bedeckt München 29°

IT-Sicherheit:"Für Cyberkriminelle ist das Coronavirus wie vorgezogenes Weihnachten"

Missbrauchte Krise: Corona als Cybercrime-Türöffner

Wo Krise ist, da ist Betrug nicht weit. Das Coronavirus wird von Cyberkriminellen als Türöffner missbraucht.

(Foto: Zacharie Scheurer/dpa-tmn)
  • In Zeiten allgemeiner Verunsicherung haben es Cyberkriminelle leicht. Die Corona-Krise macht nicht nur die Internetnutzer nervös, im Home-Office fehlt vielen Menschen auch eine Firewall oder ein Virenschutz.
  • IT-Sicherheits-Experten warnen deshalb vor einer Cyberkriminalitäts-Welle ungekannten Ausmaßes.
  • Um dieser Welle etwas entgegenzusetzen, schließen sich Hunderte dieser Experten in informellen Foren zusammen, um schnell wichtige Informationen auszutauschen.

Wenn eine neue Welle an Betrug und Missbrauch auf das Internet zurollt, dann bemerken das meist zuerst die Bürokraten. Die Netz-Bürokraten das sind die Verwalter der Internet-Adressen, der sogenannten Domains. Wer eine neue Webseite bauen will, der braucht erst einmal Baugrund, also eine Adresse. Seit Januar verzeichnet etwa die IT-Sicherheitsfirma DomainTools, die diesen Bereich beobachtet, deutlich mehr neue Registrierungen von Internetadressen, die mit dem Coronavirus zu tun haben: also etwa "covid19help.com", "testmycorona.com" oder "quarantinder.com".

Das ist an sich nicht ungewöhnlich für besondere Situationen. Auch zur Adelshochzeit zwischen Meghan und Harry wurden viele Web-Adressen registriert. Die Trends folgen relativ genau der Medienberichterstattung. So auch bei Corona: Im Januar wurden vor allem Adressen mit den Begriffen "Coronavirus" und "Wuhan" registriert, ab Februar kam der Begriff "Covid-19" dazu. Seit den ersten Ausgangssperren in Europa ist die Zahl der Anmeldungen in die Höhe geschossen, allein im März seien 60 000 Adressen registriert worden, sagt der Forschungsdirektor von DomainTools, Sean McNee. Sicher: nicht alle davon werden für Betrügereien verwendet werden. Es gibt auch legitime kommerzielle Seiten, die etwa N95-Atemmasken oder andere nützliche Dinge anbieten. Oft werden Seiten auch von geschäftstüchtigen Unternehmern "reserviert", um sie später an den Meistbietenden zu verkaufen. Doch der Großteil der registrierten Seiten dürfte von opportunistischen Cyberkriminellen registriert worden sein, die mit der Krise Geld verdienen wollen, sagt McNee. Die Verwalter des Internets waren also gewarnt: Das wird keine Welle, sondern ein Tsunami.

Verteidigung gegen zwielichtige Cyberkriminelle

Ein guter Teil der Cyberkriminalität ist Psychologie. Die Betrüger müssen Empfänger von E-Mails dazu bringen, sie zu lesen. Links müssen geklickt, Dokumente heruntergeladen, Zugriffsberechtigungen erteilt werden, wenn Schadsoftware erfolgreich sein will. Das funktioniert am besten, wenn die Empfänger nervös sind. Gerade sind sehr viele Menschen nervös.

"Wir wissen, dass die zwielichtigen Drecksäcke da draußen nur darauf warten, diese Situation für sich auszunutzen - oder das sogar schon tun", sagt Michele Neylon. Der Ire ist Gründer und CEO der Firma Blacknight, die Internet-Adressen verwaltet und Speicherplatz vermietet, hauptsächlich für irische Internetseiten mit der Endung ".ie".

Seit einigen Tagen ist Neylon Mitglied in einem Slack-Kanal von IT-Experten, die versuchen dem drohenden Cybercrime-Tsunami eine IT-Sicherheitsmauer entgegenzusetzen. Oder zumindest eine schnelle Eingreiftruppe, eine Art "A-Team" des Internets. Der Kanal auf der Kommunikationsplattform dient als Forum, dort werden schnell und unbürokratisch Informationen ausgetauscht und Tipps weitergegeben. Gegründet hat die Plattform der Chef-Wissenschaftler der Antivirus-Firma Sophos, Joshua Saxe. Nicht als Angestellter, sondern als Privatmensch lud er sein Netzwerk ein, dem Kanal beizutreten. Schon eine Woche später ist der Kanal auf 1700 Mitglieder angewachsen, es gibt 20 verschiedene Unterforen, sogar eine Webseite. In der "Cyber Threat Coalition" treffen sich ranghohe Mitarbeiter großer IT-Sicherheitsfirmen, IT-Verteidiger von Milliardenunternehmen und ethische Hacker ohne festen Arbeitgeber, aber auch Beamte staatlicher Behörden. Viele hier sind normalerweise Konkurrenten, doch das ist jetzt egal. Gerade haben die Organisatoren Regeln für die Plattform festgelegt, zum Beispiel: keine Werbung und keine Verkaufsgespräche. In diesem Verteidigungsrat soll konzentriert gearbeitet werden.

Es gehe darum, wieder Waffengleichheit herzustellen, oder es zumindest zu versuchen. Denn Cyberkriminellen spielt nicht nur die Bedrohungslage in die Hände, sondern auch das Home-Office, sagt Saxe im Chat auf der Plattform.

