Durch Ransomware-Angriffe ist bekannt, dass Cyber-Angriffe auch Auswirkungen außerhalb des Cyberraums haben können. Doch nicht bei allen Cyber-Angriffen sind diese leicht sichtbar. Angriffe, bei denen die Schäden im Cyberraum eher gering sind, können aus IT-Sicherheitssicht dadurch schnell harmlos wirken. Doch kann die Tat im Cyberraum nur einen kleinen Teil des gesamten Angriffes darstellen und eine Vorbereitungshandlung sein oder Spuren verwischen.

Auf dieser Seite sind Vorfälle und Phänomene zusammengefasst, die hauptsächlich außerhalb des Cyberraums Auswirkungen hatten, aber mit einer wesentlichen digitalen Komponente durchgeführt wurden.

1. Ausgewählte Vorfälle und Phänomene

1.1 Schmuggel über Containerterminals mit einem physischem Eingriff

Am 17. Juni 2013 wurde eine kriminelle Gruppe von belgischen und niederländischen Behörden im Rahmen einer Drogenermittlung festgenommen. Die Gruppe hatte Drogen durch den Hafen von Antwerpen geschmuggelt. Das Besondere daran war, dass sich die Kriminellen Zugriff auf Rechner von zwei Containerterminals sowie einem Hafenunternehmen verschafft hatten. Mit diesem konnten sie die Ladungsverzeichnisse einsehen, die ihnen erlaubten, die Container mit den geschmuggelten Drogen leicht auf dem Hafengelände zu lokalisieren.

Für den Cyber-Angriff haben die Kriminellen zuerst ein Remote Access Tool per E‑Mail ausgeliefert. Dieser initiale Zugriff wurde vom Betroffenen zu einem unbekannten Zeitpunkt detektiert und mitigiert. Anschließend sind die Angreifer in einige Büros eingebrochen, um physische Keylogger zu platzieren. Der daraus resultierende Zugriff hat wahrscheinlich seit Juni 2011 bestanden.

Die Kontrolle über die Systeme erlaubte den Kriminellen, auch die Positionen und den Zeitpunkt der weiteren, legitimen Verarbeitung der Container zu manipulieren. So konnten sie die Drogen den Containern entnehmen, bevor diese regulär im Hafen verarbeitet wurden.

Der Vorfall ist aufgefallen, nachdem ganze Container gezielt durch den beschriebenen Zugriff gestohlen wurden.

Quellen:

Europol: Cyberbits - Hackers deployed to facilitate drugs smuggling
BBC: Police warning after drug traffickers' cyber-attack
Thetius: Cyber attacks: who targets the maritime industry and why?

1.2 Schmuggel über Containerterminals - PIN-Code Fraud

Container wurden lange über einen PIN-Code identifiziert, welcher am Hafen zum Beispiel von einem LKW-Fahrer angegeben werden musste, um den Container in Empfang zu nehmen. Der PIN-Code wurde dabei zum Zeitpunkt der Aufgabe des Containers registriert, wodurch Wochen oder Monate zwischen Ausstellung des PIN-Codes und Löschen des Containers in einem Hafen liegen konnten. Der PIN-Code durchlief in der Zwischenzeit verschiedene Stationen, an denen Kriminelle ansetzten. Neben Bestechung und Androhung von Gewalt gab es auch Cyber-Angriffe, um an die PIN-Codes zu gelangen. Dieses Verfahren wurde daher seit 2020 in verschiedenen Häfen überarbeitet und abgesichert, um PIN-Code Fraud zu verhindern.

Ermittlungen gegen den Krypto-Kommunikationsdienst SkyECC führten zu einer Verurteilung eines Verdächtigen, welcher mithilfe eines Innentäters an PIN-Codes gelangte. Der Verdächtige bestach im September 2020 einen Mitarbeiter, der Zugriff auf die IT des Containerterminals am Hafen von Antwerpen hatte. Dieser Innentäter nutzte einen präparierten USB-Stick an seinen Arbeitsplatz-Rechner und führte eine maliziöse Applikation von dem USB-Stick aus. Dabei handelte es sich um ein Remote Access Tool, welches dem Angreifer Zugriff von Außen auf das System erlaubte. Es ist ungeklärt, ob dieser Zugang tatsächlich zur Weitergabe von PIN-Codes genutzt wurde. Eine Analyse des IT-Sicherheitsunternehmens Northwave konnte jedoch nachweisen, dass der Verdächtige mehrmals bis mindestens April 2021 mit einem Programm interagierte, welches Zugriff auf PIN-Codes von Containern erlaubte. Im September 2021 wurde der Verdächtige festgenommen.

