen.

00:47:30: Makrowieren haben den gigantischen Vorteil aus krimineller Sicht, dass sie zum Beispiel einen ganz klassischen Word Docs integriert werden können oder in PowerPoint Dateien und auch ein paar andere Dateien.

00:47:42: Das krasse daran ist, dass E-Motet mit relativ simplen Methoden es geschafft hat, dass unfassbar viele Leute auf solche gefakten Anhänge geklickt haben.

00:47:53: Und was war die Methode?

00:47:55: Zum Beispiel, dass sie einen Mail-Account gekappert haben und echte Mails beantwortet haben.

00:48:00: Da stand dann von einer Mail, die du selber, sagen wir mal, drei Tage vorher geschrieben hast,

00:48:04: Re

00:48:05: oder Antwort und dann dein eigener Betreff.

00:48:09: Die haben also auf Mails geantwortet und gesagt, Lieber Herr Schmidt, man kannte ja durch die Analyse der Mails und die Übernahme des Mail-Accounts sowohl den Absender wie auch den Empfänger.

00:48:18: Lieber Herr Schmidt, in der Tat ist es so, dass Sie vergessen haben, dass das angehängte Dokument ja noch bearbeitet werden muss und darauf haben so wahnsinnig viele Leute reagiert, indem sie auf das angehängte Dokument geblickt haben.

00:48:32: Das war wie gesagt, zwei tausend achtzehn, zwei tausend neunzehn.

00:48:35: Das waren weltweit wahrscheinlich mehrere hunderttausend, wenn nicht sogar Millionen Menschen, die darauf reingefallen sind.

00:48:41: Und das war weltweit auch deswegen auch problematisch, weil EMOTED durch eine sehr geschickte technologische Aufstellung überhaupt erstmal das Einfallstor hergestellt hat und dann konnten alle möglichen und auch ein paar unmögliche Schadsoftware nachgeladen werden.

00:48:56: Das muss man sich vorstellen wie ein Einbrecher, der erstmal die Hintertür aufbiet und dann kommen alle möglichen Leute rein.

00:49:01: irgendwelche Leute, die meinetwegen die Wasserleitung vergiften, die Strom abzapfen, den Schmuck klauen, die vielleicht noch eine Bewohnerin des Hauses entführen.

00:49:10: Also das sind alle möglichen anderen verschiedenen Kriminalitätsarten nachgeladen worden im wahrsten Sinne des Wortes.

00:49:15: Dieser Emotet, der war erfolgreich, weil die Mails ziemlich klug aufgebaut waren.

00:49:21: Und jetzt sehen wir, die Mails müssen nicht nur ziemlich klug aufgebaut sein, die können auch mit KI Hochindividuell in genau dem Sprachstil, der bisher schon in der Konversation vorhanden war, den können Sie natürlich analysieren, weiterführen.

00:49:34: Und dadurch steigt die Zahl der Leute, die sagen, die natürlich klicke ich hier drauf.

00:49:37: Ja, genau.

00:49:38: Es wird immer schwieriger zu erkennen in so einer Art Gefahrenradar, den man natürlicherweise haben sollte, welche... mehr jetzt authentisch von einem Geschäftspartner ist und welche von kriminellen Gruppierungen kommt.

00:49:52: Ja, das ist nicht nur perfide, sondern das steigert die Bedrohung noch mal ganz erheblich.

00:49:57: Also EMOTED plus JetGPT kann einfach die komplett neue Eskalation von Cybercrime, Viren, Versäuchung, Erpressung und so weiter ergeben.

00:50:08: Oder ist das schon im Gang?

00:50:10: Passiert das längst und wir kriegen es halt nicht mit.

00:50:13: Das, was wir mitkriegen, ist, dass die Fischermails in der Tat über KI-Technologien authentischer sind.

00:50:20: Und das, was das Zert der Ukraine jetzt im Juli festgestellt hat, das ist nach wie vor auch eine sehr besorgniserregende Entwicklung, wird sicherlich ein ganz wesentlicher Beschleuniger für weitere Straftaten sein.

00:50:34: Aber was EMOTED anbelangt, da haben wir ja ganz besondere Erfahrungen gemacht.

00:50:39: Du hast richtigerweise gesagt, achtzehnneunzehn war ein ziemlicher Höhepunkt.

00:50:43: Das war auch in Deutschland so, dass der damalige BSI-Präsident diese Gruppierung, das Emotet-Netzwerk, als den König der Schadsoftware bezeichnet hat.

00:50:54: Die größte Bedrohung weltweit, auch in Deutschland mit sehr, sehr vielen Angriffen.

00:50:59: Und das war die Zeit, in der wir die Ermittlungen gegen Emotet aufgenommen haben im Bundeskriminalamt.

00:51:05: Und wir haben zwei, drei Jahre gebraucht, aber dann waren wir soweit und haben das kriminelle Netzwerk, die Infrastruktur dieser Täterkropierung aufklären können.

00:51:15: Wir haben den technischen Administrator dieses Netzwerkes identifizieren können und ausfindig gemacht in der Ukraine.