Quasi über Nacht mussten Millionen Menschen sich drastisch umstellen. Aus einem von IT-Profis geschützten Netzwerk zogen sie um an einen Heimarbeitsplatz, wo sie keine Unternehmens-Firewalls und keine professionellen Antivirus-Programme schützen. Für IT-Sicherheitsspezialisten, die normalerweise Firmennetze betreuen, sei die Umstellung noch schwieriger als für viele andere, sagt Saxe. Zu Hause fehlten ihnen oft die digitalen Werkzeuge, um das Netzwerk im Blick zu behalten. Normalerweise achten sie auf ungewöhnliche Verbindungen im Netzwerk. Jetzt, wo sich auf einen Schlag Hunderte neue Mitarbeiter über VPN-Tunnels mit Firmen verbinden, gibt es kaum mehr "normalen" Netzwerkverkehr zur Orientierung. Das macht die Sache unübersichtlich. "Das ist eine Situation, wie es sie noch nicht gab, für Cyberkriminelle ist das Coronavirus wie vorgezogenes Weihnachten", sagt auch Domain-Verwalter Neylon, der in dem 40-köpfigen Orga-Team der Cyberverteidiger ist.

Cybersicherheit ist schwieriger im Home-Office

Über schlecht geschützte Heimcomputer können sich Angreifer in die VPN-Netzwerke der Firmen schleichen, die eigentlich abgeschottet sein sollen. In die können sie dann Schadsoftware einschleusen - zum Beispiel Erpressersoftware. Die kann während der Corona-Pandemie zu noch größeren Desastern führen als in ruhigeren Zeiten. Denn wenn die Software Netzwerke von Krankenhäusern und anderen Gesundheitseinrichtungen lahmlegt, dann könnte das im schlimmsten Fall Ärzte und Pflegepersonal daran hindern, Infizierte zu retten.

Dass ein solches Szenario ziemlich schlecht für ihren ohnehin schon recht ramponierten Ruf wäre, ist auch den Erpressern aufgefallen. Mitte März verkündeten einige von ihnen deshalb nach einer Anfrage der IT-Webseite Bleeping Computer, ihre Angriffe auf Ziele im Gesundheitswesen einzustellen - eine Art Waffenstillstand. Doch das ist leichter gesagt als getan. Viele Ransomware-Banden stellen heute nur die Software zur Verfügung, aber wen ihre "Kunden" damit angreifen, haben sie nicht unter Kontrolle. Eine Bande gab in einer Mischung aus Trotz und Empörung zu Protokoll: "Glauben Sie denn, wir greifen absichtlich Gesundheitssysteme an?" - nur um danach klarzustellen, dass auch Krankenhäuser in Zukunft selbstverständlich Lösegeld zahlen müssten. Tatsächlich wurden in den vergangenen Tagen mehrere Angriffe mit den Schadsoftwares Ryuk und Netwalker registriert, letzterer lockte seine Opfer mit einer Mail zu Coronavirus-Infos in die Falle.

Nicht nur Ransomware bedroht Internetnutzer. Mittlerweile wird mit Hilfe des Coronavirus so ziemlich jede Art von Internetkriminalität angebahnt, von falschen Webshops über gefälschte Geschäftsmails hin zu Phishingkampagnen und Angriffen durch Staatshacker. So nahm das US-Justizministerium am Mittwoch die Seite "coronavirusmedicalkit.com" vom Netz, auf der für fünf Dollar Versandgebühr ein angebliches Testkit inklusive Impfstoff der Weltgesundheitsorganisation (WHO) verschickt wurde. Auf der Seite "antivirus-covid19.site" wurde eine App beworben, die vorgab, per künstlicher Intelligenz vor dem Virus zu schützen. Statt Schutz gegen das Coronavirus gab es dort jedoch Schadsoftware, die die Opfer ausspionierte. Eine ganze Reihe von Android-Apps gaukelte Nutzern vor, Infizierte in der Nähe zu tracken, war jedoch tatsächlich nur dazu da, um die Kreditkartendetails der Opfer an Kriminelle weiterzugeben oder ihre Handys zu verschlüsseln und Lösegeld zu fordern, um die Geräte wieder zugänglich zu machen.

Ebenfalls beliebt sind derzeit Phishing-Mails mit Karten, die aussehen wie das mittlerweile berühmte Coronavirus-Dashboard der Johns Hopkins Universität, das die Zahl der Infizierten anzeigt, oder falsche Spendenaufrufe für die Weltgesundheitsorganisation WHO.

Die meisten Experten sind sicher: Die Coronavirus-Cyberwelle steht erst am Anfang. Die Furcht vor dem Erreger wird auf absehbare Zeit der wichtigste psychologische Angelhaken für den Großteil der Cyberattacken bleiben.

© SZ.de/jab
Smiling man using laptop model released Symbolfoto PUBLICATIONxINxGERxSUIxAUTxHUNxONLY GIOF01595

Coronavirus
:Acht Sicherheitsregeln für das Home-Office

Kriminelle fluten das Netz mit Covid-19-Spam und Corona-Phishing. Die Angriffe sind lukrativ, weil viele Menschen von zu Hause auf berufliche Daten zugreifen. Diese Tipps helfen gegen Hacker.

Von Simon Hurtz

Lesen Sie mehr zum Thema

Zur SZ-Startseite