Diese Seminararbeit behandelt die Cyber Security an sich und Open Source Intelligence (OSINT) Methoden, um Angriffe zu ermitteln.
Erst durch das genaue Erkennen des Angriffes kann eine Aufdeckung erfolgreich durchgeführt werden. Aus diesem Grund werden, nachdem die grundlegenden Begriffe definiert wurden, zwei Angriffe vorgestellt. Daraufhin wird eine methodische Vorgehensweise und Techniken zum Aufspüren beschrieben. Dabei wird diese Arbeit aus der Perspektive eines Ermittlers geschrieben.
Inhaltsverzeichnis
1 Einleitung
2 Grundlagen
2.1 Open Source Intelligence
2.2 Cyber Security
3 Arten der Angriffe
3.1 Phishing
3.2 Denial of Service
4 Einsatz von OSINT
4.1 Intelligence Cycle
4.2 Ermittlung der Angriffe
5 Fazit
Literaturverzeichnis
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
2.1 Inhalte der Informationssicherheit
3.1 Phishing-Angriff per E-Mail
3.2 Denial of Service
3.3 Distributed Denial of Service
3.4 Distributed Denial of Service mit Zombies
4.1 Die Wissenspyramide
4.2 Der traditioneller Intelligence Cycle
4.3 E-Mail Header einer Phishing-Mail
4.4 Ein Teilbericht einer Whois-Abfrage
1 Einleitung
Technologien, welche u.a. auf dem Internet basieren, wird die schnelle Übermittlung von Nachrichten ermöglicht. Eine solche Nachricht ist beispielsweise die E-Mail.
Im Jahr 2018 gab es in Deutschland seit 2015 einen Zuwachs von über 200 % an Cyberkriminalität im engeren Sinne, die lediglich polizeilich erfasst wurde 1. Das Bedeutet, dass es ungefähr dreifach gestiegen ist. Zu diesen Cyberkriminalitäten gehören missbräuchliche Nutzungen von Telekommunikationsdiensten, Datenveränderung/Computersabotage sowie Ausspähen oder Abfangen von Daten 1. Zur Cyberkriminalität im engeren Sinne gehören alle Straftaten, die unter Ausnutzung Informations- und Kommunikationstechnik oder gegen diese begangen wurde 29.
Dazu sind im Jahr 2019 5,594 Millionen aktive E-Mail-Accounts weltweit registriert 2, sowie die Anzahl der täglich versendeten und empfangenen E-Mails beträgt 293,6 Milliarden - Tendenz steigend 3. Gleichzeitig bedeutet dies eine breite Angriffsfläche für kriminell Motivierte. Über sogenannte Phishing-Mails versuchen diese an sensible Daten von Nutzern zu gelangen. Die Anzahl solcher Mails wird auf mehrere zehn Millionen geschätzt 4. Der daraus entstandene finanzielle Schaden wird im Jahr 2016 allein in Deutschland auf 8,7 Millionen Euro beziffert 5.
Da diese Problematik rasanter ansteigt, ist es noch wichtiger die Quellen der Angriffe zu identifizieren. Diese Seminararbeit behandelt die Cyber Security an sich und Open Source Intelligence (OSINT) Methoden, um Angriffe zu ermitteln. Erst durch das genaue Erkennen des Angriffes kann eine Aufdeckung erfolgreich durchgeführt werden. Aus diesem Grund werden, nachdem die grundlegenden Begriffe definiert wurden, zwei Angriffe vorgestellt. Daraufhin wird eine methodische Vorgehensweise und Techniken zum Aufspüren beschrieben. Dabei wird diese Arbeit aus der Perspektive eines Ermittlers geschrieben.
2 Grundlagen
Um den Sachverhalt deutlicher veranschaulichen zu können, werden in den Grundlagen die wichtigsten Begriffe definiert. Zum einen ist es für einen Ermittler wichtig, die Bedeutung des OSINT zu kennen und zum anderen spielt die Definition von Cyber Security auch eine große Bedeutung.
