Effizient und hochgefährlich

Wer hinter der Web-Mafia steckt

18.04.2010 von Jan-Bernd Meyer
Im Internet hat sich eine kriminelle Dienstleistungsgesellschaft etabliert. Mit ihrer professionellen Energie könnte sie Staaten und Gesellschaften in den Grundfesten erschüttern.

Im Internet hat sich eine kriminelle Dienstleistungsgesellschaft etabliert. Mit ihrer professionellen Energie könnte sie Staaten und Gesellschaften in den Grundfesten erschüttern.

Mit dem Internet hat sich die Welt fundamental verändert. Wirtschaftliche Abläufe werden revolutioniert. Neue Formen politischer und kultureller Einflussnahmen entstehen. Das Denken wird immer selbstverständlicher international ausgerichtet.

Niemand wird die Segnungen, die das Web als globales Informations- und Kommunikationsmedium bietet, ernsthaft in Frage stellen. Zu gewaltig sind die Fortschritte, die erst durch die weltenverbindende Plattform wahr werden.

Hochprofessionell, unauffällig, spurenlos

Ebenso sicher hat sich allerdings die dunkle Seite des Netzes etabliert - mit besten Wachstumsperspektiven. Egal, welche Experten man fragt, es gibt immer dieselbe Antwort: Heute organisieren sich die Web-Kriminellen weltweit über Ländergrenzen hinweg. Sie agieren arbeitsteilig. Sie arbeiten effizient. Und vor allem: Sie betreiben ihr Geschäft hochprofessionell, geräuschlos und ohne Spuren zu hinterlassen.

Wie gefährdet Unternehmen und Privatpersonen durch Angriffe aus dem Web-Milieu sind, zeigen die zögerlichen Reaktionen von Gesprächspartnern. Gefragt nämlich, wie groß die kriminelle Energie, die sich im Internet aufbaut, denn nun wirklich ist und wie hoch damit die Gefahren für Firmen und den einzelnen Web-Nutzer, antworten sie eher gespreizt.

Exemplarisch das Ausweichmanöver von Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI): "Bei Warnungen muss man sicher vorsichtig sein. Nicht, dass man die Falschen auf etwas aufmerksam macht." Solche und ähnliche Repliken erhält man von nahezu allen Experten. Es beschleicht einen das Gefühl, dass niemand das Risikopotenzial der kriminellen Szene im Web offen benennen will. Keiner will Kassandra sein.

Verfassungsschutz warnt deutsche Unternehmen

Dabei gibt es eine Menge Gründe, beunruhigt zu sein. Gunnar Porada, Sicherheitsberater für Konzerne, der heute noch "Hacker" auf seiner Visitenkarte stehen hat, fasst es in einem Satz zusammen: "Es gibt einige Veränderungen, die mir sehr viel Sorgen machen" (siehe auch das Interview auf Seite 16). Porada sorgt sich um die vielen sehr guten Leute, die sich in Sicherheitsfragen exzellent auskennen, aber keine Arbeit finden. Im Milieu hingegen finden sie gute Jobs.

Höchst problematisch ist auch das Thema Web Application Security. Kaum jemand, so Porada, widme dem seine Aufmerksamkeit: "Das Resultat ist, dass ich mir heutzutage, egal, welche Website ich ansurfe, permanent Schadsoftware auf den Rechner hole."

Eine der Veränderungen nennt das Security-Unternehmen Symantec ganz unverblümt: "Viele der heutigen Internet-Kriminellen sind mafiamäßig organisierte Kriminelle aus dem Ausland." Wer die Usancen der Web-Verbrecher kennt, der amüsiert sich eher über den guten alten Banküberfall als Auslaufmodell. "Anstatt illegale Drogen zu verkaufen", fährt Symantec fort, "haben sie (die Online-Kriminellen, Anm.d.Red.) sich darauf verlegt, Ihre finanziellen Informationen in die Hände zu bekommen."

Roger Scheer, Regional Sales Director bei RSA, dem von EMC gekauften Security-Unternehmen
Foto: RSA/EMC

Roger Scheer, Regional Sales Director bei RSA, dem von EMC gekauften Security-Unternehmen, sagt: "Das Internet war nie zuvor von so einer ausgeklügelten, technisch entwickelten und global vernetzten Kriminalität betroffen, wie es heute der Fall ist." Täglich würden private Nutzer, Unternehmen und Organisationen zehntausendfach mittels Phishing, Pharming, Viren und Trojanern attackiert.

"Nicht nur Banken und Finanzinstitute sind interessante Angriffsziele", so Scheer weiter. Vielmehr sei jede Branche betroffen. Egal ob Gesundheitswesen, Handel, Bildung oder öffentliche Einrichtungen. "Dabei ist das ,Waffenarsenal` der Internet-Verbrecher breit gefächert, und die Täter sind kaum zu fassen, weil sie sich arbeitsteilig organisiert haben", so das Fazit des RSA-Manns.

Nicht ohne Grund hatte Anfang 2010 das Bundesamt für Verfassungsschutz deutsche Unternehmen gewarnt, sie sollten sich besser vor Attacken von jenseits der deutschen Grenzen schützen. Ausländische Behörden würden bei ihren Schnüffelaktionen nicht nur auf Geheimdienstler, sondern auch auf E-Mails setzen. Wie aktuell diese Warnung ist, zeigte auch der Vorfall, bei dem Accounts von Google-Mitarbeitern Anfang des Jahres gehackt wurden.

Firewalls kostenlos
Ashampoo Protokoll
Ashampoo ICQ-Meldung
Ashampoo Regel
Ashampoo Firewall
Comodo ICQ-Meldung
Comodo Protokoll
Comodo Regel
Comodo
Jetico ICQ-Meldung
Jetico Protokoll
Jetico Regel
Jetico
Sunbelt Kerio ICQ-Meldung
Sunbelt Kerio Protokoll
Sunbelt Kerio Regel
Sunbelt Kerio
Zone Alarm ICQ-Meldungen
Zone Alarm Protokoll
Zone Alarm Regel
Zone Alarm

Im Gespräch mit der Nachrichtenagentur DAPD hatte Burkhard Even geäußert, es bestehe "weiterhin ein hohes Risiko für deutsche Unternehmen, Opfer eines Spionageangriffs zu werden". Im Jahr 2009 hätten die Ausspähattacken von russischer und chinesischer Seite "eine echte und konkrete Bedrohung" dargestellt, sagte der Abteilungsleiter für Spionageabwehr und Geheimschutz weiter.

Genauso deutlich wurde Melissa Hathaway, die ehemalige Sicherheitsberaterin des Weißen Hauses. Sie hatte bereits vergangenen Sommer gewarnt: Die Angriffe auf die Computersysteme von Großunternehmen hätten ein "epidemisches Ausmaß" angenommen.

Finanzielle Schäden mehr als verdoppelt

Gerade erst hat das Internet Crime Complaint Center (IC3) den Jahresbericht zu kriminellen Vorkommnissen im Internet für das Jahr 2009 veröffentlicht. Das IC3 ist die Kooperation von FBI und dem National White Collar Crime Center (NWC3) und insofern die US-Meldestelle für Online-Betrügereien. Für das abgelaufene Jahr meldet das IC3 336.655 Online-Verbrechen in den USA. Gegenüber dem Vorjahr ist das ein Anstieg der Kriminalitätsrate von 22,3 Prozent. Den durch solche Web-Raubzüge entstandenen Schaden beziffern das FBI und IC3 mit 559,7 Millionen Dollar. Das ist mehr als doppelt so viel, wie für das Jahr 2008 zu registrieren war (265 Millionen Dollar).

