Cyber-Kriminalität, Computer- und neue Wirtschaftskriminalität sowie Fraud sind zu Modewörtern im Kontext der Informationssicherheit avanciert. Dies liegt einerseits an der technischen Entwicklung und steigenden Abhängigkeit der Organisationen von der IT und ist natürlich auch der intensivierten Vernetzung und Digitalisierung geschuldet. Welche ebenfalls dazu beitragen, dass wir uns mit einer zunehmenden Anzahl von Sicherheitsvorfällen, kriminellen Handlungen, moderneren, klügeren Attacken und systematischeren, erfolgreicheren Angriffsmethoden konfrontiert sehen.

Aus der Perspektive aktueller Vorfälle

Heute sind die Angriffe, zielgerichteter und individueller auf die Opfer zugeschnitten, langfristig geplant und strategisch und organisiert angelegt. Sie sind eine permanent Bedrohung und über Grenzen hinweg omnipräsent. Diese massgeschneiderte Computerkriminalität – die als Massenware auch im Rahmen von professionellen organisierten Angeboten als Attack as a Service Diensten einträglich floriert – agiert ausdauernd und pausenlos.

Betroffene Organisationen sind stark herausgefordert und haben nur begrenzte Möglichkeiten, sich präventiv gegen solche neuartigen Angriffe zu schützen (wenn auch nur aus zeitlichen Gründen – denn das Einspielen von Sicherheits-Patches, wird immer noch vernachlässigt und erfordert zu viel Zeit). Ein angemessenes und effektives System an Sicherheitsmassnahmen und Kontrollen könnte es ermöglichen, sich gegen die bekannten und allenfalls die potenziell bzw. wahrscheinlichen Attacken zu schützen.

D.h. dass das in Hinblick auf die akute Bedrohungslage die detektiven und reaktiven Kontrollarten immer mehr an Bedeutung gewinnen sollten. Sie ermöglichen es den Unternehmen, im Falle eines Angriffs schnell und effektiv zu reagieren und den Schaden für das Geschäft einzudämmen und zu mindern, oder im Idealfall sogar zu vermeiden.

Von der beschriebenen Signatur war auch der letzte aktuelle Vorfall WannaCry gekennzeichnet: In der NZZ am Sonntag vom 21.05.2017 konnte man Folgendes dazu lesen:

Zweite Welle der Cyber-Attacke: Im Schatten der Erpresser-Software Wanna Cry haben Kriminelle Hunderttausende Computer mit einem diskreten, aber für sie weit lukrativeren Käfer infiziert: Adylkuzz. Während die Erpresser-Software «Wanna Cry» weltweit für Schlagzeilen sorgt, verbreitet sich ein zweiter Computerwurm still und leise: Adylkuzz. «Dieser Angriff ist gefährlicher als ‹Wanna Cry›, weil er im Hintergrund erfolgt und vielen Betroffenen gar nicht bewusst ist.» Darum erreiche er auch viel weniger Beachtung.

Doch es gibt einen parallelen Handlungsstrang: Während die ganze Welt über Wanna Cry redet, macht sich still und leise ein weiterer Käfer breit, der auf die gleiche Art und Weise in Computer gelangt: Adylkuzz. Dieser Parasit verhält sich unauffällig und stellt keine Forderung an seine Wirte. Dafür missbraucht er deren Rechenleistung zur Herstellung einer anderen Kryptowährung namens Monero.

Interne Bedrohung als Treiber

Man darf nicht vergessen, dass Unternehmen im Kontext von Fraud, Cybercrime und Wirtschaftskriminalität dabei nicht nur von aussen (extern) in From von Hacking, DDoS, Malware, Ransomware, e-Fraud etc., sondern auch durch die eigenen Mitarbeitenden (intern) gegenüber wirtschaftskriminellen Handlungen gefährdet sind. Wertewandel, zunehmende Individualisierung der Mitarbeitenden, abnehmende Loyalität gegenüber einem immer stärker fordernden Arbeitgeber, komplexe, spezialisierte Produkte und komplizenhafte Netzwerke sind Faktoren, welche die Kriminalität von innen stark begünstigen können, wie auch der individuelle Wunsch nach rascher Bereicherung.