00:51:24: Und wir haben dann in Rahmen einer internationalen Allianz Diese Infrastruktur, diese kriminelle Infrastruktur des gesamten Netzwerkes unschädlich gemacht.

00:51:33: Wir haben sie übernommen und dann haben wir etwas gemacht, was vor uns noch niemand gemacht hat.

00:51:40: Wir haben diese Schadsoftware, die IP basiert war, die haben wir nochmal an alle Bots geschickt, aber natürlich nicht mit krimineller Energie, sondern mit dem Ziel, diese Bots den Tätern zu entreißen.

00:51:56: und das haben wir gemacht, nachdem wir die Range von IPs auf diese sich dann zurück gemeldet haben, geändert haben.

00:52:03: und die Bots haben sich, nachdem wir die Schadsoftware noch mal versand haben, auf unsere freundliche Infrastruktur zurück gemeldet, nicht mehr auf die der Täter.

00:52:11: und so konnten wir den Tätern die kompletten Bots die infizierten Systeme wegnehmen.

00:52:16: und in der Zwischenzeit.

00:52:17: haben wir die Server, mehrere hundert Server weltweit verteilt, die sie für ihre kriminellen Dienste gebraucht haben vom Netz genommen.

00:52:25: Ihr habt also ein geklautes Auto zurückgeklaut.

00:52:27: Kann man das so formulieren?

00:52:29: So in der Art geklaut, würde ich jetzt natürlich dann nicht verwenden, weil der Strafgenau der Prozessordnung gewesen ist.

00:52:36: Wir haben hier auch entsprechende Beschlüsse des Ermittlungsrichters gehabt.

00:52:40: Aber das war sicherlich auch ein Meilenstein.

00:52:45: bei der Bekämpfung von Saberkriminalität diese Art der Vorgehensweise, die gesamte Infrastruktur aufzuklären und dann Im Rahmen dieser internationalen Allianz gegen die gesamte Infrastruktur vorzugehen, um einen nachhaltigen Erfolg zu erzielen, die funktioniert seit den Jahren des Jahrhunderts.

00:53:01: Ende Januar haben wir das Jahrhunderts gemacht, als Roll-Model.

00:53:05: Auch in der restlichen Welt andere Bekämpfungsbehörden gehen nach einem ähnlichen Muster vor, bezogen auf die Aufklärung der gesamten Infrastruktur.

00:53:13: Vorher war es eher so, dass Strafverfolgungsbehörden einen Teil der Infrastruktur aufgekehrt hatten und dann losgeschlagen haben.

00:53:19: Die Täter sind relativ schnell wieder zurückgekommen, indem sie nämlich neue Server angemietet haben und mit der übrigen Infrastruktur relativ schnell wieder ins illegale Geschäft zurückkommen konnten.

00:53:31: Wir haben dann in der Folge Ja, das ganze analysiert, haben festgestellt, wir haben hier einen Tropper von Markt genommen, aber es waren auch andere Tropper da.

00:53:39: Also Trickboard beispielsweise, mit dem dann Immotet auch wieder zurückkommen wollte.

00:53:45: Und ja, dann haben wir uns nach diesen operativen Maßnahmen gegen Immotet ein sehr ambitioniertes Ziel gesetzt.

00:53:52: Das heißt, wir haben uns das Ziel gesetzt, beim nächsten Mal nicht nur einen Tropper zu adressieren, sondern gegen mehrere.

00:53:58: tropfer gleichzeitig vorzugehen.

00:54:00: Das heißt, den Cyberkriminellen, insbesondere den Rensenberg-Gruppierungen, einen Teil ihrer kritischen Infrastruktur wegzunehmen.

00:54:09: Und das hat geklappt?

00:54:10: Und das hat dann sehr gut geklappt.

00:54:12: Wir haben daraus mittlerweile eine Marke entwickelt, die Operation Endgame.

00:54:17: Das haben wir jetzt in zwei Iterationen durchgeführt.

00:54:20: Vergangenen Mai, im letzten Jahr, das erste Mal in einer Version, Troppa-Kropierung, Lauda-Kropierung, die so bunte Namen haben wie Trickbot, Iced ID, Picabot, Bumblebee, SystemBC, Smokeloader.

00:54:39: Und gegen die sind wir im Rahmen einer internationalen Allianz mit vielen anderen Ländern vorgegangen.

00:54:43: Es ist die bis dato größte Cyber-Operation gewesen, die jemals durchgeführt worden ist, die Niederländer mit dabei.

00:54:52: die Franzosen mit dabei, die Amerikaner mit dabei, die Briten-Ideen waren mit dabei.

00:54:58: Und es ist uns gelungen, die gesamte Infrastruktur den Tätern zu entreißen.

00:55:03: Und wir haben im Übrigen auch zehn internationale Haftbefehle erwirken können, weil wir die Täter identifiziert hatten.

