Mittwoch, 14.11.2018
 
StartseiteHintergrundVon Trojanern, Viren und Spionen03.10.2013

Von Trojanern, Viren und Spionen

Wie Kriminelle das Netz missbrauchen

Ob Wirtschaftsspionage im großen Stil oder Erpressung mit gestohlenen Daten: Im Netz zählt allein das BKA jedes Jahr Zehntausende Straftaten - nicht zuletzt auch, weil die Bürger ihre Rechner relativ sorglos nutzen.

Von Jan Rähm

Eine Lupe brauchen Profis wirklich nicht mehr - sie hacken ungeschützte Rechner in wenigen Sekunden. (Karl-Josef Hildenbrand/dpa)
Eine Lupe brauchen Profis wirklich nicht mehr - sie hacken ungeschützte Rechner in wenigen Sekunden. (Karl-Josef Hildenbrand/dpa)
  • E-Mail
  • Teilen
  • Tweet
  • Drucken
  • Podcast

Der Informatiker Steffen Konegen steht entspannt vor einem Computerbildschirm. Ohne hinzusehen, flitzen seine Finger blitzschnell über die schwarze Tastatur.

"Wir sehen vor uns einen Monitor. Auf der linken Seite sehen wir sozusagen den Opferrechner, auf der rechten sehen wir den Attacker-PC."

Steffen Konegen ist wissenschaftlicher Mitarbeiter am Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS in Berlin. Er demonstriert, wie leicht es ist, sich über das Internet auf einem fremden Rechner einzuschleichen. Er tippt ein paar Befehle, startet ein paar Programme. Nur wenige Sekunden braucht er, schon hat er das Passwort des fremden Computers geknackt.

"So … Ich bin jetzt auf dem Opferrechner auf den Desktop gegangen und schaue mich etwas um. Da sehe ich zum Beispiel mehrere interessante Dateien. Zum Beispiel sehe ich hier eine Adressdatei, da werde ich einfach mal hineinschauen, was ich so sehe."

Nach dem er gemütlich durch die Daten gewandert ist, hinterlässt Steffen Konegen noch ein kleines Gastgeschenk. Einen Trojaner. Mit dessen Hilfe kann er jederzeit zurückkommen – ohne den ganzen Aufwand von vorher. Außerdem könnte er nach Belieben Daten verändern oder löschen oder den Rechner für kriminelle Zwecke missbrauchen. Aber es ist ja zum Glück nur die Demonstration eines digitalen Angriffs.

Einen Computer hacken – dafür braucht es heute - nicht mehr allzu viel Spezialwissen - zumindest für die kleineren Cyberattacken. Baukästen für alle möglichen Trojaner und Viren kursieren seit Langem im Internet. Für jeden leicht zu finden. Für versierte Computernutzer leicht zu nutzen. Für die großen Cyberattacken bedarf etwas mehr Aufwand. Das zeigen die Enthüllungen rund um die Spähprogramme Prism, Tempora und Co des US-amerikanischen Whistleblowers Edward Snowden. So oder so: Die digitale Kriminalität hat Hochkonjunktur.

Tag für Tag registrieren IT-Abteilungen weltweit Millionen kleinere und größere Angriffe auf Informationstechnische (kurz: IT-) Systeme. Server, Netzwerke und auch Heimcomputer wehren unablässig Eindringlinge und Angreifer ab. Jürgen Stock, Vizepräsident des deutschen Bundeskriminalamtes, BKA:

"Im letzten Jahr waren das rund 60.000 Straftaten im Bereich Cybercrime. Tendenz stetig steigend. Wir sehen explodierende Zahlen, was die Schäden anbelangt, die entstehen. Schäden einmal aufseiten der Bürger, die etwa durch Hacking-Attacken, durch Identitätsdiebstahl geschädigt werden. Schäden auf der Seite von Unternehmen, die durch gleichartiges Tun geschädigt werden. Bis hin zu Angriffen eben auf staatliche Strukturen, mit all den Konsequenzen, die entstehen können."

Es ist nicht nur die Anzahl der registrierten Vorfälle. Auch der Schaden erreicht mittlerweile erschreckende Dimensionen, beobachtet Alexander Geschoneck, IT-Ermittler bei der Wirtschaftsprüfungsgesellschaft KPMG, die Unternehmen auch in Sachen IT-Kriminalität berät.

