Warum ist es wichtig, Cyberkriminalität zu melden?

Viele Länder, plus alle 50 US-Bundesstaaten, verlangen von Unternehmen, Datenschutzverletzungen zu melden, die personenbezogene Daten (Personally Identifiable Information, PII) gefährden. Andernfalls drohen schwere Strafen. Gemäß der DSGVO beispielsweise können Unternehmen, die keine Datenschutzverletzungen melden, mit Bußgeldern von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist. Aber die Meldung von Datenschutzverletzungen sollte durch etwas anderes als Angst motiviert sein.

Angenommen, Sie erleben eine Datenschutzverletzung, die nicht ganz die Meldeschwelle erreicht. Der Ransomware-Angriff infiziert einen einzelnen Server ohne wichtige Daten, sodass Sie ihn löschen und neu aufsetzen können. Sie entdecken einen Trojaner auf einem Endpunkt, bevor er Daten exfiltrieren kann. Diese Angriffe mögen trivial erscheinen, sind aber dennoch unbedingt meldepflichtig. Im Kampf gegen die Cyberkriminalität sind alle Datenpunkte wichtig.

Ransomware-Gruppen agieren heimlich – daher ist jeder Hinweis wichtig.

Angreifer sind sehr geschickt darin geworden, ihre Spuren während und nach einem erfolgreichen Cyberangriff zu verwischen. Während des Angriffs kommunizieren infizierte Computer mit Angreifern über verdeckte Kommunikationskanäle, die als Command and Control (C2) bezeichnet werden.

Bei C2 wird bösartiger Datenverkehr häufig als normaler Anwendungsdatenverkehr getarnt. Malware kann sich auch der Erkennung entziehen, indem ungewöhnlich hoch nummerierte Ports verwendet werden. Beaconing ist eine weitere Möglichkeit, eine Erkennung zu vermeiden, bei der Malware in zufälligen Intervallen, oft Stunden oder Tage nach der Erstinfektion, Anfragen nach Anweisungen sendet.

Indem sie den Datenverkehr tarnen und sich langsam bewegen, können ausgeklügelte Angreifer Beurteilungskriterien, IDS/IPS und andere Verteidigungsmechanismen umgehen. Anstatt Aufmerksamkeit mit einer Flut von Aktivitäten zu erregen, bleibt die Malware unterhalb der Erkennungsschwelle. Sobald der Angriff ausgeführt wurde, löscht oder verschlüsselt sich die Malware selbst und tilgt damit die Beweise.

Durch diese Kombination von Techniken sind Malware-Gruppen sehr schwer aufzuspüren – und wenn sie Fehler machen, ist es für Ermittler unerlässlich, die Beweise zu erhalten.

Jeder Bedrohungsakteur hinterlässt nachverfolgbare Informationen. 

Die erfolgreichsten Ransomware-Gruppen und Advanced Persistent Threats (APTs) können jahrelang ununterbrochen aktiv sein. Die LockBit-Gruppe zum Beispiel lief von 2019 bis 2024, bevor sie aufgelöst wurde. Die Ransomware-Gruppe, die derzeit als BlackSuit bekannt ist, ist seit 2016 unter dem einen oder anderen Namen tätig, als sie anfing, die Hermes-Ransomware anzubieten. Einige APT-Gruppen, die in der Regel staatlich gefördert werden, bestehen bereits seit über einem Jahrzehnt.

Wenn Gruppen wie diese lange Zeit operieren, entwickeln sie Gewohnheiten. BlackSuit erlangt oft Zugriff, indem es eine Phishing-E-Mail verwendet, die einen Fernzugriffstrojaner namens SystemBC installiert. Sie setzt Cobalt Strike und Mimikatz sowie weitere legitime Tools wie PowerShell und PSExec ein, um sich zu verbreiten, zu verfestigen und Berechtigungen zu erweitern. Schließlich verwendet sie eine partielle Verschlüsselungsstrategie, um mehr Dateien schneller zu verschlüsseln, bevor sie beginnt, Erkennungsschwellen zu überschreiten.

Warum werden gescheiterte Angriffe zu Hinweisen für die Strafverfolgungsbehörden?

