Cyberkriminalität Schutzlosigkeit vor dreisten Datendieben

Um sich vor Hackern zu schützen, kaufen US-Unternehmen Cyber-Versicherungen. Der Markt boomt, aber der Schutz, der versprochen wird, reicht im Ernstfall oft nicht aus.

Von Herbert Fromme, Köln

Wer gestohlene Kreditkartendaten kaufen will und die nötigen Empfehlungen krimineller Kreise hat, kann das auf der Webseite rescator.cc tun. Dort bieten Datendiebe die Beute aus Einbrüchen in IT-Systemen großer Firmen an. Millionen von Kundendaten der US-Einzelhandelskette Target werden unter dem Label "Tortuga" (Schildkröte) angeboten, mit Geld-zurück-Garantie, wenn die Karten gesperrt sind.

Der Einbruch bei Target Ende 2013 war der bis dahin größte Cyber-Überfall auf ein US-Unternehmen - und ein Wendepunkt in der Wahrnehmung des Risikos durch Unternehmenschefs in aller Welt. Seither sind der Schutz vor solchen Angriffen und eine mögliche Versicherung heiße Themen. Immerhin wurden 40 Millionen Datensätze von Kreditkarten inklusive Geheimzahlen gestohlen, zusätzlich 70 Millionen Einträge aus der Kundendatei. Der Schaden beläuft sich auf mehrere Hundert Millionen Dollar. Banken, Kunden, Dienstleister verlangen Ersatz. Der Vorgang alarmierte sogar den US-Senat: Der Ausschuss für Handel und Transport ließ einen detaillierten Bericht anfertigen.

Die Hacker kamen über einen Dienstleister. Die Firma Fazio Mechanical Services repariert Kühlgeräte in Target-Märkten. Die Rechnungen musste Fazio elektronisch in ein Abrechnungssystem bei Target einstellen. Über gefälschte E-Mails, die Spionagesoftware installierten, holten sich die Diebe bei Fazio die Passwörter für das Target-Abrechnungssystem. Von dort gelangten sie in den Hauptrechner des Handelskonzerns. Das reichte, um im November 2013 in vielen Hundert Registrierkassen der Supermärkte ein kleines Programm zu installieren, das genau dann Daten speichert, wenn die Karte im Gerät steckt und der Kunde die Geheimzahl eingibt. Vom 27. November bis zum 15. Dezember 2013 zeichnete es die 40 Millionen Datensätze auf.

Eine ganze Reihe von Großeinbrüchen

Gleichzeitig richteten die Diebe auf dem Hauptrechner Schadprogramme ein, die für den Abtransport der Daten nötig waren, sogar mit zwei Updates. Ab dem 2. Dezember schickte diese Software nachts elf Gigabyte an gestohlenen Kundendaten an mehrere Server, von denen mindestens einer in Russland stehen soll. Die Sicherheitssoftware bei Target schlug sechsmal an - aber da es oft Fehlalarme gab, missachteten Mitarbeiter die Warnungen.

Seither gelang Datendieben eine Reihe weiterer Großeinbrüche. Opfer waren die Baumarktkette Home Depot mit 56 Millionen gestohlenen Datensätzen, die Großbank JP Morgan Chase mit Einzelheiten von 93 Millionen Konten, außerdem die Handelskette Kmart, die Online-Plattform Ebay und andere. Die Home-Depot-Daten werden bei rescator.cc unter dem Label "American Sanctions" angeboten.

Kein Wunder, dass viele US-Unternehmen inzwischen Cyber-Versicherungen kaufen. Sie wissen: Einen hundertprozentigen technischen Schutz gibt es nicht. Deshalb boomt der US-Markt für die Spezialpolicen. 2013 haben die Versicherer knapp 1,5 Milliarden Dollar (1,2 Milliarden Euro) an Prämien eingenommen, schätzt Robert Parisi, der beim Großmakler Marsh in New York für das Geschäft zuständig ist. Seither habe sich die Nachfrage verdoppelt: "Ich wäre überrascht, wenn wir Ende 2014 nicht drei bis fünf Milliarden Dollar sehen würden."