Es ist natürlich, dass wenn hier Mitarbeitende erwähnt werden, auch das Management mit gemeint ist – denn gerade dieses scheint sich besonders oft mit internem Fraud zu verschulden. Vergleiche dazu: NZZ und KPMG Fraud Barometer für das letzte Jahr:

Bei der Wirtschaftskriminalität stellen – wenig überraschend – Führungskräfte aufgrund ihrer internen Stellung und ihres Handlungsspielraums in den Unternehmen die grösste Gefahr dar: So war das Management in 58% aller Fälle alleine für die Taten verantwortlich; und in weiteren 21% der Fälle machten Führungskräfte mit Angestellten gemeinsame Sache.

Hier könnte man auch den Cyberraum als Erklärungsversuch hernehmen, um ein Motiv für den zunehmenden Betrug herzuleiten (Quelle: Stellenweise Auszug aus einem Interview mit dem bekannten Philosophen Peter Sloterdijk im Tagesanzeiger):

Heute sind die Vergleiche untereinander durch das Internet [vgl. Facebook, Twitter, Instagram, Snapchat etc.] virulenter geworden, man vergleicht sich direkt mit dem Bevorzugten, [gerade das Internet ermöglicht es in dieser Hinsicht jede soziale Immunabwehr aufzulösen], die schlechter gestellten treten in eine verzehrende Konkurrenz mit den Bessergestellten. Das Spektrum an Aufstiegschancen mag sich in der Moderne zwar vervielfacht haben. Aber eben deswegen produziert die moderne Gesellschaft für so viele ein Verlierergefühl: Wenn es zahllose Chancen gibt und man hat keine nutzen können, dann ist das Verlierergefühl umso bitterer [und die Motivation zu betrügen vielleicht umso grösser].

Gerade der Finanzdienstleistungssektor scheint global der am stärksten von interner Mitarbeiterkriminalität betroffene Sektor zu sein. Betrug von innen und die in diesem Zusammenhang etablierten Compliance Regeln sowie Vorgaben werden gerade in der letzten Zeit wieder – besonders im stark regulierten Finanzdienstleistungsbereich – intensiv diskutiert und verschärft.

Die mit Wirtschafts- und Cyberkriminalität, Korruption etc. verwandten Regeln zum Schutz von Unternehmenswerten haben sich in den letzten Jahren vervielfacht. Tendenz stetig steigend. Strafverfolgung und Haftung sind inzwischen grenzüberschreitend aktiv, man verschafft sich systematisch Einblick in das digitale Innenleben von Organisationen und Unternehmen.

Bewusstsein vorhanden, Willen zur Aktion fehlt

Ganz generell kann beobachtet werden, dass Sicherheit von vielen als hohes Gut in vielen Lebensbereichen hervorgehoben wird, aber die dazu angebotenen Mittel nicht angemessen genutzt werden. Insbesondere umso weniger, wenn Risiken vorgebeugt werden soll, die man selbst noch nicht erfahren hat; diese Vorbeugung aber mit Aufwand in Form von Geld, Zeit oder der Änderung gewohnter Verhaltensweisen verbunden ist. Bei Unternehmen ist dies erkennbar, dass wenn diese erstmalig oder mit neueren Betrugsformen konfrontiert sind, sie sich erst mit der Realität auseinandersetzen, obowhl sie schon zuvor bestens darüber informiert waren, dass sie von derartigen Risiken betroffen sind.

• Durch den wirtschaftlichen Druck sich permanent anzupassen, gehören Veränderungen in und an der Organisation zum Geschäftsalltag (Merger & Acquisitions, Restrukturierung, Personalabbau etc.). Dies kann zu einer Schwächung der existierenden Sicherheitsvorkehrungen führen, die von Betrügern systematisch ausgenutzt wird.
• Unternehmen kennen zwar mögliche Betrugsprobleme, sind sich häufig aber nicht der Komplexität und Vielschichtigkeit der Betrugsrisiken bewusst, denen ihre Organisationen ausgesetzt ist. Dabei fehlt die Reflexion über die Angemessenheit der existierenden Controls genauso wie auch die Ermittlung der tatsächlichen Exposition gegenüber diesen Risiken.
• Zu schwacher präventiver Schutz begünstigt ebenfalls Betrugsdelikte. Ein Mangel an deduktiven, nachträglich aufdeckenden Massnahmen (Logging, Monitoring, SIEM etc.) kann dazu führen, dass interne Betrugsdelikte erst nach langer Zeit ans Tageslicht gelangen – oder gar nie.
• Unkenntnis der Mitarbeitenden, was zu tun ist, wenn sie einen Betrug vermuten oder entdecken. Dadurch kann es aus Angst und Unwissenheit dazu kommen, dass ein potentieller oder realer Betrug nicht gemeldet wird oder darauf nicht angemessen reagiert wird. Der Ausspruch von Benjamin Frenklin An ounce of prevention is worth a pound of cure scheint hier besonders zutreffend zu sein. Oder einfach gesagt Prevention is better than curing – Prävention ist besser als heilen.

