Manfred Kloiber: Im Windschatten der großen Online-Handelsplattformen fahren also die Internet-Betrüger ihre Angriffe. Und vor allem bei den sogenannten Phishing-Angriffen geht es hauptsächlich ja darum, persönliche Daten abzufischen. Heinz Schmitz, unser Autor hier im Studio, welche Daten genau wollen denn die Cyber-Kriminellen überhaupt?
Heinz Schmitz: Die sind auf Daten aus wie Kreditkartendaten, Online-Banking-Zugänge, E-Mail-Accounts, Onlinespiele, Daten von DHL-Packstationen oder auch Lizenzschlüssel von teurer Software.
Kloiber: Und was machen dann die Täter mit diesen ergaunerten Daten? Genauer: Wie machen sie sie zu Geld?
Schmitz: Genau das ist das Ziel: Sie wollen Sie zu Geld machen. Die werden weiter verkauft. Es gibt Untergrundshops, also eine schwarze Wirtschaft. Da werden diese Daten wieder verkauft. Andere Gruppen kaufen die auf und nutzen sie dann. Die Preise für die Daten variieren je nach Qualität. Gute Kreditkartendaten, die noch nicht gebraucht wurden, sind relativ teuer, andere gibt es schon für Centbeträge. Oder die Daten für DHL-Packstationen sind relativ teuer. Weil das ja das Interface ist, um da mit der Ware wieder in die reale Welt reinzukommen.
Kloiber: DHL-Packstationen, das heißt also: Die klauen tatsächlich Daten, um dann echte Pakete abzugreifen?
Schmitz: Ja, so geht das ab. Das sind ja richtig organisierte Banden. Eine Gruppe erstellt zum Beispiel Software, die die Rechner verseucht. Eine andere Gruppe verkauft diese kriminellen Programme. Andere Gruppen nutzen die, um persönliche Informationen abzufischen, eben Kontodaten. Die werden dann wieder verkauft. Oder andere Gruppen verteilen eben Spams – mittlerweile 90 Prozent aller Mails oder bauen Botnetze auf, um eben diese Spams zu verteilen. Und dann muss ja irgendwann mal das Zeug zu Geld gemacht werden. Es werden also mit Kreditkartendaten bei Online-Händlern Sachen bestellt. Wenn man die nach Hause liefern lässt, kommt die Polizei schnell dahinter – deswegen eine geklaute DHL-Packstation. Die Ware landet da, man nimmt sie da raus – ist ja alles noch anonym – und verkauft die dann eben wie Hehlerware über Ebay.
Kloiber: Nach den Hehlern wollte ich gerade fragen: Wer kauft denn diese ergaunerten Daten überhaupt? Wer macht dann die Masche weiter?
Schmitz: Das ist das gleiche wie bei normalen Diebstählen. Das ist eben über Hehler, die es professionell machen, oder, was heute eben sehr beliebt ist, über Ebay als Versteigerungen.
Kloiber: Was man etwas über die Geografie der Täter? Also, wo kommen diese Täter her, wo spielt sich dieses Geschäft hauptsächlich ab?
Schmitz: Das sind internationale Banden. Es gibt die Generalverdächtigen. Russland, Ukraine, China für die Hacker und Türkei, Brasilien, Estland, die stehen auch weit oben auf der Liste. Es ist jetzt gerade vorige Woche ein Fall bekannt geworden, da saßen Softwareautoren in Slowenien, haben einen Virus geschrieben. Der ist an Hacker in Spanien verkauft worden und die haben mal eben 13 Millionen Computer verseucht, 750 US-Firmen damit angegriffen und 40 Banken angegriffen, also ein international verteiltes Netz.
Kloiber: Das scheint auch wichtig zu sein, dass es international verteilt ist, um eben die nationalen Polizeibehörden zu schwächen.
Schmitz: Ja. Genau das ist das. Die Ermittlungsbehörden haben dadurch ganz, ganz große Probleme. Es gibt keine internationale Rechtssprechung dafür. Das ist alles Nationalstaaterei. Es gibt schon mal Zusammenarbeit von internationalen Ermittlungsbehörden, also dass das FBI mit der spanischen Polizei oder der deutschen Polizei zusammenarbeitet und kommen dann schon mal dahinter. Aber diese internationalen Banden, die sehr arbeitsteilig arbeiten – die damit zu kriegen, ist fast unmöglich. Das ist ein Kampf, der wird leider immer weiter gehen. Da wird es wohl wahrscheinlich, so lange es noch keine weltweit einheitliche Rechtsprechung dafür gibt, keine Möglichkeit, keine Lösung geben.
Kloiber: Wenn diese Betrüger vor allen Dingen eben halt mit den Marken, mit dem Namen, mit dem Aussehen von großen Online-Handelsplattformen arbeiten, wie kann man sich schützen, wie kann man überhaupt erkennen, dass es sich um Fake-Mails, also um vorgetäuschte Mails handelt, um Phising-Mails.
Schmitz: Das ist mittlerweile sehr schwierig geworden. Die sind sehr professionell, die sehen aus wie die Originale. Es gibt nur die Standardvorschläge, die man machen kann: immer den Rechner aktuell halten und nichts anklicken, was einem nicht 100-prozentig sicher ist. Lieber mal, wenn eine Bestellbestätigung kommt, einfach die lassen. Denn, wenn die Ware wirklich falsch geliefert ist, kann man sie innerhalb von 14 Tagen zurückgeben. Wenn man auf einen Link klickt, dann ist der Rechner mit großer Wahrscheinlichkeit versucht, wenn man nicht zufällig die neueste Sicherheitssoftware drauf hat.
Kloiber: Also zusammengefasst heißt das, nicht auf die falsche E-Mail, sondern wenn, dann nur auf das falsche Paket reagieren, was tatsächlich von einem Postboden gebracht wird. Heinz Schmitz, herzlichen Dank.
Heinz Schmitz: Die sind auf Daten aus wie Kreditkartendaten, Online-Banking-Zugänge, E-Mail-Accounts, Onlinespiele, Daten von DHL-Packstationen oder auch Lizenzschlüssel von teurer Software.
Kloiber: Und was machen dann die Täter mit diesen ergaunerten Daten? Genauer: Wie machen sie sie zu Geld?
Schmitz: Genau das ist das Ziel: Sie wollen Sie zu Geld machen. Die werden weiter verkauft. Es gibt Untergrundshops, also eine schwarze Wirtschaft. Da werden diese Daten wieder verkauft. Andere Gruppen kaufen die auf und nutzen sie dann. Die Preise für die Daten variieren je nach Qualität. Gute Kreditkartendaten, die noch nicht gebraucht wurden, sind relativ teuer, andere gibt es schon für Centbeträge. Oder die Daten für DHL-Packstationen sind relativ teuer. Weil das ja das Interface ist, um da mit der Ware wieder in die reale Welt reinzukommen.
Kloiber: DHL-Packstationen, das heißt also: Die klauen tatsächlich Daten, um dann echte Pakete abzugreifen?
Schmitz: Ja, so geht das ab. Das sind ja richtig organisierte Banden. Eine Gruppe erstellt zum Beispiel Software, die die Rechner verseucht. Eine andere Gruppe verkauft diese kriminellen Programme. Andere Gruppen nutzen die, um persönliche Informationen abzufischen, eben Kontodaten. Die werden dann wieder verkauft. Oder andere Gruppen verteilen eben Spams – mittlerweile 90 Prozent aller Mails oder bauen Botnetze auf, um eben diese Spams zu verteilen. Und dann muss ja irgendwann mal das Zeug zu Geld gemacht werden. Es werden also mit Kreditkartendaten bei Online-Händlern Sachen bestellt. Wenn man die nach Hause liefern lässt, kommt die Polizei schnell dahinter – deswegen eine geklaute DHL-Packstation. Die Ware landet da, man nimmt sie da raus – ist ja alles noch anonym – und verkauft die dann eben wie Hehlerware über Ebay.
Kloiber: Nach den Hehlern wollte ich gerade fragen: Wer kauft denn diese ergaunerten Daten überhaupt? Wer macht dann die Masche weiter?
Schmitz: Das ist das gleiche wie bei normalen Diebstählen. Das ist eben über Hehler, die es professionell machen, oder, was heute eben sehr beliebt ist, über Ebay als Versteigerungen.
Kloiber: Was man etwas über die Geografie der Täter? Also, wo kommen diese Täter her, wo spielt sich dieses Geschäft hauptsächlich ab?
Schmitz: Das sind internationale Banden. Es gibt die Generalverdächtigen. Russland, Ukraine, China für die Hacker und Türkei, Brasilien, Estland, die stehen auch weit oben auf der Liste. Es ist jetzt gerade vorige Woche ein Fall bekannt geworden, da saßen Softwareautoren in Slowenien, haben einen Virus geschrieben. Der ist an Hacker in Spanien verkauft worden und die haben mal eben 13 Millionen Computer verseucht, 750 US-Firmen damit angegriffen und 40 Banken angegriffen, also ein international verteiltes Netz.
Kloiber: Das scheint auch wichtig zu sein, dass es international verteilt ist, um eben die nationalen Polizeibehörden zu schwächen.
Schmitz: Ja. Genau das ist das. Die Ermittlungsbehörden haben dadurch ganz, ganz große Probleme. Es gibt keine internationale Rechtssprechung dafür. Das ist alles Nationalstaaterei. Es gibt schon mal Zusammenarbeit von internationalen Ermittlungsbehörden, also dass das FBI mit der spanischen Polizei oder der deutschen Polizei zusammenarbeitet und kommen dann schon mal dahinter. Aber diese internationalen Banden, die sehr arbeitsteilig arbeiten – die damit zu kriegen, ist fast unmöglich. Das ist ein Kampf, der wird leider immer weiter gehen. Da wird es wohl wahrscheinlich, so lange es noch keine weltweit einheitliche Rechtsprechung dafür gibt, keine Möglichkeit, keine Lösung geben.
Kloiber: Wenn diese Betrüger vor allen Dingen eben halt mit den Marken, mit dem Namen, mit dem Aussehen von großen Online-Handelsplattformen arbeiten, wie kann man sich schützen, wie kann man überhaupt erkennen, dass es sich um Fake-Mails, also um vorgetäuschte Mails handelt, um Phising-Mails.
Schmitz: Das ist mittlerweile sehr schwierig geworden. Die sind sehr professionell, die sehen aus wie die Originale. Es gibt nur die Standardvorschläge, die man machen kann: immer den Rechner aktuell halten und nichts anklicken, was einem nicht 100-prozentig sicher ist. Lieber mal, wenn eine Bestellbestätigung kommt, einfach die lassen. Denn, wenn die Ware wirklich falsch geliefert ist, kann man sie innerhalb von 14 Tagen zurückgeben. Wenn man auf einen Link klickt, dann ist der Rechner mit großer Wahrscheinlichkeit versucht, wenn man nicht zufällig die neueste Sicherheitssoftware drauf hat.
Kloiber: Also zusammengefasst heißt das, nicht auf die falsche E-Mail, sondern wenn, dann nur auf das falsche Paket reagieren, was tatsächlich von einem Postboden gebracht wird. Heinz Schmitz, herzlichen Dank.