Quellen:

Maritime Business World: Antwerp Port replaces the existing system of PIN codes
ZDF: Der Messenger-Dienst, den Gangster liebten
OCCRP: Inside Job: How a Hacker Helped Cocaine Traffickers Infiltrate Europe’s Biggest Ports

1.3 Gezielter Diebstahl auf hoher See mittels gestohlener Ladungsverzeichnisse

2015 kontaktierte ein Schifffahrtsunternehmen das IT-Sicherheitsteam von Verizon. Seit einigen Monaten beobachtete der Betroffene, dass Piraten scheinbar gezielt Schiffe enterten und Waren aus bestimmten Containern stahlen. Die Piraten wussten also, welche Container lohnenswertes Gut enthielten.

Die Ladungsverzeichnisse der Schiffe wurden mit einem Content Management System (CMS) verwaltet. Auf dem CMS-Server wurde eine Webshell entdeckt, welche den Angreifern erlaubte, Inhalte hoch- und herunterzuladen. So gelangten die Angreifer an die Ladungsverzeichnisse der Containerschiffe, welche sie vermutlich an die Piraten weiterverkauften.

Quelle:

Maritime Cyprus: Verizon Data Breach Digest.

1.4 E-Rezept Betrug

Betrügerisch ausgestellte elektronische Rezepte (E-Rezepte) für verschreibungspflichtige Medikamente sind in den USA ein bekanntes Phänomen. Hierbei verschaffen sich Angreifer Zugangsdaten eines Gesundheitsdienstleisters – wie einer Arztpraxis – beispielsweise mit einem Infostealer. Dies erlaubt den Angreifern, auf Patientenakten zuzugreifen und betrügerische Rezepte auf diese Patienten auszustellen. Anschließend werden Drogenschmuggler mit den E-Rezepten zu Apotheken und Pharmazien geschickt, um die Rezepte einzulösen. 

Das beschriebene Angriffsszenario bezieht sich auf das US-amerikanische E-Rezept-System und ist in dieser Form nicht auf das deutsche E-Rezept übertragbar, da sich die technischen, organisatorischen und regulatorischen Rahmenbedingungen deutlich unterscheiden.

Quellen:

DrugTopics: How Individuals are Committing E-Prescription Fraud
U.S. DoJ: Michigan Man Who Orchestrated International Computer Fraud and Online Drug Distribution Schemes Sentenced to Decade in Prison

1.5 Relay-Angriffe für schlüssellosen Autodiebstahl

Einige Automodelle unterstützen ein Feature, dass in der Literatur als Passive Keyless Entry and Start (PKES) und in der Öffentlchkeit als Keyless Go bekannt ist.

Hierbei kann das Fahrzeug geöffnet und gestartet werden, solange sich der Autoschlüssel in der Nähe des Fahrzeugs befindet. Eine zusätzliche Aktion am Schlüssel, wie etwa das Drücken eines Knopfes, ist nicht nötig. Dieser Schlüssel wird häufig auch als Keyfob bezeichnet.

Diese Funktionalität wird bei Relay-Angriffen ausgenutzt. Dabei fängt der Angreifer das Signal des Keyfobs ab und leitet dieses an ein weiteres Gerät in der Nähe des Fahrzeugs weiter. Umgekehrt werden die Antworten des Fahrzeugs zum Schlüssel zurückgeleitet. Damit überbrücken die Angreifer effektiv die Distanz zwischen dem Keyfob und dem zugehörigen Fahrzeug. Das Fahrzeug kann gestartet werden, ohne dass der Keyfob tatsächlich in der Nähe ist. Derartige Angriffe sind ein verbreitetes Phänomen.

Quellen:

ADAC: Keyless-Diebstahl: Auch neue Autos sind noch leicht zu knacken
Leasing: Keyless car theft: What is a relay attack, how can you prevent it, and will your car insurance cover it?
Twingate: What is a Relay Attack? How It Works & Examples

1.6 NFC-Relay Angriff gegen Bezahlkarten - "Ghost Tap"

Die Near Field Communication (NFC) Funktionalität von modernen Bezahlkarten ist, wie die Keyfobs, ein begehrtes Ziel für Angreifer. Diese Funktion erlaubt das kontaktlose Bezahlen. Mittlerweile unterstützen viele mobile Endgeräte ebenfalls NFC und können sowohl als Sender sowie als Empfänger auftreten. Dieser Umstand wird bei einem auch als "Ghost Tap" bekannten Angriffsszenario ausgenutzt.

Bekannte Malware wie NGate wird dafür auf dem Gerät des Opfers installiert. Häufig ahmt solche Malware eine legitime Banking-App nach. Das Ziel des Angreifers ist es, das Opfer dazu zu bringen, die Bezahlkarte lange genug in die Nähe des Smartphones zu halten. Dafür wird das Opfer beispielsweise mit der Aufforderung konfrontiert, die Karte ans Smartphone zu halten, um die angebliche Sperrung des eigenen Kontos zu verhindern oder aufzuheben. Im selben Moment versucht der Angreifer einen Bezahlvorgang abzuschließen. Das Gerät des Angreifers an einem Bezahlterminal und die Malware auf dem Gerät des Opfers vermitteln dabei die Transaktion zwischen Bezahlkarte und Bezahlterminal. Aus Sicht des Bezahlterminals sieht es wie eine normale kontaktlose Transaktion aus, da die Kommunikation zwischen Karte und Terminal unverändert durchgeleitet wird.