Nehmen wir an, Sie sind CISO oder Security-Analyst. Sie stellen fest, dass einer Ihrer Endpunkte von SystemBC infiziert wurde, während er mit einem C2-Server kommuniziert. Sie handeln richtig und senden Ihre Protokolle an einen Ermittler. Anhand dieser Informationen geht der Ermittler davon aus, dass die Verwendung von SystemBC ein deutlicher Hinweis darauf ist, dass es sich um BlackSuit handelt. Jetzt kennt der Ermittler die Adresse eines BlackSuit C2-Servers.

Erkennt die Gruppe BlackSuit sofort, dass ihr Einbruchsversuch fehlgeschlagen ist? Vielleicht nicht. Fährt sie ihren C2-Server nach einem fehlgeschlagenen Eindringen sofort herunter? Vielleicht nicht. Wenn der Server noch aktiv ist, kann der Ermittler ihn möglicherweise einem physischen Rechenzentrum zuordnen und herausfinden, wer ihn mietet. Wenn er die gewonnenen Informationen mit Informationen anderer Ermittler kombiniert, kann er möglicherweise die Server der Gruppe abschalten und Verhaftungen vornehmen.

Übrigens ist das obige Beispiel kaum fiktiv. Am 24. Juli 2025 beschlagnahmte eine gemeinsame Task Force der US-amerikanischen und europäischen Strafverfolgungsbehörden BlackSuit-Domains und Infrastruktur und stellte Daten wieder her, die wahrscheinlich die Mitglieder der Gruppe entlarven werden. Tipps wie der oben sind nicht nur theoretisch nützlich. Sie können tatsächlich reale Auswirkungen haben, die Cyberkriminalität unterbinden.

Wie man einen Cybervorfall (unabhängig von der Größenordnung) meldet

Berichte über Cybervorfälle können lokal beginnen und global enden. Ob Sie es glauben oder nicht, Ihre örtliche Polizeibehörde ist in der Regel der erste Schritt im Meldeprozess, wenn Sie einen Cybervorfall melden. Immer häufiger verfügt sie über interne Ermittler, die sich auf Cyberkriminalität spezialisiert haben. Sie wird in der Lage sein, einen Bericht zu erstellen und bei Bedarf an staatliche und bundesstaatliche Behörden weiterzuleiten. 

Alternativ ist das Internet Crime Complaint Center (IC3) eine Ressource, die aus einer Partnerschaft zwischen dem US-Justizministerium und dem Federal Bureau of Investigation besteht. Es kann Ihren Fall prüfen und bei Bedarf an die örtlichen Strafverfolgungsbehörden, Landes- oder Bundesbehörden oder sogar an internationale Behörden weiterleiten.

Wenn Sie in der EU ansässig sind, werden Sie es wahrscheinlich mit einer Abteilung für Cyberkriminalität zu tun haben, die speziell für Ihren Mitgliedstaat zuständig ist. Für größere Vorfälle betreibt Europol das European Cybercrime Center (EC3). Diese Behörde sammelt Informationen über verschiedene böswillige Akteure und hilft bei der Koordinierung der Aktivitäten zwischen den EU-Staaten. Darüber hinaus bietet sie technische Notfallhilfe zur Behebung schwerwiegender Vorfälle an.

Bitte beachten Sie, dass selbst wenn ein Vorfall relativ geringfügig ist und der Vorfallsbericht nur an Ihre örtliche Polizeibehörde weitergeleitet wird, diese Informationen dennoch internationalen Ermittlern zur Überprüfung zur Verfügung stehen. Der kleinste Hinweis kann entscheidend dazu beitragen, große und gefährliche Organisationen zu zerschlagen.

Minimieren Sie das Risiko von Eindringlingen mit Barracuda 

Es besteht ein Unterschied zwischen „keine Cybervorfälle melden“ und „keine Cybervorfälle zu melden haben“. Barracuda bietet umfassende Cybersecurity als Service und hilft Ihnen, Ihre Endpunkte zu schützen, Schwachstellen in Echtzeit zu erkennen und Ihre IT-Ressourcen zu erweitern. Erfahren Sie mehr über Barracuda Managed XDR und wie wir Ihnen helfen können, Ihren Zeitplan für Erkennung und Abwehr von Tagen auf Stunden zu verkürzen und so das Risiko eines meldepflichtigen Cybervorfalls drastisch zu reduzieren.