Es ist eine gute, aber seltene Nachricht. 100.000 Dollar Strafe drohen den Managern der amerikanischen Firma Secure Computer, nachdem die Generalstaatsanwaltschaft des Bundesstaates Washington Licht in ihre dunklen Geschäfte gebracht hat:
Das Unternehmen hatte Computernutzern vorgegaukelt, ihre Systeme seien von bösartiger Spionagesoftware befallen, und ihnen anschließend ein Programm verkauft, das den Rechner säubern sollte.
In Wirklichkeit jedoch öffnete erst das Programm die Rechner für digitale Angreifer und Bankräuber.
Weil solche Digitalbetrügereien nur selten aufgeklärt und die kriminellen Techniken immer ausgefeilter werden, droht Computernutzern weltweit eine wachsende Welle von Gefahren aus dem Netz. "Aktuelle Umfragen und Statistiken belegen eine Zunahme der Bedrohungen", bilanziert Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Nach Daten des Statistischen Bundesamtes beklagten zurzeit 40 Prozent der Internet-Vielnutzer zwei oder mehr Sicherheitsprobleme pro Quartal - und es könnten leicht mehr werden, denn die Netz-Kriminalität verändere ihr Gesicht: Im Gegensatz zu früher, als Computerschädlinge wie "Melissa" oder "I Love You" fast den ganzen Globus in Atem hielten, sind die Attacken inzwischen auf einzelne Nutzer fokussiert. Zu diesem Ergebnis kommt ein aktueller Bedrohungs-Report, den der Virenschutz-Herstellers Symantec veröffentlicht hat.
Acht Millionen Betrugsmails - pro Tag
"Die Angriffe laufen heute nicht mehr global ab wie in der Vergangenheit, sondern zielen auf ganz bestimmte Gruppen wie beispielsweise die Kunden einer Bank oder eines E-Mail- oder Online-Dienstes", sagt Candid Wüest, Sicherheitsexperte im Virenforschungszentrum von Symantec in Dublin. Ein Beispiel dafür und zugleich eines der drängendsten Probleme ist das so genannte Phishing: Das kann zum Beispiel eine geschickt gestaltete Mitteilung mit dem Logo der Hausbank sein, die darüber informiert, dass ein neues System zum Online-Banking eingeführt sei.
Die geschätzten Kunden müssten nur ihr Passwort eingeben, um den neuen Service freizuschalten. Wer der Aufforderung Folge leistet, könnte allerdings genauso gut sein Geld in der Fußgängerzone einer Innenstadt ausstreuen. Allein Symantec zählt nach eigenen Angaben jeden Tag acht Millionen solcher Betrugs-Mails.
Zum Phishing zählen neben gefälschten Mail-Absendern auch so täuschend echt nachgebaute Webseiten, dass viele Kunden es nicht merken, wenn sie einem Online-Betrug aufsitzen. Früher waren die Betrugsversuche oft leicht zu erkennen, weil die Köder-Mails Sätze enthielten wie "Diese Anweisung wird an allen Bankkunden gesandt und ist zum Erfullen erforderlich". Doch die Dilettanten von einst haben längst Profis das Feld überlassen.
Erst spionieren, dann zuschlagen
Sicherheitsfachleute haben in den vergangenen Monaten eine Professionalisierung des Internet-Betrugs ausgemacht: "Immer häufiger wird die E-Mail von Muttersprachlern geschrieben und die Homepage deutscher Banken von deutschsprachigen Webdesignern kopiert. Eine dritte Person verschickt die Phishing-Mails nur noch", sagt Marion Dressler vom Deutschen Bankenverband.
Die Kreditinstitute weisen darauf hin, dass keine Bank oder Sparkasse in Deutschland ihre Kunden per Mail dazu auffordert, ihre Online-Zugangsdaten preiszugeben. Online-Betrüger hingegen tun es um so öfter: Die Anti-Phishing Working Group, ein Interessenverband der von Angriffen betroffenen Firmen, hat Ende des vergangenen Jahres weit über 7000 Phishing-Webseiten gezählt.
Mittlerweile könnten Computerhacker sogar auf Betrugs-Webseiten aus dem Baukasten zurückgreifen, wie die Sicherheitsfirma Websense berichtet: So genannte Phish Kits generieren eine ganze Handvoll Phising-Webseiten mit verschiedenen Unternehmenslogos, die arglose Surfer anlocken.
Ist der Internet-Benutzer geprellt, bekommt er sein Geld nicht automatisch von der Bank zurück - sondern nur, wenn er nachweisen kann, dass er alle Sorgfaltspflichten beachtet und eine Anzeige bei der Polizei erstattet hat.
Mit einer Modifikation des zur Authentifizierungs-Systems aus persönlicher Identifikationsnummer (PIN) und Transaktionsnummer (TAN) wollen zwar immer mehr Banken die Sicherheit verbessern, doch auch das neue Verfahren namens iTAN wird das Problem nach Ansicht von Sicherheitsexperten nicht vollständig lösen. Denn die größte Fehlerquelle ist und bleibt der Mensch. "Man kann jeden betrügen", lautet das wenig erbauliche Fazit von Eugene Kaspersky, Chef der russischen Firma für Antiviren-Software, Kaspersky Labs.
"Social engineering" heißt es im Jargon, wenn der Faktor Mensch bearbeitet wird. So helfen den Online-Betrügern zuvor gesammelte Daten, ihre Angriffe auf die Opfer maßzuschneidern. Wer scheinbar Post von seinem persönlichen Bankberater oder vom Chef bekommt, der zögert nicht lange, wenn es darum geht, private Daten herauszurücken.
Auch Apple-Rechner haben Probleme
Beim Sammeln von Informationen für solche gezielten Phishing-Attacken hilft oft so genannte Spyware. Das sind Programme, die einen Rechner ohne Wissen des Besitzers ausspionieren und seine vertraulichen Daten weitergeben.Auch die Softwarehersteller bemühen sich deshalb, einen Beitrag für mehr Computersicherheit zu leisten.
Denn neben fahrlässigen Usern sind auch schlampig gestrickte Programme oft Schuld an Sicherheitsproblemen. Selbst die sonst als sicher geltenden Apple-Rechner schützen ihre Nutzer nicht hundertprozentig vor solchen Problemen. So wurde vor einigen Wochen bekannt, dass der Mac-Browser Safari und das hauseigene Mailprogramm Schwachstellen aufweisen, die Online-Betrügern den Einstieg ins System ermöglichen.
Einige Softwarehersteller haben nun Besserung gelobt. Vor einigen Tagen kündigten die Entwickler des Web-Browsers Firefox an, dass die kommende Version 2.0 ihres Programms einen Phishing-Schutz enthalten soll, der ursprünglich von Google entwickelt wurde.
Und auch Microsoft hat angekündigt, die runderneuerte Version seines Internet-Explorers mit einer ähnlichen Funktion auszustatten. Außerdem soll das künftige Betriebssystem Windows Vista, der Nachfolger von Windows XP, einige Sicherheitslücken schließen. Das Know How dafür hat sich Microsoft unter anderem vom Anti-Spyware-Spezialisten Giant zusammengekauft.
Sicherheitsexperten wie Candid Wüest sind trotzdem nur eingeschränkt zuversichtlich, dass die Softwarehersteller den Kampf gegen die innovativen Betrüger für sich entscheiden: "Die bisher vorgestellten Beta-Versionen von Windows Vista lassen Verbesserungen erkennen", sagt er, doch sei offen, was in der finalen Version tatsächlich umgesetzt werde. Antiviren-Experte Kaspersky vermutet, dass auch die Vista-Entwickler längst nicht alle Sicherheitslücken schließen können.