Interview mit Tim Schlautmann, Digitalexperte bei Market Port in Warendorf
Herr Schlautmann, der Begriff „Cybercrime-as-a-Service“ taucht immer häufiger auf. Was genau steckt dahinter?
Tim Schlautmann: Cybercrime-as-a-Service ist im Grunde die Industrialisierung der Internetkriminalität. Früher mussten Angreifer selbst programmieren, sich technische Zugänge erarbeiten. Heute kann man sich das alles mieten oder kaufen – Schadsoftware, Zugänge, sogar ganze Botnetze. Das heißt: Wer genug Geld hat, kann kriminelle Cyberangriffe quasi „bestellen“. Alles wird als Dienstleistung angeboten – von Ransomware-as-a-Service über DDoS-Attacken bis hin zum Diebstahl personenbezogener Daten.
Das klingt nach einem bedrohlichen Geschäftsmodell. Wie läuft so ein Angriff in der Regel ab?
Schlautmann: Die meisten Angriffe folgen einer Art Angriffsmodell, das wir als „Kill Chain“ bezeichnen. Am Anfang steht fast immer eine sogenannte Initial Access Malware – zum Beispiel ein Dropper oder Loader. Diese Programme öffnen unbemerkt die Tür zum System, oft eingeschleust über eine Phishing-Mail. Danach laden sie weitere Schadsoftware nach, installieren Backdoors oder ermöglichen die Fernsteuerung des Systems. Wenn der Angreifer Zugriff auf Administratorenrechte bekommt, kann das ganze Netzwerk kompromittiert werden.
Wer verschafft sich den ersten Zugang – und wie?
Schlautmann: Dafür gibt es sogenannte Initial Access Provider. Die suchen systematisch nach Schwachstellen – sei es in nicht gepatchter Software oder durch schlecht gesicherte Logins. Haben sie einen Zugang gefunden, verkaufen sie diesen an andere Kriminelle weiter – etwa an Ransomware-Gruppen. Es ist ein arbeitsteiliger Untergrundmarkt entstanden, in dem jeder seine Rolle hat.
Wie gefährlich sind Botnetze in diesem Zusammenhang?
Schlautmann: Extrem gefährlich. Ein Bot ist ein infizierter Computer, der heimlich ferngesteuert werden kann. Wenn sich Tausende solcher Systeme verbinden, spricht man von einem Botnetz. Diese Netze lassen sich für Angriffe nutzen – etwa zur Verteilung von Spam, DDoS-Angriffen oder Datenklau. Betroffen sind nicht nur PCs, sondern auch Smartphones, Smartwatches, Router oder Überwachungskameras – alles, was ans Internet angeschlossen ist.
Und wie behalten Angreifer dann die Kontrolle über diese Systeme?
Schlautmann: Das läuft über sogenannte Command-and-Control-Server, kurz C&C-Server. Sie senden Befehle an die kompromittierten Geräte und empfangen gestohlene Daten. Cyberkriminelle betreiben teils komplexe Netzwerke aus solchen Servern. Manche Systeme verschlüsseln Daten und fordern Lösegeld – das ist dann klassische Ransomware. In anderen Fällen geht es um Spionage oder dauerhafte Kontrolle.
Phishing scheint dabei eine zentrale Rolle zu spielen. Wie kann man sich schützen?
Schlautmann: Phishing ist nach wie vor eine der häufigsten Einfallstore. Die Angreifer tarnen sich als Banken, Versanddienstleister oder Behörden, um an Passwörter oder Zugangsdaten zu kommen. Grundregel: Niemals Links oder Anhänge aus verdächtigen E-Mails öffnen. Und auch bei bekannten Absendern kritisch bleiben – wenn der Ton oder Inhalt ungewöhnlich ist, lieber einmal zu viel nachfragen.
Was empfehlen Sie Unternehmen konkret, um sich zu schützen?
Schlautmann: Cybersicherheit muss zur Chefsache werden. Unternehmen sollten:
-
ihre Systeme und Software stets aktuell halten,
-
Antivirenprogramme einsetzen und regelmäßig aktualisieren,
-
regelmäßige, am besten offline gesicherte Backups erstellen,
-
ihre Mitarbeitenden gezielt schulen,
-
klare Notfallpläne für den Ernstfall entwickeln.
Und ganz wichtig: Im Fall eines Angriffs sofort Anzeige erstatten – bei der Polizei oder den Zentralen Ansprechstellen Cybercrime. Nur wenn Vorfälle bekannt werden, können Ermittlungsbehörden überhaupt reagieren.
Herr Schlautmann, vielen Dank für das Gespräch.
Kommentar hinterlassen