00:55:09: Und das Schönste war im vergangenen Jahr, dass wir festgestellt haben, dass diese Operation tatsächlich auch eine Wirkung auf die Straftatenbegehung hatte.

00:55:19: Das heißt, da wir den Tätern eine kritische Infrastruktur weggenommen haben, konnten sie ihre Straftaten nicht mehr so effizient und effektiv organisieren.

00:55:29: Ihnen fehlte einfach der Troporn Loader.

00:55:32: Das war ein wichtiges Bindeklied in ihrer Kette in der Killtrain.

00:55:37: Und ja, dadurch gab es eine ziemliche Delle an Straftatenbegehung im Sommer.

00:55:43: Es ist in der Regel so, dass in diesem Renz- und Wehrgeschäft, das sehr sehr russisch dominiert ist, im Juli, August weniger Straftaten passieren, liegt wahrscheinlich daran, dass die dann halt auch gern mal Urlaub machen in der wärmeren Jahreszeit.

00:55:55: Aber die Delle reichte in diesem Jahr dann von Anfang Juni bis Ende September.

00:56:00: Und ja, da haben wir merklich für Sicherheit gesorgt.

00:56:04: Es war deutlich vernehmbar.

00:56:06: weniger Angriffe durch ransomware-Kropierung.

00:56:10: Du

00:56:10: hast gerade ein Stichwort gesagt, dass ich gerne aufgreifen würde im Verbindung mit künstlicher Intelligenz.

00:56:16: Nämlich nicht nur die Cyber-Killchain, sondern auch das, was du Dropper genannt hast.

00:56:19: Das muss man jetzt im Verbrechenskontext so überlegen.

00:56:23: Das ist bei im Cybercrime-Bereich wie jemand, der erstmal die Tür aufbricht, damit die ganz bösen Jungs dann ins Haus reinkommen.

00:56:31: Ja, so könnte man das vielleicht sagen.

00:56:33: Aber genau diese Cyberkillchain, die würde ich gerne mit dir durchgeben, ist so eine Art Wertschöpfung oder logistische Kette der Cyberkriminalität.

00:56:43: Da gibt es... sagt man so sieben Phasen der Cyber-Kill-Chain, die verschiedenen Phasen von so einem kriminellen Akt.

00:56:53: Ich möchte dir erstmal kurz geziehen, das fängt an mit der Aufklärung als ersten Punkt, dann zweiter Punkt ist die Bewaffnung, der dritte Punkt ist die Zustellung, dann kommt die Ausnutzung, dann kommt die Verankerung, dann kommt etwas, was man Command und Control nimmt.

00:57:10: als sechster Punkt und schließlich die Actions.

00:57:13: also die Ziele, die man tatsächlich durchführt.

00:57:15: Und ich würde jetzt gerne gemeinsam mit dir Punkt für Punkt durchgehen und deine Einschätzung hören, wo künstliche Intelligenz am heftigsten eingesetzt werden wird.

00:57:24: Der erste Punkt wäre die Aufklärung.

00:57:26: Also Angreifersammeln, Informationen zum Beispiel über mitarbeitende von der Firma, über offene Ports, auf irgendwelchen Servern, die nicht gut gesichert sind, über soziale Medien.

00:57:35: Das kann man ungefähr vergleichen mit einem Bankräuber spät die Filiale aus.

00:57:39: Was macht KI dort?

00:57:42: KI kann dann natürlich benutzt werden, um relativ einfach an aggregierten Informationen zu kommen.

00:57:47: Über entsprechende Sprachmodelle kann ich das Ziel relativ einfach umreißen, wo ich hin will.

00:57:53: Ich kann selbstverständlich auch dann entsprechende Zielvorgaben machen.

00:57:59: Je genauer ich mein Prompt formuliere, desto besser wird das Ergebnis.

00:58:04: In einer Zeit geopolitischer Unsicherheiten ist die digitale Souveränität für die Stabilität und Innovationskraft Europas von entscheidender Bedeutung.

00:58:14: Die Nachfrage nach vertrauenswürdigen Datenschutzkonformen und leistungsstarken IT-Sicherheitslösungen steigt, denn Unternehmen werden sich der Schwere der Folgen eines Cyberangriffs zunehmend bewusst.

00:58:25: Schwarz-Digits bietet mit der Souveränen Cloud von Stackit und der Cybersecurity-Lösung von XM Cyber bereits entsprechende Lösungen.

00:58:33: Im September sind nun Schwarz-Digits und Sentinel-One, ein weltweit führender Anbieter für KI-gestützte Cyber-Sicherheit, eine strategische Partnerschaft eingegangen.

00:58:44: Diese Partnerschaft schafft eine ganzheitliche KI-gestützte Cyber-Security-Lösung für Unternehmen und den öffentlichen Sektor.

00:58:51: Das Besondere daran?

00:58:53: Alle Daten verbleiben garantiert in Europa und unterliegen den strengen Regeln der Datenschutzgrundverordnung, kurz DSGVO.

