Freitag, 20. Mai 2022

Britische Studie zu Cyber­kriminalität im Glücksspiel-Sektor: „Professionell, schnell und verheerend“

Computerdisplay grüner Code auf schwarz Die Forscher untersuchten den Umgang mit Cybersicherheit im britischen Glücksspiel-Sektor (Quelle:unsplash.com/Markus Spiske)

Die Cybersicherheit im britischen Glücksspiel- und Lotteriesektor ist gut, jedoch ausbaufähig. Zu diesem Schluss kommt ein in dieser Woche veröffentlichter Bericht des staatlichen National Cyber Security Centers (NCSC). Zu den großen Herausforderungen der Branche zähle, dass Cyberangriffe immer besser durchdacht seien. Auch bei der Betrachtung der Lieferketten im Online-Glücksspiel-Bereich ergebe sich mit Blick auf die Cybersicherheit Handlungsbedarf.

Glücksspiel-Sektor von „erheblichen Vorfällen“ verschont geblieben

Ziel der Studie seien Erkenntnisse zu den größten Cyber-Bedrohungen für die britische Glücksspiel- und Lotteriebranche gewesen. Hierzu gehörten Fragen nach Art und Inhalt möglicher Delikte sowie dem Umgang des Sektors mit den Sicherheitsrisiken.

Für den Bericht [Seite auf Englisch] führte das britische Marktforschungsinstitut Ipsos MORI im Auftrag des NCSC eine Befragung unter Akteuren des Online-Glücksspiel- und Lotterie-Sektors durch.

Hierzu seien im Frühjahr 2020 acht leitende Cybersicherheitsexperten „aus einigen der größten Glücksspiel- und Lotterieorganisationen“ in einstündigen Interviews ausführlich befragt worden. Ergänzend habe es eine breit angelegte Online-Umfrage gegeben.

Etwas mehr als die Hälfte der Befragten habe angegeben, dass ihr Unternehmen in den vorangegangenen zwölf Monaten Ziel mindestens eines Cyberangriffs gewesen sei. Zu „erheblichen“ Vorfällen soll es jedoch nicht gekommen sein.

Einige der Teilnehmer hätten eine Zunahme von Cyberattacken mit Beginn der Pandemie festgestellt. Im Allgemeinen überwiege jedoch die Ansicht, dass sich das Bedrohungsniveau für die Branche nicht grundlegend verändert habe.

Datendiebstahl und DDoS-Attacken

Alle Befragten, die Cyberkriminalität gegen ihr Unternehmen registrierten, hätten Hacking oder versuchtes Hacking von Online-Benutzerkonten erlebt. Beim sogenannten Credential Stuffing verwenden Hacker die erlangten gültigen Zugangsdaten, um auf andere Webseiten zuzugreifen.

Den Branchenexperten zufolge habe diese Art der Angriffe nur „begrenzte“ Auswirkungen auf ihre Unternehmen. So habe einer der Befragten angegeben, dass „die direkten finanziellen Kosten ziemlich vernachlässigbar“ seien. Gleichwohl bestehe das Risiko nachhaltiger Imageschäden, wenn Nutzerdaten kompromittiert würden.

Cyber-Angriff

Zu Beginn der Pandemie kam es vermehrt zu Cyber-Attacken (Quelle:flickr.com/Christiaan Colen, licensed under CC BY-SA 2.0)

Eine deutliche Zunahme sei bei den ohnehin verbreiteten sogenannten DDoS-Angriffen verzeichnet worden. Zu Beginn der Pandemie teils um bis zu 600 %. Die gezielten massenhaften Aufrufe von Seiten sollen die Dienste für Nutzer nicht mehr erreichbar machen. Erfolgreiche Attacken dienen meist Erpressungsversuchen gegen die ins Visier genommenen Unternehmen.

Den Glücksspiel-Vertretern zufolge seien auch hier die Folgen überschaubar geblieben. So hätten die vermehrten Angriffe zwar zusätzlichen Zeitaufwand benötigt, letztlich, so ein Befragter, habe sein Team jedoch auch aus dem Homeoffice „großartige“ Arbeit geleistet.