"Was wir festgestellt haben ist, dass wir Schäden im unteren zweistelligen Milliardenbereich haben durch eCrime-Vorfälle, also durch strafbare Handlungen, die durch den Einsatz von Informationstechnologie möglich sind oder durch den Einsatz von IT verschleiert werden können."

eCrime mit unterschiedlichen Zielen

Auch der Bundesverfassungsschutz geht von ähnlichen Zahlen aus. Doch die Schadenshöhe könnte durchaus noch größer sein, vermutet Jürgen Stock vom BKA – denn zu wenig betroffene Unternehmen melden einen Hackerangriff.

"Aus welchen Gründen auch immer, vielleicht Angst vor Reputationsverlust oder auch vielleicht Unkenntnis, was Polizei und Staatsanwaltschaften mit Strafanzeigen machen, wird eben nicht Strafanzeige erstattet, sodass wir davon ausgehen, dass das Dunkelfeld in Sachen Cybercrime extrem hoch ist. Das ist, was sich in unserer polizeilichen Kriminalstatistik abbildet, nur die Spitze des berühmten Eisberges darstellt."

Alexander Geschoneck von KPMG sieht das ähnlich:

"Es gibt nicht viele Unternehmen, die gerne in der Öffentlichkeit dastehen und auch eingestehen müssen, dass sie eine mangelhafte IT haben oder nachlässig sind mit den ihnen zur Verfügung gestellten Informationen und Daten."

Bei der Online-Kriminalität, gerne auch eCrime bezeichnet, muss man unterscheiden, wer Zielgruppe und was das Ziel ist, betont Harald Niggemann von Bundesamt für die Sicherheit in der Informationstechnik, kurz BSI.

"Die Bedrohung setzt sich zum einen zusammen aus den ... eher kriminellen Aspekten wie Erpressung, Betrug, das betrifft ja vor allem die Bürger beim Thema Onlinebanking."

Neben dem Bürger sind vor allem Unternehmen und Behörden Opfer gezielter Angriffe aus dem Netz. Bei dieser Zielgruppe geht es den Tätern weniger darum, Gelder illegal abzugreifen, sondern vor allem um Informationen und Daten ...

"... die vielleicht vertraulich sind oder dem Unternehmen Wettbewerbsvorteile eben auch verschaffen. Andererseits haben wir natürlich auch die Seite der staatlichen Spionage, wo es eben darum geht, eben auch Einflussnahme, um über einen Informationsvorsprung auch eben versuchen Einfluss zu nehmen auf politischer Ebene."

Beim "Bürger" als Zielgruppe konzentriert sich die digitale Kriminalität vor allem auf das Erbeuten von persönlichen und Finanzdaten. Dabei werden die Täter immer raffinierter, beobachtet der IT-Sicherheitsberater und Geschäftsführer der Firma BFK EDV-Consulting Christoph Fischer.

"Der Bürger wird bedroht von hauptsächlich osteuropäischen Straftätern, die trojanische Pferde verteilen über ganz normale Webseiten, E-Mail-Anhänge oder Werbebanner-Einblendungen. Das ist heutzutage so perfektioniert, dass sie nicht einmal mehr auf etwas draufklicken müssen."

Streng genommen gebe es kaum einen Unterschied zwischen Offline- und Online-Kriminalität, erklärt er:

"Früher hat man halt die Leute vorm Geldautomaten überfallen, heute macht man das an ihrem Arbeitsplatz zu Hause, wenn sie mit dem PC das Electronic Banking machen."

In einem sind sich sowohl Christoph Fischer als auch die Experten von BSI, BKA und Verfassungsschutz einig: Das Bedrohungspotenzial für den Bürger ist enorm, viele Vorfälle sind jedoch vermeidbar.

Die Chancen der Kriminellen wären deutlich geringer, würde jeder private Anwender für größtmögliche Sicherheit an seinem eigenen Computer sorgen. Dazu gehören regelmäßige Aktualisierungen des Betriebssystems und der Anwendungen – angefangen beim Webbrowser bis hin zu Textverarbeitung und Tabellenkalkulation. Auch ausreichender Virenschutz ist wichtig, rät Christoph Fischer.

"Der Otto-Normalverbraucher benutzt seinen Rechner - sagen wir mal - relativ sorglos. Man hat vielleicht ein Anti-Virus-Programm drauf. Das Anti-Virus-Programm müsste eigentlich täglich upgedatet werden. Heutzutage gibt es Anti-Virus-Hersteller, die pro Tag 60 bis 80 Updates zu Verfügung stellen."

Es ist und bleibt ein Katz-und-Maus-Spiel: Die Anwender aktualisieren und sichern ab – die Kriminellen finden immer wieder neue Angriffspunkte.