Alain Blaes, Initiator der Website projekt-datenschutz.de, auf der aktuelle Online-Vorfälle aufgelistet werden, resümierte: "Das Jahr 2009 war für den Datenschutz kein gutes Jahr." Die Gesamtzahl der bekannt gewordenen Vorfälle von Datenhacks in Computersysteme habe 2009 um rund 350 Prozent über der des Vorjahrs gelegen. Besorgniserregend sei vor allem, dass sich die Öffentlichkeit an diesen Zustand allmählich zu gewöhnen scheine. Blaes: "Das lässt für 2010 nichts Gutes hoffen."

Sicherheitsspezialist Panda Security aus Bilbao, Spanien, stellt in seinem Jahresbericht für das vergangene Jahr fest, dass seine Security Labs 2009 mehr "Malware gefunden haben als in den 20 Jahren zuvor".

Der Sicherheitsspezialist Kaspersky schreibt in seinem 2009-Report, dass - so Senior Virus Analyst Magnus Kalkuhl - "die Anzahl neuer schädlicher Programme in den letzten Jahren förmlich explodiert" ist.

Banken, Behörden - Kriminelle hacken alles

Magnus Kalkuhl, Senior Virus Analyst bei Kaspersky
Foto: Kaspersky

Es gibt aktuelle Beispiele: Zur Weihnachtszeit 2009 hatte das "Wall Street Journal" mit Bezug auf mehrere Quellen berichtet, Russen hätten sich in die Systeme der Citibank eingehackt und einen hohen fünfstelligen Dollarbetrag für sich abgezweigt. Natürlich bestritt die Citibank die Vorgänge - es wäre auch nicht gut für die Reputation der Großbank, sich so vorgeführt zu sehen. Auch das FBI, das ermittelte, wollte den Fall nicht kommentieren.

Die Citibank ist allerdings kein Einzelfall: Bereits im November 2009 hatten US-Ermittler Klagen gegen acht russische und osteuropäische Hacker eingereicht. Vorwurf: Die Kriminellen hätten sich erfolgreich in das Computersystem der Bank of Scotland eingeschleust und sich innerhalb weniger Stunden neun Millionen Dollar genehmigt.

Für viel Wirbel sorgte ein Phishing-Angriff auf die Computersysteme des Bundesumweltamts Anfang Februar 2010. Dort wird unter anderem der Handel mit Emissionszertifikaten abgewickelt. Das Vorgehen der Angreifer war dabei fast schon plump. Die Kriminellen täuschten in einer E-Mail an mehrere europäische sowie einige japanische und neuseeländische Unternehmen eine Mitteilung der Deutschen Emissionshandelsstelle in Berlin vor, meldeten Medien. Den Unternehmen drohe eine Gefahr durch Hacker-Angriffe, hieß es darin. Diese könne nur abgewendet werden, wenn sie sich neu registrierten.

Was folgte, war logisch: Wer den Verbrechern auf den Leim ging und seine Unternehmensangaben abschickte, gab der Internet-Mafia freie Hand. Ausgestattet mit allen nötigen Unternehmensinformationen, konnten die Kriminellen in den Emissionshandel eintreten. Sie übertrugen Emissionsrechte der getäuschten Firmen auf Konten vor allem in Dänemark und Großbritannien. Hier wurden sie allerdings nur kurz zwischengeparkt und dann weiterveräußert. Sieben von 2000 Zertifikate-Nutzern haben laut Bundesumweltamt auf die E-Mail-Anfrage geantwortet. Betroffen waren 250.000 Zertifikate. Aktueller Börsenwert: zwölf Euro pro Stück.

BSI-Präsident Hange konstatiert: "Dieser Fall hat gezeigt, welche kriminelle Energie da vorhanden ist. Er zeigt vor allem auch, mit welcher Perfektion hier Internet-Kriminelle vorgegangen sind."

Hans-Jürgen Nantke, Leiter der Deutschen Emissionhandelsstelle beim Umweltbundesamt, stellte nach dem Hacker-Angriff fest, dieser sei "offenbar von langer Hand geplant" gewesen. Nantke fragte sich: "Wer hat das Ganze gestartet?" Problem: Die Frage kann laut Experten wie Porada schon heute nicht mehr beantwortet werden, weil die Spezialisten ihre digitalen Spuren im weltweiten Netz verschleiern.

