Cyber-Kriminalität weiter auf dem Vormarsch

28 Apr 2017

Anfang der Woche stellte Bundesinnenminister Thomas de Maizière die aktuelle Polizeiliche Kriminalstatistik 2016 in Berlin vor. Die Zahlen sind...

Mehr >>

Anfang der Woche stellte Bundesinnenminister Thomas de Maizière die aktuelle Polizeiliche Kriminalstatistik 2016 in Berlin vor. Die Zahlen sind erschreckend. Mit rund 82.649 registrierten Fällen haben sich die Vorkommnisse von Cyber-Kriminalität „im engeren Sinne“ im Vergleich zum Vorjahr nahezu verdoppelt.

Beim Computerbetrug gab es einen deutlichen Rückgang von 23.562 auf 14.722 Fälle. Beim Ausspähen und Abfangen von Daten stieg die Zahl leicht von 9.629 auf 10.638. Um ganze 25 Prozent stiegen die Fälle von Computersabotage. Hier wurden 2016 4422 Vorkommnisse registriert. Hierzu zählen u. a. DDoS-Attacken. Dabei schicken die Täter massenhaft Anfragen an eine Webseite oder einen Dienst, bis dieser zusammenbricht. Oft erfolgt die Attacke mithilfe eines sogenannten Botnetzes. Besondere Bekanntheit erlangte im vergangenen Jahr Mirai, das tausende Telekom-Router lahmlegte.

Die Aufklärungsquote konnte insgesamt um 5,9 Prozent auf 38,7 Prozent erhöht werden – doch nicht in jedem Bereich. Für die Aufklärung von Computersabotage sank die Quote sogar um 4,6 auf 22,1 Prozent. Ein großes Problem der Polizei ist, dass sich die Kriminalität in einer vernetzten Welt zunehmend internationalisiert. Nur wenn die Taten in Deutschland begangen wurden oder zumindest ein begründeter Verdacht hierfür vorliegt, erscheinen sie in der Statistik. Stehen die Server im Ausland, sieht die Sachlage anders aus. Um auch diese Fälle zu erfassen, plant das BKA einen separaten Lagebericht, der jedoch erst für 2017 erstellt wird.

Und noch ein weiteres Problem zeigt die Statistik nicht: Die unglaublich hohe Dunkelziffer der Straftaten, die nicht zur Anzeige gebracht und damit gar nicht erst erfasst wurden. So erklärte der Vorsitzende des Bundes Deutscher Kriminalbeamter, André Schulz, gegenüber der Zeitung „Welt“, dass rund 90 Prozent der Fälle von Cyber-Kriminalität nicht angezeigt würden. Den tatsächlichen Schaden schätzt Schulz daher auf einen zweistelligen Milliardenbetrag.

Die Statistik zeigt dennoch, dass Cyber-Kriminalität auf dem Vormarsch ist und vor allem die Fälle von Computersabotage zunehmen. Unternehmen und private Internetnutzer müssen lernen, sich zu schützen – nicht nur durch technische Maßnahmen, sondern auch indem sie im Netz auf der Hut sind.

Weniger >>

Black-Duck-Studie zeigt: Open-Source Komponenten gefährden die Sicherheit vieler Anwendungen

21 Apr 2017

Die Verwendung von Open-Source-Komponenten ist für Software-Entwickler eine praktische Sache: Sie verringern sowohl den Zeit- als auch den...

Mehr >>

Die Verwendung von Open-Source-Komponenten ist für Software-Entwickler eine praktische Sache: Sie verringern sowohl den Zeit- als auch den Kostenaufwand. Produkte können so schneller auf den Markt gebracht werden. Doch sie sind nicht nur für Unternehmen äußerst attraktiv, sondern auch für kriminelle Hacker. Denn viele populäre Open-Source-Codes sind fehlerbehaftet und beinhalten – häufig sogar seit langem bekannte – Sicherheitslücken. Das zeigt die Studie „2017 Open Source Security & Risk Analysis“ der Sicherheitsexperten von Black Duck.

Für die Studie wurden über 1.000 kommerzielle Anwendungen auf Sicherheitslücken in den Open-Source-Bestandteilen der Software untersucht. Insgesamt nutzten rund 96 Prozent der Anwendungen im Schnitt 147 Open-Source-Bestandteile, die rund ein Drittel des gesamten Codes ausmachten. Das ist nicht verwerflich. Außerdem wäre es nicht besonders schlimm, wenn nicht etwa 67 Prozent der analysierten Programme Open-Source-Code mit Sicherheitslücken nutzen würden, die seit mehr als vier Jahren bekannt sind. Sogar weithin bekannte Sicherheitslücken wie der Open-SSL-Bug Heartbleed konnten noch nachgewiesen werden – obwohl es bereits seit Jahren Patches gibt, mit denen das Leck einfach gestopft werden könnte.

Die Open-Source-Experten von Black Duck warnen in ihrer Studie davor, dass die Nutzung von fehlerhaftem Open-Source-Code ein ernsthaftes Sicherheitsrisiko für eine Anwendung darstellen kann, denn die meisten Lücken und Exploits sind öffentlich bekannt und über Datenbanken abrufbar. Das wissen auch kriminelle Hacker und suchen gezielt Anwendungen, in die sie ohne großen Aufwand eindringen können. Würde man die bereits vorhandenen Updates der Open-Source-Bestandteile einspielen, könnte man den Angreifern das Leben wesentlich schwerer machen. Doch das tun die wenigsten, denn dazu müsste man zum einen wissen, welche Open-Source-Codes man verwendet und zum anderen regelmäßig nach Updates suchen. Denn anders als bei bezahlter Software sind Updates bei Open-Source-Lösungen eine Hol- und keine Bringschuld.

Um zu vermeiden, dass Anwendungen unnötig angreifbar sind, empfiehlt Black Duck ein vollständiges Inventar der verwendeten Open-Source-Codes zu erstellen und diese regelmäßig auf bekannte Sicherheitslücken zu überprüfen. Das ist beispielsweise in der National Vulnerability Database möglich.

Die gesamte Studie kann auf der Seite von Black Duck unter https://www.blackducksoftware.com/open-source-security-risk-analysis-2017 heruntergeladen werden.

Weniger >>

Weitere Beiträge anzeigen