Wann wird aus einer Handlung eine Straftat?

Mit zunehmender Digitalisierung und Automatisierung stehen die IT-Systeme verstärkt im Fokus der Täter. Schwachstellen in den internen Kontrollen können durch interne oder externe Angreifer missbräuchlich genutzt und so Daten in grossen Mengen entwendet oder zweckentfremdet werden. Neben dem Begriff der Computerkriminalität gewinnt daher auch zunehmend die Cyberkriminalität an Bedeutung, die hier dadurch unterschieden ist, dass Cybercrime als kriminelle Aktivität bezeichnet, welche explizit mithilfe des Internets ausgeführt wird.

Kriterien für die Kriminalität einer Cyberaktivität:

• strafrechtlich relevant
• zum Nachteil des Unternehmens
• Vorsätzlich durchgeführte Handlungen der Mitarbeiter, der gesetzlichen Vertreter, der Mitglieder der Aufsichtsorgane oder Dritter (im Falle von Betrug von innen)

Dabei wird normalerweise angenommen, dass durch die Handlung ein ungerechtfertigter oder rechtswidriger Vorteil erlangt wird.

Rolle der IT- und Informationssicherheit

Die ursprüngliche – und weiterhin wichtige – Aufgabe der Vertreter der Informationssicherheit ist ihr Einsatz bei internen Ermittlungen, Prüfungen, Audits, Untersuchungen oder Investigationen etc.

Aus Sicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umfasst eine Cybercrime-Untersuchung als Aufgabe der Informationssicherheit:

eine methodisch vorgenommene Datenanalyse auf Datenträgern und in den Computernetzen zur Aufklärung von Verdachtsmomenten bzw. des Verdachts auf dolose Handlungen.

Im Rahmen von Data Mining, Data Matching, Datenanalyse, Umfeldanalyse sowie Analyse der internen Kontrollen sollten folgende Informationen gewonnen werden:

• Beschreibung des Betrugsfalls nach Zeit und Ort
• Konkrete Beschreibung der Art des Vorfalls
• Kontrollen- und Schwachstellenanalyse
• Informationen über die am Vorfall Beteiligten, Identifizierung von Tätern
• Ermittlung des Schadensumfangs (Wert, Ausmass) und möglicher Folgeschäden

Die Rolle Informationssicherheitsvertreter:

• Informationsgewinnung: relevante Informationen gewinnen
• Informationsauswertung: Informationen analysieren und bewerten
• Bereitstellung der Ergebnisse: Ergebnisse und Beweise den Ermittlern bzw. Prüfern bereitstellen
• Aufarbeitung: Informationen zielgruppengerecht aufarbeiten, damit die an den Prüfungen und Ermittlungen Beteiligten die Daten verstehen und korrekt in ihre Denkprozesse integrieren können

Und weiter:

• Durchführung von diversen internen Befragungen (Interviews)
• gerichtsverwertbare Beweissicherung (Zeitstempel, Verschlüsselung, qualifizierte Signatur etc.)
• digitale Beweissicherung (E-Mails, Festplatten, USB-Sticks, Cloud etc.)
• Analyse und Darstellung von Prozessabläufen
• Feststellung der Schadenshöhe zur Durchsetzung von Schadensersatzleistungen
• Mitarbeit beim Festhalten der Ergebnisse im Reporting

Obwohl die Cyberkriminalität vorrangig als Domäne der international agierenden, geographisch verteilten organisierten Gruppen gilt, sind an den kostspieligsten bekannten Attacken sehr oft Insider beteiligt gewesen.

Typische Beiträge an Cyber-Attacken durch interne Mitarbeiter sind daher:

• Lokalisierung von Vermögensgegenständen (Asset Tracing)
• Analyse von Geldflüssen (Follow the Money)
• Rekonstruktion von Transaktionen
• Preisgabe von Insiderwissen

Mögliche Ansatzpunkte

Um dem Cybercrime und Fraud in allen Ausprägungen entgegenzuwirken, bedarf es einer strukturierten Vorgehensweise, die sich in 3 klassische Bereiche der Fraudbekämpfung gliedert: Prävention, Aufdeckung und Reaktion.