00:59:00: Durch die Kombination der wegweisenden Sicherheitstechnologie von Sentinel-One mit der hochsicheren souveränen-Cloud-Infrastruktur von Stack-It, dem Cloud-Provider von Schwarz-Digits, entsteht eine souveräne Alternative.

00:59:15: Sie stärkt die digitale Widerstandsfähigkeit Europas nachhaltig.

00:59:19: Unternehmen und Organisationen der öffentlichen Hand erhalten damit eine autonome, KI-gestützte Plattform, die den gesamten Lebenszyklus der IT-Sicherheit abdeckt.

00:59:29: Von der Prävention über die Erkennung bis hin zur Reaktion.

00:59:33: Sentinel-One ist ein Pionier im Bereich der Cyber-Sicherheit und hat sich darauf spezialisiert, Bedrohungen mittels künstlicher Intelligenz und maschinellem Lernen autonom zu bekämpfen.

00:59:43: Das Herzstück des Unternehmens ist die Singularity-Plattform, eine KI-gestützte Lösung, die Daten von Endgeräten sowie aus Cloud-Umgebungen und von Identitäten analysiert.

00:59:55: Sie ist darauf ausgelegt, Angriffe wie ransomware in Echtzeit und ohne menschliches Eingreifen zu erkennen, abzuwehren und zu beheben.

01:00:03: Weltweit vertrauen bereits über elftausend Kunden auf die Technologie von Sentinel-One, um ihre wertvollsten digitalen Werte über das gesamte Unternehmensnetzwerk hinwegzuschützen.

01:00:15: Weitere Infos zur Partnerschaft findet ihr auf der Webseite von Schwarz-Ditches.

01:00:22: Der zweite Teil, wenn die Aufklärung also vollzogen ist, das Ausspähen der Filiale, ist die Bewaffnung.

01:00:27: Wepenization wird es im angelsächsischen genannt.

01:00:31: Das kann man als die Entwicklung oder die Anpassung einer Schadsoftware auf genau einen ganz spezifischen Fall oder auf mehrere spezifische Fälle beziehen.

01:00:39: Denn was bei der Aufklärung rauskommen kann, ist zum Beispiel, dass man sagt, okay, alle Leute, die eine Software X benutzen, können über diesen oder jenen Weg angegriffen werden.

01:00:48: Das ist etwas, was bei einer Aufklärung rauskommen kann.

01:00:50: Oder dieser Mitarbeiter, der ist halt besonders gesprächig in sozialen Medien und erscheint auf jeden möglichen Link zu klicken, der Ihnen auf Facebook serviert wird.

01:01:00: Das sind so grössische Aufklärungsfälle.

01:01:01: Und dann kommt halt die Bewaffnung.

01:01:03: Das kann so was sein wie Fishingmails, das kann so was sein wie eine Schadsoftware auf einen ganz spezifischen Fall anzupassen.

01:01:10: Ungefähr so wie der Bankräuber besorgt sich Brecheisen und Fluchtwagen und vielleicht sogar ein paar Pläne.

01:01:17: Ja zunächst mal ist es relativ einfach, sich über KI-Modelle Informationen zu Opfern zu besorgen, zu unternehmen, zu besorgen auch Informationen, die möglicherweise internen Charakter haben, die irgendwann mal veröffentlicht worden sind und die jemand, der im Unternehmen sitzt, durchaus als eine interne Information klassifizieren würde.

01:01:36: Und dann hilft KI natürlich auch dabei, eine entsprechende Malwehr zu koden, wesentlich einfacher, wesentlich effizienter Kotschnitzel zu verwenden und zusammenzustecken, als den Kod immer wieder neu.

01:01:48: entwickeln zu müssen und letztendlich ja klar eine Fishing-Mail mit KI, mit entsprechender Sprachunterstützung und entsprechenden authentischen Kontexten ist natürlich wesentlich effektiver zu erstellen, als im Nicht-KI-Zeit.

01:02:05: Es gibt ja inzwischen auch eine ganze Reihe von KI's, die ganz unkontrolliert im Darknet verbreitet werden, also große Sprachmodelle, die zum Beispiel aufsetzen auf Opensource-Modellen.

01:02:17: Und die gerade eben nicht sich dadurch auszeichnen, dass wir etwa bei Open AI, bei ChatGPT, sehr schwer möglich ist, bestimmte kriminelle Anwendungen durchzuführen.

01:02:27: Also wenn man ChatGPT jetzt bitten würde.

01:02:29: zu sagen, hey, wie kann ich am besten eine Bank cyberseitig ausrauben?

01:02:34: Ja, wie kann ich das die entschliessen?

01:02:36: Denn wird ChatGPT nicht nur nicht antworten, sondern im Zweifel diese Informationen auch weitergeben an die Strafverfolgungsbehörden.

01:02:43: Das wissen viele Leute nicht, aber ChatGPT ist inzwischen sogar verpflichtet, alle Anfragen zu speichern und die haben ein eigenes Filterprinzip, wo sie genau rausfinden, was sind potentiell strafbare Anfragen?

01:02:54: und die werden dann an Behörden weitergeleitet.