Über 1000 Angriffe auf das Regierungsnetz

Ganz ähnliche Probleme stellen sich auch Wirtschaft und Staat – wenn auch in ganz anderen Dimensionen. Wo ein Privatanwender einen Virenscanner für ein paar Euro kauft, investiert ein Unternehmen oder ein Ministerium gleich ein paar Tausend Euro in neue Sicherheitstechnik. Und trotzdem werden die Betroffenen der Lage kaum Herr, erzählt Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz bei einem Kaffee.

"Wir haben festgestellt in den letzten Jahren eine zunehmende Zahl elektronischer Angriffe auf das Regierungsnetz des Bundes. Im letzten Jahr weit über 1000 Angriffe, die wir delektiert haben. Das bedeutet also eigentlich drei Angriffe pro Tag im vergangenen Jahr auf das Regierungsnetz."

Von der Zahl der Angriffe schließen Behörden wie Verfassungsschutz und BSI auch auf die Zahl und den Umfang der Attacken gegen die Wirtschaft – denn die schweigt zumeist.

So lässt sich nur aus den Fällen nachvollziehen, die oft unter dem Siegel der Verschwiegenheit Unternehmensberatern und Wirtschaftsprüfern anvertraut werden, was ein IT-Sicherheitsvorfall für ein Unternehmen bedeutet. Der KPMG-Sicherheitsexperte Alexander Geschoneck sieht eine klare Verbindung zwischen der Größe eines Unternehmens und den Auswirkungen einer Attacke auf dessen Computernetzwerke:

"Was wir sehen ist, dass der Schaden bei den kleineren Unternehmen extrem größer ist von den Einzelfällen, weil die eine höhere Abhängigkeit von funktionierender IT haben. Während, wenn wir uns die Gesamtzahlen anschauen, natürlich ein Sicherheitsvorfall bei einem Großunternehmen einfach durch die Manpower, die notwendig ist, um den Schaden wieder einzudämmen, sehr hoch ist, ist der Schaden für das Unternehmen auch in Bezug auf den Jahresumsatz bei kleineren und mittleren Unternehmen sehr hoch bis teilweise katastrophal."

"Wir werden hier wirklich erpresst"

Vor allem gegen Unternehmen, die ihr Geld direkt im Internet verdienen, hat sich eine perfide Masche etabliert. Sie werden mit ihrer Geschäftsgrundlage erpresst: Zahlt, oder wir kappen euch den Internetzugang.

So erging es 2011 dem Internetmagazin Giga.de. Auf einmal war die Website des Mediums nicht mehr erreichbar. Selbst die eigenen Mitarbeiter kamen nicht an die Seite heran, auch nicht an das redaktionelle System im Hintergrund, das sogenannte Backend. Der Albtraum eines jeden Internet-Unternehmens, erinnert sich Giga-Chefin Peggy Reichelt.

"... wir konnten überhaupt nichts machen. Wir konnten uns im Backend nicht einloggen, was auch dazu führt, dass unsere Redaktion nicht arbeiten kann. Das heißt, wir können keine Inhalte mehr produzieren und wir haben auch nach außen nichts mehr was dargestellt."

Die Seiten waren immer wieder für kurze Zeit weg und schnell wieder da. So wurden die Mitarbeiter stutzig:

"Da dachten wir schon so, hey, vielleicht irgendwas am Netzwerk, weil wir auch mitten im Relaunch waren und danach kam ein oder zwei Tage später kamen Erpressungs-E-Mails mit, wir sollten 100 Bitcoins zahlen, was ungefähr 600 Euro sind und haben da auch, wie gesagt, erst mal gedacht: So, was ist das? Was passiert jetzt? Und dann gingen die Attacken eigentlich richtig los und dann wurde so langsam klar, OK, da ist eine Verbindung, wir werden hier wirklich erpresst und werden auch massiv unter Beschuss genommen."

Jede Minute offline kostet Geld: Die Seiten werden weniger aufgerufen, Werbeeinnahmen bleiben aus. Aber es war nicht nur der finanzielle Schaden, der am Nervenkostüm nagte, erinnert sich Peggy Reichelt.

"... das Schlimmste, ehrlich gesagt, ist auch so eine Demotivation, die das auf eine Firma hat. Dass ein gesamtes Team dasitzt und eigentlich machtlos ist und sich in seiner Arbeit boykottiert fühlt. Also eine Redaktion, die Inhalte produziert, die dann nicht gelesen werden. Also das ist einfach vom ... Das war für uns alle glaube ich eine unglaubliche Belastung."

Trotz des bereits entstandenen Schadens blieben Geschäftsführung und Mitarbeiter standhaft. Dem Erpresser nachzugeben, kam nicht infrage. Stattdessen investierte die Firma in neue Technik und technische Hilfe. So konnten die Angriffe nach einiger Zeit erfolgreich abgewehrt werden. Zudem wagte Giga die Flucht nach vorn. Anders als die meisten Unternehmen suchte man die Öffentlichkeit.