2.1 Open Source Intelligence
Die Geschichte von OSINT begann bereits vor Jahrzehnten. Erst mit dem zweiten Weltkrieg bekam OSINT durch die Vereinigten Staaten einen Namen. Die US-Armee nutzte öffentliche Informationen, um Spionage zu betreiben. Im Buch von Allen Dulles, der ehemalige Direktor der Central Intelligence Agency (CIA), wird beschrieben, wie die Vereinigten Staaten die Intelligenz im zweiten Weltkrieg einsetzte. Des Weiteren enthält es die zun- künftigen Potentialien der Intelligenz, die ausgeschöpft werden könnte. Allen Dulles war auch der Meinung, dass jedes Land eine „intellligence analysis“ betreiben sollte, um über Errungenschaften in anderer Länder aus unterschiedlichen Branchen zu erfahren (vgl. 6). Dies bedeutet so viel wie, dass jedes Land seine eigene Spionage betreiben sollte.
Die folgenden Definitionen stammen von der North Atlantic Treaty Organization (NATO), Bundesnachrichtendienst (BND) des Öffentlichen Rechts (Public law) der Vereinigten Staaten. Diese wurden zeitlich angeordnet. Es wurden explizit Definitionen der Behörden ausgesucht, da diese wissenschaftliche Arbeit aus der Perspektive eines Ermitterls betrachtet wird.
North Atlantic Treaty Organization
„Open Source Intel ligence, or OSINT, is unclassified information that has been deliberately discovered, discriminated, distil led and disseminated to a select audience in order to address a specific question.“ 7
Öffentliche Recht (Public Law)
„Open-source intel ligence (OSINT) is intel ligence that is produced from publicly available information and is col lected, exploited, and disseminated in a timely manner to an appropriate audience for the purpose of addressing a specific intel ligence requirement.“ 8
Bundesnachrichtendienst
„OSINT steht für OPEN SOURCE INTELLIGENCE. Damit ist die Beschaffung von frei verfügbaren Informationen gemeint. Die offene Informationsgewinnung stel lt das quantitativ größte Aufkommen.“ 9
OSINT steht für Informationen oder eine Intelligenz aus Informationen, die aus öffentlichen Quellen gewonnen wurden. Diese Intelligenz oder Information wird bewusst aufgesucht, um Antworten auf bestimmte Fragen zu erhalten. Dabei sind die Informationen zunächst nicht klassifiziert, erst nach dem Sammeln werden diese ausgewertet und in eine Struktur gebracht, bevor sie weiter verbreitet werden.
2.2 Cyber Security
2.2.1 Einführung
In der Literatur sind zahlreiche Definitionen über Cyber Security zu finden. Dabei stellt sich die Frage, ob die deutsche Übersetzung die gesammte Informationssicherheit oder nur den Teilbereich der Informationstechnik (IT)-Sicherheit abdeckt. In der Abb. 2.1 sind die Inhalte der Informationssicherheit abgebildet.
Abbildung in dieser Leseprobe nicht enthalten
Abb. 2.1: Inhalte der Informationssicherheit 10
Im weiteren Verlauf werden Definitionen aus unterschiedlichen Literaturen und Lexika aufgeführt, sodass eine umfassende Betrachtung ermöglicht werden kann.
Inge Hanschke
„Die Informationssicherheit zielt auf den angemessenen Schutz von Informationen und IT-Systemen insbesondere in Bezug auf al le festgelegten Schutzziele, wie Vertraulichkeit, Integrität und Verfügbarkeit, ab. So sol l insbesondere ein unbefugter Zugriff oder Manipulation von Daten verhindert und soweit möglich vorgebeugt werden, um daraus resultierende wirtschaftliche Schäden zu verhindern. Bei den Daten ist es unerheblich, ob diese einen Personenbezug haben oder nicht. Informationen können sowohl auf Papier oder in IT-Systemen vorliegen.“ 11
Gabler Wirtschaftslexikon
„ Cybersecurity oder IT-Sicherheit ist der Schutz von Netzwerken, Computersystemen, cyber-physischen Systemen und Robotern vor Diebstahl oder Beschädigung ihrer Hard- und Software oder der von ihnen verarbeiteten Daten sowie vor Unterbrechung oder Missbrauch der angebotenen Dienste und Funktionen. Bei den Daten handelt es sich sowohl um persönliche als auch um betriebliche (die wiederum persönliche sein können)“ 12
Nobert Pohlmann
„ Cyber-Sicherheit befasst sich mit al len Aspekten der IT-Sicherheit, wobei das Aktionsfeld auf den gesamten Cyber-Raum ausgeweitet wird. Cyber-Raum umfasst in dieser Definition sämtliche mit dem globalen Internet verbundene IT und IT- Infrastrukturen sowie deren Kommunikation, Anwendungen, Prozesse mit Daten, Informationen und Intel ligenzen.“ 13
Informationssicherheit wird als Schutz von IT-Systemen und Computernetzwerken definiert. Daten und Informaitonen sollen ebenso vor Diebstahl und Manipulation gesichert werden. Hierbei spielt es keine Rolle, ob sie digital oder traditionell auf Papier vorliegen. Die Sicherheit von sämtlichen IT und IT-Infrastrukturen beinhaltet die IT-Sicherheit. Dabei sind Netzwerke, cyber-physische Systeme und Computersysteme inbegriffen. Daten sind ebenso ein Teil davon. Hier kann der Unterschied zur Informationssicherheit festgestellt werden. Die IT-Sicherheit beschränkt sich lediglich auf Informationen und Daten, die in Systemen vorliegen.