01:02:56: Ich würde aber gerne noch mal zurückgehen zur Cyber-Killchain.

01:02:59: Wir sind jetzt nämlich beim dritten Punkt der Delivery der Zustellung, wo also der Schadcode zugestellt wird, zum Beispiel per Mail oder per USB-Stick oder in welcher Art und Weise auch immer.

01:03:10: Die Bankräuber, wenn man das für die Bank beziehen will, die haben falsche Ausweise sich besorgt oder haben jetzt das Werkzeug, um in die Bank einzubrechen.

01:03:17: Wie greift KI dort ein?

01:03:19: Wenn du KI benutzt, um möglicherweise Schwachstellen zu identifizieren, dann wäre KI natürlich auch eine Hilfe hier.

01:03:27: Aber ich glaube, wir kommen so langsam in so ein Feld rein, wo wir Beratungsleistungen für solche anbieten, die das ganz gerne auch mal selbst ausprobieren würden.

01:03:36: Das ist

01:03:36: aber bei uns ein Problem, weil der Podcast wird von null Prozent kriminellen gehört.

01:03:40: Wir haben eine Umfrage gemacht tatsächlich und haben gefragt, Wer von euch ist kriminell?

01:03:44: und da haben null Prozent der Leute die geantwortet haben gesagt, wir sind kriminell und ich denke das ist auf jeden Fall auch eine valide Zahl, es war eine repräsentative Umfrage.

01:03:53: Du kannst es wirklich verraten.

01:03:54: Das ist sehr beruhigend.

01:03:56: Der vierte Punkt, ich habe schon gemerkt, ich möchte es jetzt nicht sagen, wie man sich damit KI irgendwie auf die nächste Ebene hieß.

01:04:02: Der vierte Punkt ist dann vielleicht auch einer, der nicht so ganz durch das BKA ganz leicht beantwortbar ist.

01:04:08: Das ist die Exploitation oder die Ausnutzung.

01:04:10: Die Schwachstelle wird ausgedutzter eigentlicher Einstieg.

01:04:13: Man bricht die Tür auf, man umgeht den Alarm von der Bank, um jetzt mal wieder so eine Parallele zur dinglichen Welt zu haben.

01:04:19: Wie wird KI da eingesetzt?

01:04:22: Ja, KI ist in der Lage, Informationen schneller zu aggregieren, umfassend auf einen Prompt zu reagieren.

01:04:31: Aber du hast es richtigerweise ja auch schon angeschnitten.

01:04:34: Die Sprachmodelle sind ja so ausgestattet, dass sie bestimmte Fragen einfach nicht zulassen bzw.

01:04:40: im Hintergrund auch Informationen an die Polizei geben.

01:04:43: Insofern wäre ich hier sehr vorsichtig, die Sprachmodelle zu diesen Zwecken einzusetzen.

01:04:48: Wir haben, das kann man vielleicht eher sagen, auch in dem Podcast mit Anwesenheit des BKA, ja von der anderen Seite Bemühungen, die darauf hindeuten, in welche Richtung es geht.

01:04:58: Es gibt ein Projekt von Google namens Big Sleep.

01:05:01: Und das ist eine KI, die darauf fokussiert ist, Sicherheitslücken in Open Source-Projekten zu finden.

01:05:07: Und die hat tatsächlich bisher unbekannte Sicherheitslücken in Open Source-Projekten gefunden, in einigermaßen großer Größenordnung, nämlich zwanzig sehr substanzielle Sicherheitslücken.

01:05:17: Das bedeutet, wenn Google suchen kann, dann kann jetzt vielleicht nicht jeder suchen, aber dann heißt das, dass zumindest eine technische Möglichkeit besteht.

01:05:26: genau diese Exploitation, von der wir gerade gesprochen haben, die Ausnutzung zu automatisieren.

01:05:31: Und das ist, glaube ich, bei ganz vielen Bereichen dieser Cyber-Killchain die Essenz von dem, was auf uns zukommt, nämlich eine Automatisierung von Prozessen, die bisher einfach nicht oder nicht gut automatisiert werden konnten.

01:05:45: Zum Beispiel auch der fünfte Punkt, die Installation, also die Verankerung von einer Schadsoftware, einer Backdoor, auf einem oder in einem System.

01:05:55: Quasi, wenn man das übertragen würde auf den Bankraub, der Bankräuber richtet sich im Tresorraum ein.

01:06:01: Ja, in diesen Fällen fällt es mir jetzt ein bisschen schwerer KI einzusetzen.

01:06:05: Du kannst KI immer nutzen, um eine möglichst hohe Expertise zu erzielen bei allem, was du tust.

01:06:12: Es gibt auch selbstverständlich kriminelle.

01:06:17: Die Szene hat hier sofort reagiert und auch kriminelle Modelle erstellt, die dich sehr stark bei der Straftatenbegehung unterstützen.

01:06:25: Unser Bestremen ist es natürlich auch gegen diese kriminellen Modelle vorzugehen und Strafverfolgungsmaßnahmen gegen diese Dienste Anbieter zu fahren.