Google kontra China - wer war's?

Für international mehr Aufsehen sorgten Anfang des Jahres 2010 die Attacken auf IT-Firmen, die doch eigentlich gewappnet sein sollten. Betroffen waren Yahoo, Adobe Systems und eben Google. Insbesondere die Attacken auf die Accounts von Google-Mitarbeitern sorgten für Wirbel und für Verstimmung auf dem internationalen Diplomatenparkett. Die Aktionen waren so gravierend, dass der weltgrößte Suchmaschinenbetreiber noch immer darüber nachdenkt, sich aus China zurückzuziehen.

Denn von dort sollen die Angriffe gestartet worden sein. US-Computerspezialisten haben angeblich die Fährten der Hacker ausfindig gemacht. Diese haben zwar ihre Spuren verwischt und in einem Täuschungsmanöver Richtung Taiwan gelenkt. Tatsächlich, so offizielle Meldungen aus den USA, wurden die Angriffe von zwei chinesischen Elite-Schulen aus lanciert: der Lanxiang-Vocational-School und der Shanghai-Jiatong-Universität. Erstere bildet im Auftrag des chinesischen Militärs Computerspezialisten für die chinesische Volksbefreiungsarmee aus. China stritt alle Vorwürfe ab und verwahrte sich gegen die Anschuldigung, Hacker aus dem Reich der Mitte hätten Geschäftsgeheimnisse von Google, Adobe und Yahoo und weiteren über 30 US-Firmen entwendet und Regimegegner ausspioniert.

Security-Mann Porada hegt ebenfalls leichte Zweifel an der US-amerikanischen Erklärung zum Angriff auf den Suchmaschinenbetreiber: "Es ist durchaus nicht so sicher, dass der Angriff auf Google von Chinesen kam. Die Tatsache, dass die Attacke wohl von einem chinesischen Server ausging, muss noch lange nicht heißen, dass Chinesen sie lanciert haben. Diese Angriffe lassen sich nämlich in aller Regel sehr gut verschleiern." Heute lasse sich technisch nicht mehr zurückverfolgen, woher Angriffe tatsächlich stammten.

Eingedenk der in den Medien kolportierten Professionalität, mit der die Google-Angreifer vorgegangen seien, argumentiert Porada: "Wenn die Angreifer wirklich so professionell gewesen wären, dann wäre die Attacke nie publik geworden. Sie hätte ohne Probleme verschleiert werden können." Der ehemalige Hacker denkt laut weiter: "Vielleicht wollten die Angreifer gefunden werden?" Hier seien auch politische Motive möglich.

Die Beziehungen zwischen den USA und China waren wegen Auseinandersetzungen in Umweltfragen, Waffenlieferungen der Vereinigten Staaten an Taiwan und Streitigkeiten über den chinesischen Wechselkurs ohnehin angespannt. Möglicherweise kam den US-Sicherheitsberatern deshalb die Google-Affäre gerade recht. Porada: "Natürlich kann man solch einen Angriff so gestalten, dass ihn niemand bemerkt." Der wahre Angreifer könne also ein Interesse daran gehabt haben, dass der Hacker-Angriff publik wurde.

Dror-John Roecher, Senior Consultant Security Solutions bei Computacenter
Foto: Computacenter

Dror-John Roecher, Senior Consultant Security Solutions bei Computacenter, sieht das etwas anders: "Es ist kein Geheimnis, dass viele Angriffe auf westliche Infrastrukturen ihren Ursprung in China haben. Nicht zuletzt der Verfassungsschutz hat erst kürzlich wieder auf dieses Problem hingewiesen."

Die Attacken erfolgten, so Roecher, zudem auf technologisch höchstem Niveau, da liege eine Verbindung zu Regierungsstellen nahe. Direkte Beweise für staatlich gelenkte Aktionen "sind mir jedoch nicht bekannt, China streitet jede Beteiligung ab".

Dienstleistung Online-Kriminalität

Neben politischen spielen aber vor allem finanzielle Interessen bei der Internet-Kriminalität eine Rolle. Computacenter-Mann Roecher stellt denn auch fest: "Das Eindringen in fremde Rechnersysteme erfolgt schon längst nicht mehr aus sportlichen Gründen. Es stehen eindeutig finanzielle Interessen im Vordergrund." Vor allem könne man eine fortschreitende Arbeitsteilung und Spezialisierung von Hacker-Gruppen feststellen". Dadurch könnten "kriminelle Dienstleistungen" effizienter erbracht werden.

Nach Roecher sieht das dann so aus: "Hacker-Gruppe 1 baut eine Botnet-Infrastruktur auf und vermietet diese an Gruppe 2. Diese nutzt die Infrastruktur, um beispielsweise Schutzgeld zu erpressen. Das wird dann an Gruppe 3 weitergeleitet, die sich wiederum um die Geldwäsche kümmert."

Wie gefährlich Botnets sind, zeigte sich erst vor wenigen Wochen. Ende Februar 2010 wurde bekannt, dass Experten von Microsoft ein weltweit verbreitetes Netzwerk von Zombie-PCs ausgehebelt hatten. Das Waledac-Botnet bestand aus mehreren hunderttausend infizierten Rechnern. Von ihm aus wurden 1,5 Milliarden Spam-Mails unters Volk gebracht - wohlgemerkt täglich. Die Kriminellen steuern die Botnetze über Command-and-Control-Server (C&C). Beim Waledac-Botnetz waren es acht C&C-Maschinen. Vier davon standen in Deutschland.

BSI-Präsident Hange sagt, dass Deutschland zu den fünf Ländern mit der weltweit höchsten Dichte an Zombie-PCs gehöre: "Es gibt Erhebungen des Bundeskriminalamts, wonach in Deutschland rund 700.000 PCs von Schadprogrammen befallen und in größere Botnets eingebunden sind."

Einen noch größeren Schlag gegen die Online-Mafia landeten die spanische Polizei und die US-Bundespolizei FBI Anfang dieses Monats. Sie hoben das "Mariposa"-Botnet mit 13 Millionen Zombie-PCs aus. Betroffen waren die Rechner von Privatpersonen genauso wie von Behörden und Unternehmen. Laut Polizeiangaben gehörte zu den angegriffenen Firmen mehr als die Hälfte der größten US-Unternehmen. Zudem waren über 40 Banken betroffen. Die PCs standen in 190 Ländern. Ziel der Hacker-Angriffe war hier unter anderem, im großen Stil Informationen über Bankkonten abzusaugen. Die Ermittlungen ergaben ferner, dass bei einem der Kriminellen persönliche Daten von über 800.000 Menschen lagerten.

Botnets sind deshalb so gefährlich, weil man über sie und mittels DDoS-Attacken ein Unternehmen praktisch vom Internet abschneiden kann. So kann die Online-Mafia Unternehmen erpressen. Für das organisierte Verbrechen ist solch eine Geldbeschaffungsmaßnahme fast ideal. Es braucht nicht viel zu tun, derartige Botnets kann man spottbillig mieten. Der Marktpreis für die Nutzung von 10.000 Zombie-Rechnern für eine Stunde beträgt nach Meinung von Experten rund 1500 Euro.

Horch und Guck - dank Web 2.0 jetzt auch international

Schon im Frühjahr 2009 drückte US-Präsident Barack Obama die ambivalenten Möglichkeiten des Internets aus, als er sagte, die Fähigkeit, über das Internet zu kommunizieren, sei eine der großen Stärken der amerikanischen Gesellschaft, "aber auch eine unserer größten Schwachstellen".

Staatliche Stellen investieren deshalb längst in die intellektuelle Aufrüstung und bauen eine veritable Streitmacht von Internet-Experten auf. Wie weit die Regierungen dabei schon fortgeschritten sind, ist unklar.

BSI-Präsident Hange drückt sich diplomatisch aus: "Ich will es mal so beantworten: Der Grad der Abhängigkeit vom Internet hat dramatisch zugenommen, und er wird weiter zunehmen. Diese Abhängigkeit nährt natürlich auch Überlegungen, was man an Bedrohungspotenzial aufbauen kann."

In Großbritannien gab es 2009 einen Report über die Gefahrensituation, der schließlich dazu führte, eine neue Cyber-Security-Behörde zu schaffen. Frankreich wiederum unterhält eine Behörde ähnlich dem BSI. Dessen Chef erklärt: "In Frankreich ist man der Meinung, dass nicht nur Regierungsstellen prinzipiell bedroht sind, sondern auch die kritischen Infrastrukturen." Er verweist darauf, dass die Bürger eines Landes von Versorgungsunternehmen, Banken und anderen Institutionen abhängen. Auf Dauer sei deshalb die Gefahr, angegriffen zu werden, "nicht von der Hand zu weisen. Und Staaten müssen sich vor solchen Angriffen schützen. Das ist Daseinsfürsorge." So stehe es auch im schwarzgelben Koalitionsvertrag.

Versorgt der Staat Kriminelle mit Schlupflöchern?

Möglicherweise schafft aber ausgerechnet der Staat die Schlupflöcher, die Internet-Kriminelle dankend annehmen, um im großen Stil Daten abzufangen und zweckentfremdet zu nutzen. In der Branche wird momentan die These diskutiert, der zufolge die in vielen Ländern vorgeschriebenen so genannten Lawful-Interception-Schnittstellen (LIS) nicht nur von Staatsregierungen benutzt werden. LIS steht für die Überwachung von TK-Diensten. Sie ist gesetzlich vorgeschrieben. Strafverfolgungsbehörden, Geheimdienste und ähnliche Organisationen nutzen LIS, um Straftaten aufzuklären beziehungsweise bereits im Vorfeld zu verhindern. Per definitionem müssen die LI-Schnittstellen den massenhaften Zugriff auf versandte Daten zulassen. "Diese Schnittstellen sind aus Sicht der Angreifer besonders lohnenswerte Ziele", sagt Computacenter-Mann Roecher.

Die Bundesregierung ist sich der Bedrohungen bewusst. Sie veranstaltet unter Federführung des Bundesministeriums des Innern alle zwei Jahre Krisen-Management-Übungen, die verschiedene Bedrohungsszenarien durchspielen. Gerade erst ausgewertet wird die Lükex-Übung 09/10 (Lükex = Länderübergreifende Krisenmanagementübung/Exercise). Sie widmete sich dem Thema Krise aufgrund terroristischer Angriffe. Im Jahr 2011 wird die Lükex-Übung unter dem Schwerpunktthema "Sicherheit in der Informationstechnologie" stehen.

Wie groß die Bedrohung für Unternehmen, Organisationen und Infrastrukturen ist, macht Sicherheitsexperte Porada an einem Beispiel deutlich. "Nehmen Sie den Aktienhandel. Er läuft heutzutage immer häufiger computergestützt mit Trades im Millisekundentakt ab - fast vollständig automatisiert."

Währungen gefährdet - Inflationen drohen

Da brauche es nicht viel Phantasie, um sich vorzustellen, was passiert, wenn eine Schadsoftware installiert werde, die speziell für eine Manipulation entwickelt wurde. Porada: "Damit ließen sich ganze Währungen aufgrund des Volumens zum Absturz bringen und Inflationen auslösen. Nur durch Computerangriffe."

Porada räumt ein, dass solche Angriffe sehr komplex seien. Außerdem wolle er kein Horrorszenario ausbreiten und sich als Kassandra betätigen. Ein Angreifer benötige erhebliche Hintergrundinformationen. Er müsse die in Trading-Häusern eingesetzte Software kennen. Und natürlich gebe es auch diverse hohe Sicherheitsbarrieren gerade in diesen Bereichen. Attacken seien also für einen Angreifer nicht so einfach. "Aber sie sind nicht unmöglich." (CW/rw)