Meldepflicht ist umstritten

Gegen das Schweigen bei IT-Sicherheitsvorfällen wollen Politik und Strafverfolger vorgehen. Bereits seit geraumer Zeit diskutieren sie mit der Branche über eine Pflicht, IT-Vorfälle zu melden. Schon allein, um nicht mehr von den eigenen Zahlen auf die in der Wirtschaft schließen zu müssen, sagt Verfassungsschutz-Chef Hans-Georg Maaßen.

"Das, was wir wissen, sind eben die Angriffe auf das Netz der Bundesregierung. Was wir nicht wissen und wo wir eigentlich die Unterstützung der gesamten Gesellschaft brauchen, vor allem der Wirtschaft brauchen, sind Angriffe auf Unternehmen der kritischen Infrastrukturen und deswegen denke ich, ist auch ein ganz wichtiger Schritt, dass es Meldepflichten geben sollte, damit deutlich wird, wo sind unsere Schwachpunkte, damit wir daraus lernen können und Abwehrstrategien auch aufbauen können."

Doch die Meldepflicht stößt auf Kritik. In der Branche befürchtet man einen sprunghaften Anstieg der Bürokratie, müsste jeder noch so kleine Vorfall gemeldet werden. Außerdem sorgen sich die Unternehmen noch um ganz andere Aspekte einer solchen Meldepflicht, erklärt IT-Sicherheitsberater Christoph Fischer.

"Eine Meldepflicht für jeden IT-Vorfall ist sicherlich ein sehr heikles Thema. Wer bekommt Zugang zu diesen Informationen? Und was wird mit diesen Informationen gemacht?"

In IT-Kreisen wird noch eine weitere Meldepflicht diskutiert: Sollten auch Sicherheitslücken – nicht nur Sicherheitsvorfälle – gemeldet werden? Gemeint sind Lücken in Hard- und Software, mit deren Hilfe es Angreifern überhaupt erst gelingt, in Systeme einzubrechen. Verfassungsschutzpräsident Maaßen lehnt dies ab und will es bei der Meldung der Vorfälle belassen.

"Eine Meldepflicht halte ich derzeit nicht für notwendig, aber ich halte es für wichtig, dass aufgrund der Erkenntnisse aus bestehenden oder in der Vergangenheit bestandenen Lücken Schlussfolgerungen gezogen worden sind, darüber, was es für Erkenntnisabflüsse gegeben hat, Informationsabflüsse oder Sabotageangriffe gegeben."

BSI-Mitarbeiter Niggemann und IT-Berater Fischer sind hingegen unschlüssig. Einerseits werden Lücken schon heute gemeldet, sagen sie, und zwar als verantwortungsvolle Veröffentlichung - die sogenannte "Responsible Disclosure". Dabei werden nur grobe Angaben zum betroffenen Produkt veröffentlicht, ohne auf die gefährlichen Details einzugehen, mit denen ein Angriff möglich würde. Andererseits ist es längst auch an der Tagesordnung, dass sich manche Hersteller viel Zeit beim Schließen der Lücken lassen und andere die Meldenden sogar unter Druck setzten, kritisieren sie.

Sicherheitslücken sind zu einem begehrten Wirtschaftsgut geworden. Verkauft werden die Schwachstellen auf speziellen Märkten im Internet. Exemplare, über die Angreifer eine große Zahl Systeme infiltrieren können, werden für hohe Geldbeträge gehandelt. Auch das könnte ein Grund sein, Lücken nicht schnellstens zu beheben, gibt BSI-Mitarbeiter Harald Niggemann zu bedenken.

"Die Gefahr besteht, dass Sicherheitslücken nicht zeitnah geschlossen werden, weil sie vielleicht über irgendwelche kommerziellen Kanäle erst mal irgendwo anders hingehandelt werden."

Indizien sprechen dafür, dass nicht nur kriminelle Abnehmer von Sicherheitslücken sind. So wurden beim digitalen Angriff auf die Atomaufbereitungsanlagen im Iran, der 2010 unter dem Namen Stuxnet bekannt wurde, mindestens vier hochkarätige Sicherheitslücken ausgenutzt. Experten sagen, jede davon Hunderttausende, wenn nicht sogar mehr als eine Million Dollar wert. Diese Lücken werden nicht dazu verwendet, einem kleinen Unternehmen oder gar einem Bürger Schaden zuzufügen. Diese Lücken werden, wie bei Stuxnet, für Sabotage und vor allem auch für Spionage in Politik und Wirtschaft eingesetzt.

Die Hauptstadt der Spione

Besonders Deutschland steht dabei im Visier der Spione – nicht nur Industrie und Forschung sind betroffen, längst auch die Politik, beobachtet der Präsident des Inlandsgeheimdienstes Hans-Georg Maaßen:

"Berlin ist eine Hauptstadt in Europa der Spionage. Es gibt kaum eine Stadt, wo es mehr Agenten gibt, als Berlin. Das ist die reale Welt. Warum sollte das in der virtuellen Welt ganz anders sein. Im Gegenteil, die virtuelle Welt gibt viel mehr Chancen unentdeckt, ohne Spuren zu hinterlassen, an Informationen zu kommen."

Oft werden die digitalen Spione im Osten vermutet. Russland wird genannt, sehr oft China. Doch ob wirklich alle Eindringlinge und Angreifer auch die sind, die sie vorgeben zu sein, bezweifelt Sicherheitsexperte Christoph Fischer.

"Wir sehen unheimlich viele Angriffe, die aus China zu kommen scheinen. Es sind sehr viele Varianten zu sehen, Handschriften zu sehen. Es gibt ganz typische Handschriften, die wirklich den Chinesen auch zugeordnet werden. Und es gibt Handschriften, die etwas anders aussehen, die etwas professioneller vorgehen. Die zwar auch aussehen, als ob sie aus China kommen, denen ich aber nicht ganz so traue. Ich würde da auch sagen, dass sich einige eine Tarnkappe überziehen, die aussieht, als ob sie aus China kommt."

Wer genau hinter diesen Angriffen steckt, kann nur vermutet werden. Sicher ist, es wird sowohl auf Bestellung von Unternehmen als auch mit staatlichem Auftrag spioniert. Christoph Fischer will die Möglichkeiten gar nicht erst eingrenzen.

"Ich würde davon ausgehen, dass jeder diese Art von Tarnung macht. … Seitdem es Geheimdienste gibt, tarnen die sich. Und sich elektronisch zu tarnen oder auf Computern zu tarnen ist noch viel einfacher, als sich im richtigen Leben zu tarnen. Also ich gehe auch davon aus, dass BND, MAD und sonstige Organisationen solche Techniken einsetzen."

Nicht nur die USA spionieren

Gerade durch die Enthüllungen des Whistleblowers Edward Snowden gerieten auch die USA und Großbritannien in den Verdacht der Wirtschaftsspionage. Schließlich sollen beide mithilfe der Programme Prism und Tempora jegliche Kommunikation über das Internet mitschneiden und auswerten.

Christoph Fischer ist sich sicher, dass nicht nur Großbritannien, sondern auch weitere europäische Staaten tief in Spionage verstrickt sind.

"Die Franzosen zum Beispiel - und da hat, das dürfte jetzt zehn Jahre her sein, damals der Premier gesagt, in militärischen Friedenszeiten befinden wir uns in einem Wirtschaftskrieg mit unseren Nachbarn, auch mit unseren befreundeten Nachbarn. Das ist auch so confirmed worden nach dem Interview. Es ist tatsächlich so, dass die Franzosen ganz aktiv dabei sind. Auch die Engländer. Und man sieht ja aus dem Snowden-Skandal, dass da null Komma null Hemmungen sind, im massivsten Stil Daten abzugreifen und Daten zu archivieren."

Europäische und transatlantische Verbündete der Spionage verdächtig? Die noch amtierende Bundesregierung will das nicht glauben. Auch nicht das BSI. Harald Niggemann geht davon aus,

"… dass nicht alles, was derzeit unter dem Begriff Abhörmaßnahmen läuft, auch immer im Bereich Wirtschaftsspionage münden muss. Wir haben ja gerade auch eine Stellungnahme des Bundesamtes für Verfassungsschutz auch gehört, die ganz klar gesagt haben, dass sie die derzeitigen Aktivitäten, die seitens amerikanischer und britischer Seite laufen, nicht in den Bereich der Wirtschaftsspionage einordnen."

"Der Vorwurf der vermeintlichen Totalausspähung in Deutschland ist nach den Angaben der NSA, des britischen Dienstes und unserer Nachrichtendienste vom Tisch."

Wurde nun spioniert – oder nicht? Auch wenn der bisherige Kanzleramtsminister Ronald Pofalla die Späh-Affäre kürzlich für beendet erklärt hat: Die neue Bundesregierung wird sich dem stellen müssen – und mehr: Die Spähaffäre und die Straftaten im Digitalen zeigen: Nationale Strategien sind sinnlos für ein globales Problem.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk