1200 Dollar für das IT-Administratoren-Passwort einer französischen Bank, 1500 für das einer polnischen. Immer häufiger stolpert Mayra Rosario Fuentes zuletzt bei ihren Ausflügen in die Welt der kriminellen Hacker über solche Angebote. Sie erforscht im Auftrag des IT-Sicherheitsunternehmens Trend Micro die Trends und Entwicklungen der Cyber-Unterwelt. Zuletzt hat sich hier einiges getan. Früher wurde in einschlägigen Foren wie XSS oder exploit.is nur das Wissen über Schwachstellen in Computersystemen verkauft. Zusammenbauen und nutzen musste sie der Käufer selbst. Das hat sich geändert, auch unter Cyberkriminellen wird Service großgeschrieben. Dass direkt das Passwort für eine Bank verkauft wird, ist noch eher selten, aber es geht schon in die Richtung.
Fuentes hat zuletzt eine Studie über die Halbwertszeit von Schwachstellen veröffentlicht und bei ihrer Forschung einige spannende Dinge herausgefunden. So sind es anscheinend paradoxerweise vor allem ältere Schwachstellen, die für viele Firmen gefährlich werden können. Diese Schwachstellen werden in Abgrenzung zu den sogenannten Zero-Day-Lücken N-Days genannt. Zero-Day-Lücken heißen so, weil niemand außer den Findern von ihnen weiß und die betroffenen Softwarehersteller noch null (zero) Tage Zeit hatten, die Lücke zu stopfen. Im Moment der Veröffentlichung eines Patches werden Zero Days zu N-Days. "N" steht dabei für die Zahl der Tage, die jedes Unternehmen braucht, bis es sein System updatet.
Der Grund für die Gefährlichkeit der N-Days sind Gesetze der klassischen Ökonomie: Angebot und Nachfrage. Sind Schwachstellen noch neu, dann werden sie in den Hackerforen für viel Geld verkauft. Das ist gerechtfertigt, schließlich gibt es zu diesem Zeitpunkt kaum Unternehmen, die gegen den Angriff geschützt sind. Doch nur wenige Cyberkriminelle sind bereit, diese Preise zu zahlen, also gibt es zunächst nur wenige gezielte Angriffe von Top-Akteuren. Doch mit der Zeit flicken viele Unternehmen ihre Systeme mit den Patches, die die Softwarehersteller zur Verfügung stellen. Das drückt den Preis auf dem Schwarzmarkt, jetzt greifen mehr Gruppen zu.
Zwar sind jetzt viele Unternehmen geschützt, aber eben bei Weitem nicht alle. Für diejenigen, die von diesem Zeitpunkt an noch ungeschützt sind, wird das Leben ungleich gefährlicher. Oft genug seien schlecht ausgestattete IT-Departments für langsame Patches verantwortlich, die einfach nicht hinterherkommen, sagt Fuentes. Bisweilen sei ein Patch aber gar nicht möglich: "Manchmal gibt es Patches nur für Windows 10, die Firma hat aber nur Windows 7 und will nicht upgraden. Ein Patch ist also gar nicht möglich."
Je älter die Schwachstellen werden, desto weniger Geld lässt sich damit verdienen, also überlegten sich die kriminellen Händler, wie sie mit mehr Service auch aus älteren Lücken noch Kapital schlagen konnten. Zuerst fingen gewiefte Schwachstellenkenner an, einige ältere Sicherheitslücken zu bündeln und zu einem Angriffswerkzeug zusammenzubauen. Diese Cyberwaffe können Kunden mieten, sie müssen diese nur noch auf ein Ziel richten. Für rund 1000 Dollar im Monat verspricht dieses Werkzeug zuverlässigen Zugang zu vielen schlecht gewarteten Unternehmensnetzwerken.
Das Abomodell, das Softwarefirmen wie Adobe oder Microsoft in den vergangenen Jahren für Produkte wie Photoshop oder Office etabliert haben, es ist auch in der Cyber-Unterwelt angekommen. Die Abonnenten hier sind für gewöhnlich Cyberkriminelle, die es auf das Geld von Unternehmen abgesehen haben. Der Weg zum großen Geldsegen führt sie über die Schwachstellen in die Computersysteme der Firmen. Dort haben die Kriminellen die Qual der Wahl. Spionieren sie die Buchhaltung aus und schalten sich dazwischen, wenn eine besonders große Überweisung ansteht? Oder verschlüsseln sie deutlich weniger subtil das gesamte System und verlangen Lösegeld? Oder saugen sie einfach alle Daten ab und verkaufen sie auf dem Schwarzmarkt? Es gibt viele Möglichkeiten, als Cyberkrimineller Geld zu verdienen.
Am meisten öffentliche Aufmerksamkeit bekamen zuletzt Ransomware-Erpresser. Auch bei denen wird Arbeitsteilung großgeschrieben. "Ransomware-as-a-service" oder RaaS ist das Stichwort. Wer Firmen erpressen will, der mietet sich entweder eine Plattform inklusive Zugang zu Netzwerken und Verschlüsselungssoftware, oder eines von beiden, je nachdem, was er oder sie selbst am besten kann: "Die Hacker müssen nicht wissen, wie eine Schwachstelle funktioniert, sie müssen ihr Programm nur anschalten, und es klappt", sagt Expertin Fuentes. Oder sie kaufen gleich das Administratorenpasswort, so wie im Fall der französischen Bank.
Diese Entwicklung hat einige für Unternehmen eher unangenehme Effekte. Zum einen ist es leichter geworden, in das kriminelle Geschäft einzusteigen. Während man früher ein Allround-Hacker sein und von allem zumindest ein bisschen Ahnung haben musste, reichen heute kriminelle Energie und der Zugang zu kriminellen Dienstleistern. Die Arbeitsteilung führt auch zu Spezialisierung. Weil sich alle auf ihr Spezialgebiet konzentrieren können, werden die Exploits besser und die Erpressungen raffinierter. Das Ergebnis kann man in der Cybercrime-Statistik weltweit sehen. Allein in Deutschland schätzt die Industrie den durch Cyberangriffe verursachten Schaden seit 2020 auf mehr als 220 Milliarden Euro pro Jahr.