Internetkriminalität Wie Einbrecher durchs Kellerfenster

Hacker nutzen meist längst bekannte Schwachstellen, die einfach nur seit Jahren nicht behoben wurden.

(Foto: Illustration: Stefan Dimitrov)

Viele Hackerangriffe auf Unternehmen und Privatpersonen wären vermeidbar - denn die Eindringlinge gehen eher unspektakulär vor. Meist nutzen sie bekannte oder notdürftig geflickte Sicherheitslücken. Privatfirmen profitieren davon.

Von Pascal Paukner

Es war ein Donnerstagabend im April, als die Polizei zuschlug. Eine Woche lang hatte sie das Geschehen beobachtet. Nun musste etwas geschehen. Längst ging es nicht mehr um ein Ärgernis, die Sache schien sich zu einem Skandal auszuwachsen. Der Verursacher sollte zur Verantwortung gezogen werden. Also nahmen die Beamten den 30-jährigen David L. Smith in Trenton, New Jersey, fest.

Smith wurde über Nacht ins Gefängnis gesteckt. Am nächsten Morgen sah er sich massiv beschuldigt. Straftaten wurden ihm vorgehalten, auf die bis zu zehn Jahre Haft und eine Geldstrafe von maximal 150 000 Dollar standen. Der Programmierer hatte den Computervirus Melissa in die Welt gesetzt, der sich im Frühjahr 1999 seinen Weg durch Zehntausende E-Mail-Postfächer bahnte und für eine gewaltige Spamlawine sorgte.

Heute, etwas mehr als 15 Jahre später, erscheinen solche Geschichten wie Erzählungen aus einer grauen Vorzeit. Wenn heute von Computerviren, Schad-Codes und Hackerangriffen die Rede ist, geht es zumeist nicht um eher harmlose Spam-Nachrichten. Es geht um Staats- und Unternehmensgeheimnisse. Es geht um Identitätsklau und den Diebstahl von Kreditkartendaten. Bisweilen steht sogar kritische Infrastruktur auf der Zielliste.

Angriffe über das Netz sind professioneller geworden. Sie werden auch mit mehr krimineller Energie ausgeführt. Der Telekommunikationskonzern Verizon veröffentlicht jährlich einen Bericht zu Hackerangriffen im Netz. Zuletzt begann die Zusammenfassung mit den Worten: "Es gibt mehr Vorfälle, mehr Quellen und mehr Vorgehensweisen als jemals zuvor."

Die Einzelhandelskette Target verlor Millionen Kreditkartensätze

Nun, da der Fall der mutmaßlich russischen Hacker öffentlich geworden ist, erinnern sich in den USA viele an die Schlagzeilen, die erst vor wenigen Monaten über die Ticker der Nachrichtensender gelaufen waren.

Im Dezember hatte die Einzelhandelskette Target der erstaunten Öffentlichkeit bekannt gegeben, dass mitten im Vorweihnachtsgeschäft 40 Millionen Kreditkartendatensätze sowie 70 Millionen Adressen, Telefonnummern und andere Informationen ihrer Kunden abhandengekommen waren. Target, das muss man wissen, um die Tragweite des Angriffs zu verstehen, ist hinter Walmart der größte Discounthändler des Landes mit einem Jahresumsatz von mehr als 70 Milliarden Dollar. Naheliegenderweise hat es viele Menschen getroffen. Der Fall gilt unter Experten aber nicht nur wegen seines großen Ausmaßes als Beweis für die Brisanz des Themas Cybersicherheit.

Die Geschichte ist auch deshalb so spektakulär, weil Target es eigentlich hätte besser wissen können. Wie die Zeitschrift Bloomberg Businessweek später herausfand, hatte das Unternehmen erst wenige Monate zuvor 1,6 Millionen Dollar in ein Warnsystem investiert, das zum Zeitpunkt des Angriffs auch einen Alarm ausgelöst hatte. Der wurde aber dummerweise von den zuständigen Mitarbeitern im Unternehmen ignoriert.

Die Aufmerksamkeit für das Thema wächst

Auch wenn es sich nach einem Einzelfall anhört: Viele der Hackerangriffe auf Unternehmen und Privatpersonen sind vermeidbar. Nicht nur, weil es Warnsysteme gibt, oftmals nutzen Hacker einfach längst bekannte, aber nur notdürftig oder gar nicht geflickte Sicherheitslücken aus. Der Sicherheitsbericht von Verizon kommt zu dem Ergebnis, dass 92 Prozent aller Angriffe auf nur neun unterschiedlichen Angriffsmethoden beruhen. Man muss sich das Internet also nicht wie den Wilden Westen vorstellen, bei dem sich Gesetzlose immer neue Grausamkeiten ausdenken. Angreifer im Internet gehen eher unspektakulär wie professionelle Einbrecher vor. Sie kennen die Schwachstellen und steigen manchmal durch das Kellerfenster, ein anderes Mal durch die Terrassentüre ein.

In den letzten Jahren wächst die Aufmerksamkeit für das Thema ständig. Auch in Unternehmen wird das Thema ernster genommen. Die Marktforschungsfirma Markets & Markets rechnet damit, dass der weltweite Umsatz von Firmen, die sich um Sicherheit im Internet kümmern, von derzeit 95 Milliarden auf 155 Milliarden Dollar im Jahr 2019 steigen wird. Wer die Fähigkeit hat, vor den digitalen Angreifern zu schützen, kann derzeit viel Geld verdienen. Kein Wunder also, dass immer mehr Sicherheitsfirmen versuchen, mit spektakulären Enthüllungen auf sich aufmerksam zu machen.

Private Sicherheitsanbieter erkennen Schadsoftware besser

Vor allem beim Aufdecken von Bot-Netzen, also Netzwerken aus Computern, die durch eine Schadsoftware ferngesteuert werden können, tun sich die privaten Sicherheitsanbieter hervor. Häufig auch deshalb, weil staatliche Ermittler nicht annähernd über so viele Ressourcen verfügen.

Erst im Juni hatte eine private Sicherheitsfirma einen großen Angriff mutmaßlich russischer Hacker auf zahlreiche westliche Firmen aus der Energiebranche öffentlich gemacht. Die Angreifer sollen, obwohl sie in wichtige Computersysteme eingedrungen waren, keinen merklichen Schaden angerichtet haben.

Haben es die Hacker wie im aktuellen Fall auf Daten von normalen Internetnutzern abgesehen, sind die Folgen für betroffene Firmen in der Regel greifbarer. Als der Spielekonsolen-Hersteller Sony vor wenigen Jahren Ziel eines Hackerangriffs wurde, bei dem 77 Millionen Zugänge zum Playstation-Netzwerk angegriffen wurden, schlug sich das auch in der Jahresbilanz nieder. Kostenpunkt: 171 Millionen Dollar für Wiedergutmachungen und ein Sicherheitspaket.