Cybergangster:Dunkle Geschäfte im Untergrund

Sie agieren im Verborgenen, ihre Waffe sind Netzwerke von Zombierechnern: Die milliardenschwere Internet-Schattenwirtschaft wächst auch in Krisenzeiten.

J. Kuhn

Es sind die trostlosen, verlassenen Orte, an denen die Eingangstore zu den Unterwelten des Internets zu finden sind. Das Forum einer erfolglosen Buchcommunity als Marktplatz für gestohlene Kreditkartendaten, eine unbeachtete Facebook-Diskussion als Angebotsort für gestohlene Pin-Nummern.

Cybergangster: Nicht alle Cyberkriminellen arbeiten im Dunkeln

Nicht alle Cyberkriminellen arbeiten im Dunkeln

(Foto: Foto: iStockPhoto)

So viel sich der Durchschnittssurfer im Internet bewegt, so verborgen bleibt ihm in der Regel die Milliardenindustrie, die Daten klaut, verkauft und für Betrügereien verwendet. Konservative Schätzungen gehen von einem Jahresumsatz von 100 Milliarden Dollar aus, doch selbst die Strafverfolgungsbehörden können keine genauen Angaben machen, wie groß der Kreis an Internetkriminellen deutschland- und weltweit überhaupt ist. "Eine belastbare Aussage zur Tatverdächtigengesamtzahl ist - insbesondere vor dem Hintergrund eines nicht unerheblichen Dunkelfeldes - nicht möglich", so die Auskunft des Bundeskriminalamts.

Auch Spuren im Netz verwischen schnell. Angebote in Foren verschwinden nach einigen Tagen wieder, Marktplätze für gestohlene Daten entstehen und schließen innerhalb weniger Monate. "Bei der Abwicklung des Geschäfts", sagt Gilbert Wondracek, der für ein Projekt der Technischen Universität Wien die Schattenwirtschaft beobachtet, "läuft die Kommunikation über Messenger oder dezentrale IRC-Chatrooms, die oft passwortgeschützt sind."

Unbemerkt im Netz verschwunden

Es ist ein unsichtbares Netzwerk der Illegalität, das über die Jahre entstanden ist. In Russland und Osteuropa, so heißt es etwa in einer Studie von Symantec, einem Hersteller von Sicherheitssoftware, haben sich inzwischen feste Organisationen gebildet, die spielend in der Lage sind, mit gestohlenen Daten reale Kreditkarten zu fabrizieren.

Selbst Organisationen wie das "Russian Business Network" (RBN), die so bekannt werden, dass die Medien über sie berichten, können wieder unbemerkt im Strom des Internets verschwinden. Online-Sicherheitsfirmen brachten die in St. Petersburg ansässige Gruppe schon länger mit illegalen Aktivitäten in Verbindung. Dazu gehört die Vermietung von Servern als Internet-Marktplätze für illegale Hacker-Dienstleistungen oder Kinderpornos, aber auch das Bereitstellen von Netzwerken für Cyber- und Phishing-Attacken.

Als die Aktivitäten der Organisation, der beste Verbindungen zu einflussreichen russischen Politikern nachgesagt werden, im Jahre 2007 immer mehr in die Schlagzeilen kamen, verschwanden ihre Server über Nacht vom Netz. Seither gibt es Indizien, dass die Gruppe weiterhin aktiv ist und ihre Rechenkapazitäten in den asiatischen Raum verlegt hat. Wie sie inzwischen organisiert ist und was genau sie treibt, bleibt jedoch im Verborgenen.

Das hat auch mit der typischen Arbeitsweise der Schattenwirtschaft zu tun. Das RBN hinterließ trotz eines vermuteten Multimillionenumsatzes keine Spuren: Der Geldstrom fließt bei kriminellen Hackern nicht über reguläre Konten, sondern über anonymisierte Ersatzwährungen wie PaySafeCards oder Ukash, die gegen Bargeld eingetauscht werden können, sagt Wondracek. Trotz des seriösen Namens war das RBN niemals eine eingetragene Firma, der mutmaßliche Kopf der kriminellen Vereinigung ist nur unter seinem Internet-Spitznamen "flyman" bekannt.

Die Macht der Botnetze

Haben Cybergangster Botnetze an der Hand, besitzen sie das ideale Instrument, um Straftaten im großen Stil zu begehen. Ein Botnetz ist ein Netzwerk von Zombierechnern, die mit Schadprogrammen infiziert sind und so ohne das Wissen ihrer Nutzer aktiv werden können. Ein Zombienetz ist je nach Größe einen fünf- bis sechsstelligen Betrag wert und kann die verschiedensten Aufgaben ausführen - das Versenden von Spamnachrichten ist nur eine davon.

So berichtet die Internet-Sicherheitsfirma McAfee von einem starken Anstieg von Denial-of-Service-Attacken im dritten Quartal 2009. Bei diesen "DDOS"-Angriffen legt eine Flotte von Botnetz-Rechnern einen Server lahm, indem er ihn ständig mit Anfragen bombadiert.

Oft werden Betreiber von Internetseiten, die bei bestimmten Ereignissen unbedingt online sein müssen, mit der Androhung eines Angriffs erpresst. In Australien wurden dem Bericht zufolge jüngst vier Sportwetten-Seiten während Großereignissen wie dem nationalen Rugby-Finale von einer solchen Attacke lahmgelegt.

Nach der jüngsten Analyse der Forschungsabteilung der Antiviren-Firma Trendmicro kontrollieren ein paar hundert Kriminelle per Botnetz inzwischen mehr als 100 Millionen Rechner. "Das bedeutet, dass Cyberkriminelle mehr Rechenkraft zur Verfügung haben als alle Supercomputer der Welt zusammen", heißt es.

Konkurrenz auf dem Botnetz-Markt

Dabei stehen die Botnetz-Eigentümer durchaus in Konkurrenz zueinander: "Wir erleben es, dass Schadprogramme bereits infizierte Computer übernehmen und dabei die vorhandenen Trojaner der Konkurrenz gleich löschen", erzählt Amichai Shulman von der Internetsicherheitsfirma Imperva.

Inzwischen verdienen viele Kriminelle ihre Geld damit, dass sie ihre Zombiearmeen vermieten. Dies ermöglicht Internetbetrügern, auf Abruf zu agieren und kein eigenes Netz betreiben zu müssen.

"Dabei werden oft kleine Netze gemietet, weil sie weniger auffällig sind", sagt IT-Sicherheitsexperte Thorsten Holz, "so können Sie 2000 bis 3000 Rechner kontrollieren, von dort Phishingattacken starten und nebenbei den Internetverkehr des infizierten Computers mitschneiden und sich so die interessantesten Daten holen."

Geldesel als Mittelsmänner

Die so ergaunerten Daten werden dann für Betrügereien verwendet oder auf dem Schwarzmarkt verkauft. Nach Angaben von Symantec kostet der Zugang zu einem Bankkonto je nach Kontostand zwischen 10 und 1000 Dollar, für Kreditkarten werden je nach Menge zwischen 10 Cent und einem Dollar pro Nummer verlangt.

Damit das Geld keine Spuren hinterlässt, werden für die illegalen Abbuchungen "Money Mules", also Geldesel, eingeschaltet. Diese Mittelsmänner erhalten kleine Beträge von den geknackten Konten überwiesen, transferieren diese dann zum nächsten "Geldesel" weiter, bis die Summe am Ende irgendwann über ein internationales Geldtransferinstitut beim Auftraggeber landet. Die Mittelsmänner erhalten für ihren Dienst eine Provision.

In diesem Moment werden oft auch unbescholtene Nutzer zum Teil des Untergrunds, ohne es zu wissen: Häufig werben die Cyberkriminellen ihre Helfer per Internet-Jobausschreibung als "Finanzagenten" an oder behaupten, die Überweisungen würden Hilfsorganisationen zugutekommen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: