Mikko Hypponen, Chefentwickler beim finnischen Softwarehouse F-Secure, beschäftigt sich seit über 15 Jahren mit der Sicherheit von Computern. Er gilt als Experte für Viren und Bedrohungen im Netz. Mit suedddeutsche.de spricht er über die Gefahren für Anwender - und warum sich Angriffe auf Computer lohnen.
sde: Warum muss ich mir als Privatanwender Sorgen um die Sicherheit meines Computers machen?
Hypponen: Weil fast jeder Anwender heutzutage seinen Computer für Dinge nutzt, mit denen illegal Geld verdient werden kann: Homebanking, Einkaufen und Aktienhandel sind offensichtliche Angriffsflächen. Aber auch Online-Spiele oder die reine Rechenleistung eines Computers machen Nutzer für kriminelle Angriffe interessant.
sde: Weshalb?
Hypponen: Es geht um Geld, ganz einfach. Das Internet kennt keine Grenzen, keine Distanzen. Um ein Auto zu stehlen, wird niemand von Korea nach Deutschland fliegen - aber für einen Hacker oder Spammer ist es völlig unerheblich, ob ein Rechner im Büro nebenan, in Berlin oder in New York steht. Für viele Menschen bietet sich so eine sprudelnde Einnahmequelle.
sde: Wodurch verdienen die Kriminellen ihr Geld?
Hypponen: Die "Geschäftsmodelle" sind vielfältig. Die simpelste Form ist das Ausspähen von Bank- oder Kreditkartendaten: Damit lassen sich direkt Geldbeträge transferieren. Oft werden Mittelsmänner eingeschaltet, die unter dem Vorwand einer legalen Beschäftigung unwissend Geldwäsche betreiben.
sde: Wie funktioniert das?
Hypponen: Man bekommt beispielsweise eine E-Mail eines "gut laufenden Unternehmens" in Weißrussland. Der Geschäftsführer beklagt darin, dass es in letzter Zeit zu Verzögerungen bei Überweisungen gekommen sei und man deshalb neue Wege suche, an Geld aus dem Ausland zu kommen. Willigt der Empfänger ein, erhält er einen Geldbetrag auf sein Konto überwiesen. Er hebt das Geld ab, behält seine Provision und übermittelt den Rest per Bartransfer bei einem Unternehmen wie Western Union an einen unbekannten Empfänger. Bei dieser Geldwäsche lässt sich der Empfänger nicht ermitteln. Die Spur endet bei Mittelsmännern, den "kleinen Fischen". Solche Leute werden auch auf Webseiten gesucht, die sehr professionell aussehen und mit schnellverdientem Geld locken.
sde: Neben Virenattacken ist Spam ein alltägliches Problem im Netz. Wieso lohnt sich Spam für die Absender? Niemand ist doch so verrückt, tatsächlich etwas zu bestellen, das in diesen Werbemails angeboten wird.
Hypponen: In einer Umfrage der "Business Software Alliance" aus dem Jahr 2004 wurden Internetnutzer gefragt, ob sie schon mal Produkte gekauft oder Dienstleistungen genutzt haben, die in einer Spam-Mail beworben wurde. 43 Prozent der Befragten in Deutschland antworteten mit: "Ja". Tatsächlich werden damit Millionen verdient. In den USA hat die Polizei kürzlich einen Spammer verhaftet - sie beschlagnahmte mehrere Sportwagen, der Mann besaß vier Villen. Genau darin unterscheiden sich seit ein paar Jahren die Kriminellen von den Hackern. Noch 2003 kamen die bekanntesten Viren von Jugendlichen, denen es um Anerkennung in Hackerkreisen ging, darum, etwas völlig Neues zu entwickeln. Von Geld war nie die Rede. Heute sprechen wir von organisierter Kriminalität, Erpressung, Diebstahl, Aktienbetrug.
sde: Es gibt kaum Urteile gegen Spammer oder Programmierer von Viren, woran liegt das?
Hypponen: Die meisten der Verbrechen kommen überhaupt nicht zur Anzeige, die Dunkelziffer ist extrem hoch. Ein Beispiel: Momentan sind Online-Pokerspiele sehr beliebt. Mit Trojanern spähen Kriminelle die Zugangsdaten zu diesen Seiten aus. Dann spielen sie auf Kosten anderer mit einem Kontaktmann - und verlieren natürlich alles. Wenn der betrogene Spieler merkt, dass sein Konto leergeräumt wurde, könnte er zur Polizei gehen. Aber wie hoch sind wohl seine Erfolgschancen, wenn er sagt: "Eine fremde Person hat mit meinen Nutzerdaten mein ganzes Geld beim Poker verzockt"? Der Nachweis ist extrem schwierig, das Risiko sehr gering. Das perfekte Verbrechen. Dazu kommt die Schwierigkeit länderübergreifender Gesetze. In manchen Ländern ist Spamming noch nicht einmal illegal.
sde: Phishing-Attacken auf Banken und Online-Kaufhäuser sind sprunghaft gestiegen. Kriminelle täuschen dabei die Homepage eines Unternehmens vor, um so an die Passwörter der Kunden zu kommen. Gibt es dagegen ein wirksames Mittel?
Hypponen: Phishing-Seiten ins Netz zu stellen, die dem Original ähnlich sehen, ist sehr einfach. Es ist problemlos möglich, eine Domain zu registrieren, wie etwa Sparkasse-log-in.de oder Deutsche-Bank-Passwortpruefung.com. Solche Seiten kann jeder für fünf Euro im Monat anmieten. Dadurch werden viele Kunden in die Irre geführt. Ich frage mich, warum gibt es noch keine Domains wie "bank" oder "sicher"? Die dürfte man nur unter dem Nachweis bekommen, dass man tatsächlich eine Bank ist und müsste dafür vielleicht eine halbe Million Euro bezahlen. Für große Unternehmen ist das sicher kein Problem, aber für Phisher wäre es sehr viel schwieriger, an eine Adresse mit dieser Endung zu kommen.
sde: Wo sehen Sie die größte Gefahr der Zukunft?
Hypponen: Zum einen in Angriffen auf mobile Geräte. Im Jahr 2007 werden europaweit etwa 13 Millionen Menschen E-Mails auf ihren Handys oder Smartphones empfangen. Im Jahr 2010 erwarten wir, dass es etwa 300 Millionen sein werden. Diese Geräte sind vielfach noch nicht so gut gesichert wie Computer. Eine weitere Gefahr sehe ich im Unternehmensbereich, durch gezielte Angriffen auf bestimmte Computer. Im Gegensatz zu normalen Viren werden diese Programme speziell zugeschnitten auf einen sehr kleinen Empfängerkreis, zum Beispiel für Industriespionage. Und der dritte Aspekt ist die Zunahme von "intelligentem" Spam, also Werbemails, deren Inhalte ständig variieren und dadurch von Filtern nur schwer zu erkennen sind.
sde: Spamfilter, Anti-Virensoftware und Maßnahmen gegen Phishing werden immer besser und ausgefeilter. Ist eine Ende der Attacken aus dem Netz absehbar? Oder wird es wenigstens besser?
Hypponen: Ich würde gerne sagen, dass wir es bald überstanden haben und dass es besser wird. Leider bin ich der Ansicht, dass es schlimmer werden wird. Es geht hier wirklich um einen Kampf Gut gegen Böse. Aber am Ende - da bin ich ganz sicher - wird das Gute gewinnen.