01:06:36: Der nächste Punkt in unserer Cyber-Killchain ist Command and Control.

01:06:42: Das bedeutet, das kompromittierte System, das System, wo eben eine Mauer installiert worden ist gegen den Willen des Betreibers.

01:06:50: Das fängt an zu kommunizieren mit dem Angreifer.

01:06:53: und Command and Control, das deutet es schon an, Befehle werden erteilt.

01:06:58: Wie kann KI da wirksam werden, Karsten?

01:07:01: Das ist so ähnlich, wie wir es eben gerade auch besprochen haben, dass Standardprozesse durchaus über KI gesteuert werden können.

01:07:09: Das heißt, auch hier kann wieder der Täter im Hintergrund ersetzt werden, wenn ich mich im Wege von Standardprozessen befinde.

01:07:17: Und Command and Control, da haben wir vorher schon gehört, was es für vielefältige bunte Möglichkeiten gibt.

01:07:22: da ein kompromittiertes System einzusetzen von so ganz basic Anwendungen, dass man das Teil einer Zombie-Bot-Armee dazu macht, also dass in Zukunft man für irgendwelche DDoS-Attacken ein kompromittiertes System benutzt, bis hin dazu, dass man auf sehr ausgefeilte Weise Versuch, Daten auszuspähen.

01:07:40: kommt der letzte Punkt, der siebte Punkt, Actions on Objectives, also die Ziele, das was man am Ende verfolgt, zum Beispiel eine ransomware zu aktivieren, also Daten zu verschlüsseln und dann zu erpressen, ein ganzes System zu sabotieren, weil man vielleicht jemanden angreifen möchte, gegen den man irgendwas hat oder der einem nicht so sympathisch ist oder ganz schlicht auch ausspionieren Daten stehlen.

01:08:03: Wie ist es bei dem siebten und von der Cyberkillchain letzten Punkt mit KI?

01:08:08: Was passiert da vielleicht in Zukunft?

01:08:09: Was kommt auf uns zu an Zielen von Cyberkriminellen mit KI?

01:08:14: Ich

01:08:14: glaube, hier sprechen wir wirklich jetzt über Zukunftsszenarien, dass wir eben festgestellt haben, die Tools, die über eine AP zu einem LLM Funken und ihre Standardbefehle im Prinzip bekommen und damit Standardprozesse, die ein Krimineller in einem kompromittierten Netzwerk vornimmt, auszuführen.

01:08:35: Das ist die eine Sache.

01:08:37: Ein intelligentes Handeln, das heißt ein optionales Handeln, möglicherweise sogar auch auf Gegenmaßnahmen des Opfers, auf Sicherheitsmaßnahmen, auf den Sockmaßnahmen.

01:08:49: Das ist sicher noch Zukunftsmusik, aber auch das wird wahrscheinlich in der Zukunft kommen.

01:08:55: Und dann beginnt das Haas- und Igel-Spiel zwischen der Sicherheit und den Tätern erst recht.

01:09:03: Ich würde gerne ... So abschließend dir vielleicht zwei oder drei kurze Fragen stellen, die so ein bisschen auf das Publikum einstimmen sollen auf die KI, Cybercrime, ja entweder Apokalypse oder goldene Zeitalter.

01:09:17: Was auf uns zukommt, ziemlich sicher wird es eine Mischung aus beidem sein, wie so oft.

01:09:21: Aber der erste Punkt wäre, wann kommt das BKA GPT?

01:09:25: Wann kommt die KI vom BKA, die ihr natürlich nicht nur selber nutzt, sondern die ihr anbietet, wo man seine ganzen Cybersecurity-Probleme, die man hat, ist diese SMS wirklich von meiner Tochter, die eine neue Telefonnummer hat oder nicht?

01:09:41: Also wann breitet ihr KI-Dienstleistungen für die Allgemeinheit an?

01:09:46: Das ist natürlich noch streng geheim, alles.

01:09:49: Wie gesagt, es kommt hier in allerbesten Händen.

01:09:51: Wir haben natürlich auch ein großes Engagement in diese Richtung.

01:09:55: Du weißt allerdings auch, KI setzt darauf aus, dass man Daten hat.

01:10:00: Und wir haben eine mal sehr restriktive, datenschutzrechtliche Bestimmung auch in Deutschland hier.

01:10:05: Das heißt, diesen Weg zu gehen ist nicht ganz einfach.

01:10:08: Wir haben uns der Sachen trotzdem angenommen.

01:10:10: Wir beginnen natürlich damit Bilderkennung, Mustererkennung, da KI-Modelle auch entsprechend einsetzen zu wollen.

01:10:19: Aber bis zu einem entsprechenden Sprachmodell des BKA ist, glaube ich, noch ein bisschen Zeit.

01:10:24: Aber wir haben den Anspruch innovativ zu sein im Bundeskriminalamt und in der Abteilung Cybercrime.

01:10:30: Wir werden da sicherlich unseren Weg gehen.

01:10:33: Karsten, nun ist es wahrscheinlich für viele Leute, die uns zuhören, ganz interessant, die so sporadisch hier und da mal ein Anruf bekommen, so wie ich.

01:10:42: Hier ist PayPal.

01:10:44: Ihre offene Rechnung von fünfhundert achtundsiebzig Euro kann nicht bearbeitet, also solche Sachen.

01:10:49: Wenn man entweder das Gefühl hat oder weiß, dass man Opfer geworden ist von Cybercrime.

01:10:56: Was kann man dann tun?

01:10:57: und vor allem, was kann man tun, um sich selbst dagegen zu wappnen?

01:11:00: Sich am besten dagegen wappnen.

01:11:02: Da gelten die alten Mitteln gute Passwörter.

01:11:05: Zwei Faktor-Authentification ist natürlich wirklich eine gute Sache.

01:11:09: was jetzt auch regelmäßig durch Banken etc.

01:11:12: angeboten wird.

01:11:14: Wenn du tatsächlich dann Opfer gewesen geworden bist, dann ist es sicher sinnvoll sich an die Polizei zu wenden.

01:11:21: Wir haben zwischen Bund und Land ein Netzwerk von zentralen Ansprechstellen, Cybercrime etabliert, die sogenannten ZAX.

01:11:28: Das heißt, bei jedem Landeskriminalamt gibt es eine Cybercrime Dienststelle, die Telefonnummer, die Erreichbarkeiten hierzu, findest du im Internet unter polizei.de und da kann sich jeder dran wenden.

01:11:43: Natürlich auch schon vorher, die kommunizieren auch sehr gerne mit den Unternehmen, betreiben ein bisschen Prävention und sind auch gerne bei der Notfallplanung behilflich, die selbstverständlich gerade für Unternehmen dann auch ein wichtiges Esset sind.

01:11:59: Also angesichts dieses tollen Namens, auch schon so leicht onomatopoetisch, würde ich sagen, ist es untervermarktet, Cybercrime-Opfer zack.

01:12:08: Könnte man einfach so als Plakate oder als Werbesport oder meinetwegen auch auf TikTok, finde ich nur zack, finde ich ein sehr, sehr gutes Akronym in dem Bereich.

01:12:16: Also würde ich an dieser Stelle sagen, Cybercrime-Opfer zack, ganz leicht.

01:12:21: Genau.

01:12:23: Die vorletzte Frage wäre, Wenn du dir eine Technologie, eine Technologie komplex aussuchen könntest, der von heute auf morgen nicht mehr existiert, weil er dir und dem BKA und vielleicht auch den vielen Opfern von Cybercrime das Leben schwer macht, was wäre das für eine Technologie?

01:12:41: Das steht das richtig.

01:12:42: Eine Technologie, die ich mir am liebsten wegwünschen würde.

01:12:45: Eine Technologie, wo du sagst, da würde ich gerne auf den roten Knopf drücken, dass es ihn nicht mehr gibt.

01:12:50: Das ist eine ziemlich tricky Frage, Sascha.

01:12:54: Weil meistens ist es ja im Dual-Use-Alter so, dass du Techniken für den einen Zweck und für den anderen Zweck verwenden kannst.

01:13:03: Insofern ist es jetzt schwierig zu sagen, Verschlüsselungstechnologien brauchen wir nicht.

01:13:09: Weil die Täter das ausnutzen, wir nutzen das selbstverständlich auch um Sicherheit zu schaffen.

01:13:15: Und insofern komme ich eher zu dem Ergebnis, dass wir hier nichts weglassen wollen, sondern dass wir auf das, was es an neuen Entwicklungen gibt, dann auch mit modernen Mitteln reagieren wollen.

01:13:28: Und abschließend.

01:13:29: Was hast du aus dem Podcast mitgenommen?

01:13:31: Was siehst du so als Blick auf die Zukunft im Bereich Cybercrime?

01:13:36: Natürlich ausschließlich auf der Perspektive der Bekämpfung von Cybercrime.

01:13:40: Nicht etwa aus der Entwicklung, was alles an Cybercrime Möglichkeiten auf uns zukommt.

01:13:46: Mir ist es wichtig und das nehme ich aus allen Veranstaltungen mit.

01:13:51: dass die Polizei als Partner verstanden wird.

01:13:55: Wir können kein Problem mehr allein lösen in dieser Cyberwelt.

01:14:00: Das ist unter den Strafverfolgungsbehörden so.

01:14:02: Das geht weiter.

01:14:03: Wir brauchen Partner in der Wissenschaft.

01:14:05: Wir brauchen Kompetenzträger in der Wirtschaft.

01:14:07: Die Resilienz der gesamten Gesellschaft hängt davon ab, dass wir als Team zusammenwirken.

01:14:13: Und ja, da kommt so dieser alte Spruch, das war früher mal, als ich groß geworden bin.

01:14:17: Die Polizei, dein Freund und Helfer, damit bin ich groß geworden.

01:14:21: Und das hat auch so ein bisschen meine lange Zeit jetzt über vierzig Jahre in der Polizei geprägt.

01:14:27: Und das ist ein Muster, das ich immer gesehen habe.

01:14:32: Und ich wäre froh, wenn das bei den Bürgern auch so gesehen würde.

01:14:37: Lieber Karsten, vielen Dank, dass du da warst.

01:14:39: Und vielen Dank auch für das superinteressante Gespräch über Prime as a Service, über diese neue dunkle und auch... bittere Ökonomie, die da entstanden ist, samt der Einblick, wie genau das funktioniert.

01:14:52: Lass uns gerne mal in Zukunft vielleicht auch spontan darüber Gespräche führen, wenn ganz große Fälle aufgedeckt werden, dass du hier den aus meiner Sicht sehr interessierten Zuhörern vielleicht davon berichten kannst, wie ganz konkret einzelne Fälle gelaufen sind.

01:15:08: Ich glaube, das kann sehr, sehr spannend sein gerade, wenn du davon geredet hast, dass teilweise Fälle weltweite Beachtung gefunden haben, wie, wo was aufgeklärt wird.

01:15:16: auch gerne über nicht aufgeklärte Fälle sprechen, aber das ist dann vielleicht etwas weniger interessant.

01:15:21: Danke, dass du da warst und bis zum nächsten Mal.

01:15:23: Sehr gerne, mache ich sehr gerne Sascha.

01:15:25: Bis demnächst mal wieder.

01:15:26: Und genau jetzt ist Zeit für den dieswöchigen Schmetterlingsfakt.

01:15:32: Es wäre eine verpasste Chance, in einem Podcast über Verbrechen einen ganz besonderen Falter nicht zu erwähnen.

01:15:39: Den toten Kopfschwärmer.

01:15:41: Acheronzia Atropus.

01:15:44: Wegen seines Namens spätestens aber seit seiner Erscheinung auf dem Filmplakat von Das Schweigen der Lämmer wird der Totenkopfschwärmer mit Verbrechen assoziiert.

01:15:53: Der Name rührt offensichtlich daher, dass auf seinem Körper eine Totenkopfähnliche Zeichnung zu sehen ist.

01:16:00: Während der ganzjährig in afrikanischen Tropenregionen zu finden ist, kommt er übrigens in den Sommermonaten sogar auch in Deutschland vor.

01:16:09: Der Totenkopfschwärmer ist mit ein paar nahen Verwandten mehr oder weniger der einzige Schmetterling, der vom Menschen höhbare Töne erzeugen.

01:16:17: Nämlich eine Art Quiken, dessen absurde Niedlichkeit in erheblichem Kontrast zu seinen Namen steht.

01:16:33: Weniger bekannt dagegen ist, dass der Totenkopfschwärmer selbst über enorme kriminelle Energie verfügt.

01:16:40: Er macht sich regelmäßig des rollberischen Angriffs der arglistischen Täuschung samt Betrug, der Urkundenfälschung, der Sachbeschädigung, des Stiebstahls, der Körperverletzung und sogar des Raubes schuldig.

01:16:52: Denn am liebsten frisst der Totenkopfschwärmer Bienenhonig.

01:16:56: Und den gibt es eigentlich nur im gut bewachten Bienenstock, wo hunderte Soldatinnen jeden eindringling erbarmungslos attackieren.

01:17:05: Deshalb haben Totenkopfschwärmer einen Geruchskoktail entwickelt, der den Geruch der Bienen täuschend ähnelt.

01:17:12: Die Wachen am Eingang eines Bienenstocks aber verlassen sich nicht nur auf den Geruch Deshalb der Totenkopfschwärmer diese mit Gewalt überwindet.

01:17:20: Einmal in den Bienenstock eingedrungen, fragen die patrouillierenden Wachbienen alle Passanten nach ihrer ID, also ihrem Identifikationsgeruch.

01:17:29: Hier täuschen die Totenkopfschwärmer eine Bienenexistenz vor, indem sie vier Fettsäuren in bienenähnliche Mischungsverhältnisse ausstoßen.

01:17:37: Das ist eindeutig Geruchsurkundenfälschung und arglistige Täuschung.

01:17:41: Infolgt von der Sachbeschädigung, denn sie durchstoßen mit ihrem Rüssel die Hülle der Honigwaben, nur um dann den Honig zu klauen.

01:17:50: Unbehelligt von den getäuschten Bienen, die heftig beiseite gestoßen werden, wenn sie dem Honigdiebe zu nah kommen sollten.

01:17:57: Und für alle Fälle sind Totenkopfschwärmer zusätzlich auch noch weitgehend immun gegen Bienen Gift.

01:18:02: Das also ist der kriminelle Alltag, des ach so harmlos scheinenden Popkulturphänomens Totenkopfschwärmer.

01:18:09: Cyber-Anriffe durch Totenkopfschwärmer sind bisher nicht bekannt, werden von manchen Fachleuten aber auch nicht kategorisch ausgeschlossen.