Oft lassen sich Aktivitäten gut in bestehende Organisationsstrukturen integrieren (prädestiniert sind Informationsecurity- und Compliance-Management), bereits vorhandene Schnittstellen können genutzt werden, um Synergeieffekte zu erzielen. Voraussetzungen hierfür sind:

• Bereitschaft Ressourcen für die Organisation von Anti-Fraud und Anti-Cybercrime Aktivitäten freizugeben
• Entwicklung und Gestaltung Regeln, Richtlinien und Arbeitsanweisungen
• Implementierung von Monitoring
• Konzeption und Durchführung von Risikoanalysen mit konkreten Szenarien
• Durchführung von Schulungen

Innerhalb der 3 klassischen Bereiche der Fraudbekämpfung sind folgende Themen zu behandeln:

• Verhindern / Prävention: Weitestgehende Vermeidung von konkreten Risikoszenarien: Hierzu zählen Regelwerke (zum Beispiel Anti-Fraud-Richtlinie, Code of Conduct, Umgang mit Interessenkonflikten und Zuwendungen, Schulungen, Zuverlässigkeitsprüfungen bei Mitarbeitenden, Due Diligence (Front-Prozesse), Gefährdungs- und Risikoanalysen).
• Aufdecken / Detektion: Anhand definierter Schwellenwerte mit dem Ziel die Dauer des Fraudfensters zu verkürzen: Monitoring-Prozesse und Tools, Hinweisgebersystem, Gefährdungs- und Risikoanalysen.
• Aufarbeiten: Fälle, die einen definierten Schwellenwert übersteigen müssen aufgearbeitet und sanktioniert werden. Zu diesem Schritt zählt auch das regelmässige identifizieren von Cybercrime und Fraud Risiken, um die darauf angemessene Reaktion verbessern zu können: Kommunikationskonzepte (intern und extern), Notfallpläne, Anreizprogramme, Sanktionssystem, Lessons learned-Prozess, Reporting.

Fazit

Um sich so gut wie möglich gegen Fraud und Cybercrime zu schützen, muss ein besonderes Augenmerk auf folgende Punkte gelegt werden:

• Konsequente Anwendung von Data Analytics, Monitoring, Logging bei Key-Systemen und Schnittstellen sowie volle Kontrolle über Datenanalyse innerhalb der gesamten relevanten Bereiche.
• Planung und Durchführung szenarienbasierter, interaktiver Sessions zur Beurteilung von Betrugsrisiken im Kontext der Branche und des Unternehmens. Risiken müssen so spezifisch wie möglich identifiziert und quantifiziert werden und das Management muss über die für die Organisation bestehenden Risiken und die zu ergreifenden Massnahmen aufgeklärt und geschult werden.
• Etablierung von Key-Controls in bedeutenden Geschäftsbereichen und sicherstellen, dass angemessene präventive und deduktive Massnahemen eingerichtet wurden, einschliesslich der kontinuierlichen Überwachung der Wirksamkeit sowie weitere automatisierte technische Lösungen zur Unterstützung: Automatisierte Auswertungstools gewinnen bei der Prävention, Detektion und Reaktion, insbesondere in Hinblick auf die steigende Computer- und Cyber-Kriminalität, zunehmend an Bedeutung. Nicht zuletzt aufgrund ihrer Effizienz (Big Data), Versatilität und dem Potential Kosten für die analytischen, forensischen oder deduktiven Analysen kosten zu senken, die sonst oft manuell und mit erheblichem Aufwand von Spezialisten durchgeführt werden müsste.
• Aufbau von koordinierten, zielgerichteten Strategien, Systemen, Richtlinien, Verfahren und Prozesse zur aktiven Bekämpfung von Betrug.
• Generelle Awareness und konkrete Schulungen für Betrugsdelikte auf allen Stufen (Verwaltungsrat, Management, Audit Committees, Geschäftsleitung, Mitarbeitende, und andere identifizierte Key-Employees).

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

• http://www.tagesanzeiger.ch/ausland/europa/merkel-ging-einen-teufelspakt-ein/story/16212849
• https://home.kpmg.com/ch/de/home/medien/press-releases/2017/02/kpmg-forensic-fraud-barometer.html
• https://nzzas.nzz.ch/notizen/adylkuzz-dieser-neue-cyber-parasit-will-mit-unseren-computern-geld-scheffeln-ld.1295250
• https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Dienstleistungen/IT-Forensik/forensik_node.html
• https://www.nzz.ch/wirtschaft/57-faelle-in-der-schweiz-vor-gericht-milliardenschaeden-durch-wirtschaftskriminalitaet-ld.147039