In dieser wissenschaftlichen Ausarbeitung versteht sich unter Cyber-Security der Schutz von IT-Landschaft, sowie der Daten, die sowohl persönlich als auch betrieblich sein können. Dabei werden die Informationen und Daten, die analog vorliegen ausgegrenzt.
2.2.2 Schutzziele
Das Ziel der IT-Sicherheit ist es Systeme und elektronische Informationen zu schützen. Um diesen Schutz zu gewährleisten werden Schutzziele beschrieben, die bewachende Eigenschaften und Zustände der Systeme und Informationen beinhalten (vgl. 16). Die drei bekanntesten Ziele sind die Vertraulichkeit, Verfügbarkeit und Integrität. Jedes Mal, wenn ein Angriff gestartet wird, wird einer dieser Schutzziele gebrochen. Aus diesem Grund ist es wichtig, diese im Voraus zu kennen und sich davor zu schützen.
Die Vertraulichkeit gewährleistet nur für autorisierte User den Zugriff auf Systeme und Daten 14. Dieses Ziel soll die Maßnahme ergreifen den Zugriff und Zugang auf Informationen und Systeme sicherzustellen 17. Die Gewährleistung, dass die Systeme und Informationen jederzeit betriebs- und zugriffsbereit sind, beschreibt die Verfügbarkeit 15. Sie stellt Maßnahmen zur Vermeidung von Beschränkung oder Unterbrechung der Verfügbarkeit auf 17. Die Integrität beschreibt die Unveränderlichkeit von Systemen oder Informationen. Als Maßnahme dazu sollen Veränderungen von nicht autorisierten Usern verhindert werden. Die Überarbeitungen müssen erkennbar und bestenfalls nachvollziehbar sein 17.
3 Arten der Angriffe
Um einen Angriff aufdecken zu können, ist es wichtig zu wissen, wie ein Angriff ausgeführt wird. Ohne den Weg zum Angriff, kann schwer eine Rückverfolugung stattfinden. Aus diesem Grund wird im angehenden Kaptiel zwei Beispiele zu Angriffen vorgestellt, die mithilfe von OSINT aufgespürt werden könnten. Als Erstes wird ein Identitätsdiebstahl anhand des Phishing-Verfahrens, in der auf persönliche Daten eines Users eingegriffen wird, aufgezeigt. Anschließend folgt der Denial of Service (DoS)-Angriff, die Netzwerke zeitweise blockiert oder gar komplett außer Betrieb setzen kann.
3.1 Phishing
Phishing leitet sich aus den zwei englischen Begriffen Password und Fishing ab. Sie stellt zudem eine spezielle Form des Social Engineerings dar. Dabei wird die Gutgläubigkeit des Users ausgenutzt und die persönlichen Daten missbraucht 20. Bei diesem Verfahren werden User aus jeglichen Diensten, vor allem Banken und Online-Shops, aufgefordert ihre Zugangsdaten preiszugeben. Ebenso ist es möglich, dass persönliche Daten gefordert werden, die das Knacken der Passwörter erleichtern können. Die Website erscheint auf dem ersten Blick stets bekannt und dadurch auch vertrauenswürdig. Dabei ist es nur eine Verfälschung der Originalseite des eigentlichen Dienstes. Für Angreifer sind nur die Websites interessant, aus denen er einen wirtschaftlichen Nutzen ziehen kann. Solche Seiten sind die, die einen Kundenportal mit Zugangsdaten besitzen 17. Ein Phishing-Angriff kann über E-Mails, sozialen Netzwerken oder auch durch Spam-Kommentare auf Websites erfolgen 20. Da Phishing meist per E-Mails durchgeführt wird, bezieht sich diese wissenschaftliche Arbeit nur auf diese Technik, um den Rahmen einzugrenzen.
Die Abbildung 3.1 veranschaulicht die Vorgehensweise eines Phishing-Angriffes per Mail. Der Angreifer erstellt zunächst eine Kopie der Website auf einen anderen Webserver. Anschließend versucht der Angreifer Kontakt zu potenziellen Opfern per Mail aufzunehmen. Da eine Zugriffsmöglichkeit einer Kundendatenbank nicht einfach ist, werden meistens eingekaufte Adressdatenbanken verwendet. Die Angreifer hoffen danach nur auf eine hohe Trefferquote. Durch das Erhalten der Mail vom User, wird er aufgefordert einen Link anzuklicken. Der Hyperlink leitet den User auf den Webserver des Angreifers hin. Damit der Link vertrauenswürdig erscheint, wird sogar ein Verweis auf das Impressum der Orginalseite erstellt.
Abbildung in dieser Leseprobe nicht enthalten
Abb. 3.1: Phishing-Angriff per E-Mail
Im Link wird der User dazu veranlasst sich anzumelden und evtl. persönliche Daten herauszugeben. Sobald Informationen in die Felder eingegeben werden, nimmt ein vorprogrammiertes Skript des Angreifers diese Informationen und speichert sie in einer Datenbank ab. Zum Schluss bekommt das Opfer eine Fehlermeldung, dass die angeforderte Seite nicht erreichbar ist. Nach paar Sekunde wird die Website automatisch aktualisiert und die originale Seite öffnet sich 17. Bis der User bemerkt hat, dass es zu einem Opfer wurde, hat der Angreifer schon seine Daten geklaut.
3.2 Denial of Service
Ein weiteres Verfahren, um einen Angriff zu starten, nennt sich Denial of Service. Damit werden keine Informationen gestohlen, wie beim Phishing, sondern der Zugriff auf einem bestimmten internetbasierten Netzwerk verhindert. Mit einem DoS-Angriff ist es sogar möglich das Netzwerk komplett außer Betrieb zu setzen. Dabei wird der Host mit einer hohen Anzahl an nicht relevanten Anfragen überflutet. Die Folge davon ist, dass der Host mit seinen eigenen Aufgaben nicht nachkommt 17. Das Ziel dabei ist es, dass User nicht den erwarteten Nutzen aus dem System ziehen können. Dies kann versehentlich oder aus böswilligen Ursachen stammen 18.
Traditioneller Denial of Service
Der gewöhnlichen DoS-Angriff besteht aus einer 1:1 Beziehung (Abb. 3.2). Der Angreifer legt alleine seinen Opfer außer Betrieb. Dabei muss der Angreifer aber mindestens die gleiche oder eine bessere Kapazität besitzen, wie sein Opfer. Er muss imstande sein leistungshungrige und eine große Anzahl an Abfragen zu generieren und abzuschicken. Vor allem bei datenbankgestützen Anwendungen 17.
Abbildung in dieser Leseprobe nicht enthalten
Angreifer
Abb. 3.2: Denial of Service 17
Distributed Denial of Service
Die leistungsfähigen Netzwerke zu stürzen ist für einen einzelnen privaten Rechner kaum möglich, da sie zu überlegen sind. Zur Überlastung des Opfer-Hosts muss die Anzahl der angreifenden Hosts erhöht werden (Abb. 3.3). Die Zusammenwirkung mehrerer Hosts nennt man auch Botnet. Erst dadurch wird die Kapazität des Angreifers überlegen. Andernfalls kann der Angriff nicht zu einem Erfolg führen 17.
[...]