Quellen:

ScienceDirect: “Internet of Smart Cards”: A pocket attacks scenario
ThreatFabric: Ghost Tap: New cash-out tactic with NFC Relay
Hackster: "Ghost Tap" Relay Attack Makes NFC Payment Fraud Not-So "Near" Field Any More
WeLiveSecurity: NGate Android malware relays NFC traffic to steal cash

1.7 Shimming-Angriff gegen Bezahlkarten

Bei einem Shimming-Angriff wird ein legitimes Bezahlterminal von einem Angreifer präpariert. Dabei platzieren Kriminelle eine sehr dünne Platine in dem Fach, in das die Bezahlkarte gesteckt wird. Bei einem einfachen Shimming-Angriff liest ein Chip auf der Platine die Kommunikation zwischen Bezahlkarte und Terminal mit und speichert daraus für den Angreifer wichtige Informationen. Nach einer Weile holt ein Angreifer diese Daten ab und kann mit signifikanten Einschränkungen die Bezahlkarten nachstellen und Zahlungen im niedrigen zweistelligen Bereich durchführen. Von außen ist oftmals nicht zu erkennen, dass ein Bezahlterminal auf diese Art und Weise kompromittiert wurde.

Dieser Shimming-Angriff kann auch mit einem Relay-Angriff kombiniert werden. Während das Opfer eine legitime Zahlung durchführt, initiiert der Angreifer an einem anderen Ort gleichzeitig einen weiteren Zahlungsvorgang, beispielsweise an einem Geldautomaten. In diesem Fall liest die Shimming-Platine die Transaktion nicht nur passiv mit, sondern präsentiert der Bezahlkarte zusätzlich die vom Angreifer initiierte Transaktion und lässt diese freigeben.

Quellen:

ChargeBacks911: Credit Card Shimmers - Are You Prepared for “Skimming 2.0?”
Blackhat: HACKING NEXT-GEN ATMS: FROM CAPTURE TO CASH-OUT
University of Cambridge: Chip & PIN (EMV) relay attacks

1.8 Einbrüche, Entführungen und Folter für Kryptowährungen

Der steigende Wert von Kryptowährungen macht Kryptowallets zu einem attraktiven Ziel für Cyberkriminelle. So verfügt nahezu jeder Infostealer über Funktionen zum Diebstahl von privaten Schlüsseln von Kryptowallets. Personen mit hohen Kryptobeständen wissen häufig, wie sie sich vor solchen digitalen Angriffen schützen können.

Seit mindestens 2015 gibt es jedoch auch Medienberichte über physische Angriffe auf Besitzer von Kryptowährungen. Berichtet wurden in diesem Kontext Einbrüche, Entführungen oder gar Folter, um an die notwendigen Zugangsdaten zu gelangen. Gerade mit dem rasanten Anstieg der Kurse von Kryptowährungen Ende 2024 stieg die Anzahl berichteter Vorfälle weltweit im Januar 2025 an. Häufig informierten sich die Angreifer im Vorfeld über ihr Ziel.

Quellen:

Observer: Bitcoin Crime Wave Breaks Out in NYC
Cointelegraph: Canadian police warn crypto investors on growing home robbery trend
RFI: French police arrest seven after brutal kidnapping of cryptocurrency entrepreneur
Github: Known Physical Bitcoin Attacks

2. Fazit

Jede Technologie bietet die Möglichkeit, sie schädlich einzusetzen. Die Security by Design Philosophie in der IT-Sicherheit setzt hier als eine von vielen Gegenmaßnahmen an. Dabei geht es nicht nur darum, Schwachstellen bereits im Vorfeld zu vermeiden. Es ist auch wichtig, den legitimen Einsatz von Technologien abzusichern und Missbrauchsmöglichkeiten zu erkennen und im besten Fall bereits im Ansatz zu verhindern. Gerade Verbraucherinnen und Verbraucher werden durch Security by Design in ihrem sicheren Handeln im digitalen Raum bestärkt.

Vor allem wenn die Auswirkungen eines Cyber-Angriffes im physischen Raum spürbar werden, ist eine besondere Sensibilität wichtig. Im alltäglichen Umgang mit IT, insbesondere bei der Entwicklung und dem Einsatz, kann diese Perspektive zu kurz kommen. Die genannten Beispiele sollen Entwickler und Anwender für mögliche Ausnutzungen in der physischen Welt sensibilisieren.