Cybersicherheit: Unsicherheitsfaktor Mensch

Als größere Herausforderung klassifizierte einer der befragten Experten eines britischen Wettanbieters Phishing-Versuche. Generell seien die Unternehmen aufgrund vorgegebener Prozesse und Kontrollen gut gegen den Versuch von Betrügern gerüstet, über von Nutzern unabsichtlich heruntergeladene Malware infiltriert zu werden.

Zugleich hinge der Erfolg der Attacken maßgeblich vom Faktor Mensch ab. Ob Mitarbeiter einem Link folgten oder unabsichtlich Zugangsdaten preisgäben, könne vonseiten der Firmen nur begrenzt unterbunden werden.

Deutlich ausgeklügelter sei Glücksspielvertretern zufolge die sogenannte Ransomware geworden. Hierbei handelt es sich um eine Art von Malware, die Einzelpersonen oder Organisationen am Zugriff auf ihren Computer hindert. In der Regel verlangen Täter eine Zahlung, um den betroffenen Computer zu entsperren.

Die Studie zitiert hierzu einen Sicherheitsexperten eines Online-Glücksspiel-Anbieters:

Die Entwicklung von Ransomware ist äußerst beunruhigend (…) Das Ausmaß der Katastrophe, die eintreten kann, wenn man von einer dieser Gruppen angegriffen wird, ist äußerst besorgniserregend. (…) Die Geschwindigkeit, mit der sie ihre Aufgaben bewältigen können, ist phänomenal. [...] Sobald sie ihre Arbeit getan haben, ist man ihren Launen ausgeliefert. Sie haben wahrscheinlich phänomenale Datenmengen extrahiert und verschlüsselt, so dass es keinen wirklichen Ausweg mehr gibt, selbst wenn man Lösegeld zahlt, um alles freizugeben. Also ja, es ist extrem beunruhigend, es ist nicht mehr dasselbe wie vor 5 Jahren, es ist extrem gezielt, professionell, schnell und verheerend.

Schwache Glieder in der Lieferkette

In Bezug auf ihre eigenen Unternehmen zeigten sich die Befragten zuversichtlich in Bezug auf die Stärke ihre Maßnahmen gegen Cyberkriminalität. Als Unsicherheitsfaktor galt jedoch oft die Frage der Lieferketten.

So erklärten die Verantwortlichen, dass ihre Maßnahmen zur Cybersicherheit nur sehr selten über die Vereinbarungen mit Dritten hinausgingen. Der Hauptgrund hierfür seien fehlende (vertragliche) Beziehungen zu vierten Parteien und der weiteren Lieferkette.

Gerade wenn man es mit Big Playern der Branche zu tun habe, entstünden nicht selten Schwierigkeiten bei der Durchsetzung der eigenen Sicherheitsstandards. Der für Cybersicherheit zuständiger Mitarbeiter eines Online-Glücksspiel-Anbieters erklärte hierzu:

In unserer Branche werden viele der zugrunde liegenden Spiele von Drittanbietern bereitgestellt. Wir setzen Marken auf diese Spiele auf. Natürlich entwickeln wir selbst einige Plattformen für unsere Spiele, aber ein großer Teil davon ist von diesen Dritten abhängig. Das schafft eine schwierige Position, weil es ein gewisses Maß an Monopolisierung gibt. Wenn man sich auf jemanden verlässt, der einen großen Einfluss hat, kann man weniger Kontrollen, Zugang zu Daten oder das Recht auf Audits und Ähnliches verlangen.

Bei der Frage nach den ihrer Meinung nach größten Cyber-Bedrohungen der kommenden zwei bis drei Jahre seien die Prognosen auseinandergegangen.

Neben den genannten Gefahren sorgten sich die Glücksspiel- und Cybersicherheitsexperten unter anderem wegen Spiel- und Wettmanipulation sowie Insider-Angriffen. Ebenfalls genau zu beobachten sei die Weiterentwicklung krimineller Methoden, beispielsweise unter Einbezug künstlicher Intelligenz.