Im freien Raum

Aus dem endlosen Raum des Internets dringen Hacker in die Computersysteme von Unternehmen und Privatpersonen ein, stehlen Informationen und verkaufen sie im Untergrund weiter. Mehrere Milliarden Dollar werden jährlich im digitalen Untergrund verdient. Erwischt werden nur wenige, selten jene, die ihr Geschäft verstehen.

Text: Tobias Hüberli - Illustration: Renato Hauser

Im März dieses Jahres drangen Unbekannte in das militärische Netzwerk des Pentagons ein und stahlen über 24 000 sensible Dokumente. Mit einer Cyberstrategie ist die amerikanische Landesverteidigung inzwischen ausgedehnt worden. Neben Luft, Land, Wasser und dem Weltall gilt neu auch der virtuelle Raum als Schlachtfeld. Allerdings richtet sich nur ein kleiner Teil der digitalen Angriffe an Netzwerke staatlicher Einrichtungen; das Hauptziel der Hacker sind Netzwerke von Banken, Kreditkartenfirmen, Dienstleistungs- und Industriebetrieben oder Privatpersonen.
«Die Sicherheit stand bei der Entwicklung des Internets nicht im Vordergrund», sagt Walter Sprenger, CEO der Compass Security AG. Im Auftrag von Unternehmen simuliert Sprenger mit seinem Team Hackerangriffe auf deren Netzwerke, sucht nach verborgenen

Lücken, durch die ein Hacker eindringen und heikle Daten stehlen könnte. Das Anfang der 90er Jahre entstandene World Wide Web ermöglichte einen schnellen Fluss von Information rund um die Welt, die Sicherheit wurde dem freien Informationsaustausch geopfert. «Das war insofern kein Problem, als dass nur wenige Unternehmen mit dem Internet arbeiteten», so Sprenger. Mittlerweile ist das Internet nicht mehr aus der Wirtschaft wegzudenken, jedes ernst zu nehmende Unternehmen hat eine Website, Flugtickets werden online gekauft, Mieten per Mausklick bezahlt, und das alles mit einem System, das eklatante Sicherheitslücken aufweist.

Glossar:

Ein Trojaner ist ein Computerprogramm, welches als Dokument oder als nützliches Programm getarnt unbemerkt auf den Computer geladen wird und ohne Wissen des Anwenders andere Funktionen ausführt. Mit einem Trojaner kann ein Angreifer zu einem von ihm gewünschten Zeitpunkt die Kontrolle über fremde Computer erlangen und beispielsweise E-Mails verschicken, Bankdaten des Inhabers kopieren oder Inhalte, etwa das Protokoll einer Verwaltungsratssitzung mitlesen. Ein Trojaner kann über das Internet, aber auch über Wechselgeräte, beispielsweise einen USB-Stick oder ein Handy, eingefangen werden.

Wurm nennt man ein Programm, das sich ungefragt auf Computer und Wechselmedien kopiert und dabei die bestehende Infrastruktur des betreffenden Mediums nutzt. Ein Wurm bindet Ressourcen eines Computers, kann aber gleichzeitig auch dessen System verändern. Oft verschickt sich ein Wurm mithilfe des E-Mail-Adressprogramms des gekaperten Computers selber. Der erste Computerwurm wurde von Robert T. Morris 1988 quasi ungewollt geschrieben. Sein Programm, das sich selber kopieren konnte, geriet ausser Kontrolle.

Beim Wardriving fährt der Hacker mit seinem Laptop im Auto umher und lokalisiert ungeschützte Wireless-Internet-Zugänge. Über ungeschützte Internetzugänge kann ein Hacker anonym seine Hacking-Attacken durchführen oder die Systeme des Heimnetzwerkes angreifen.

War-Dialling war vor allem in einer frühen Phase des Internets ein Thema, als viele Systeme für Wartungszwecke an ein Modem angeschlossen waren. Über die Telefonleitung wurden fremde Systeme gekapert.

Ein Botnet ist eine Ansammlung von infizierten Computern, die von einem Hacker gesteuert werden. Das Botnet ermöglicht es einem Hacker beispielsweise, von sämtlichen Computern gleichzeitig eine Mail oder Webserver-Anfragen an einen bestimmten Server zu schicken und diesen vorübergehend zu überlasten.

Ein Proxy-Server dient zur Verschleierung der Spuren. Wer über einen Proxy-Server im Internet surft, ist mit einer anderen IP-Adresse unterwegs und ist dadurch schwieriger zu identifizieren. Ein bekanntes Netzwerk von Proxy-Servern ist das Torproject (www.torproject.org).

Phishing werden Versuche von Hackern genannt, an Daten eines Internetbenutzers heranzukommen. Das kann beispielsweise über gefälschte Internetseiten oder E-Mails geschehen. Oft geht es dabei um den Diebstahl von Zugangsdaten von Online-Bankkonten.

Money Mules sind Personen, die mit Arbeitsvertrag und Ferien angeworben werden, um ihr Konto zur Verfügung zu stellen. In den meisten Fällen wissen die Money Mules nichts von ihrer kriminellen Tätigkeit, sondern gehen davon aus, dass sie beispielsweise Geld zugunsten von Hilfswerken transferieren. Sie erhalten einen bestimmten Betrag auf ihr Bankkonto überwiesen und heben dieses nach Abzug einer Provision ab. Anschliessend zahlen sie das Geld physisch am Schalter eines Anbieters für Geldtransfers für eine andere Person ein. Durch das physische Abheben und Wiedereinzahlen von Bargeld werden Spuren verwischt, so dass der Endempfänger kaum ermittelbar ist. Das Wirken als Money Mule ist zwar verglichen zum Arbeitsaufwand sehr lukrativ. Money Mules machen sich aber strafbar und müssen sich entsprechend verantworten, wenn sie erwischt werden. In der Schweiz ist es bereits zu vereinzelten Verurteilungen gekommen.

Das introvertierte, übergewichtige, mit Hornbrille bestückte 13-jährige Programmier-Genie, das über die Telefonleitung in das Netzwerk der Nasa eindringt, gibt es so nicht mehr. «Früher versuchten Hacker in möglichst prestigeträchtige Netzwerke einzubrechen, es ging darum, ihr Können zu demonstrieren und berühmt zu werden. Heute geht es darum, möglichst unbemerkt möglichst viel Geld zu verdienen.»

Dabei gehen die Angreifer gezielt vor, Online-Bankkundendaten, Kreditkarten-Nummern, E-Mail-Zugangsdaten, aber auch interne Strategiepapiere von Industriebetrieben oder Protokolle von Verwaltungsratssitzungen werden kopiert und verkauft. Angegriffen wird das schwächste Glied im System. «Die Unternehmen investieren mittlerweile viel, um ihre Infrastruktur zu schützen, die Schwachstelle ist darum oft der Computer zuhause, an dem der Vater abends noch arbeitet oder die Banküberweisungen vornimmt, die Mutter auf Facebook mit Freundinnen kommuniziert und der Sohn sich online mit Computerspielen vergnügt», so Sprenger.

Die Chancen, dass man sich einen Trojaner (siehe Glossar) einfängt, sind gross. Getarnt als nützliches Programm oder als PDF-Dokument, lädt sich das schädliche Programm unbemerkt auf den fremden Computer und wartet dort, bis er vom Hacker aktiviert wird. «Der beste Firewall nützt nichts, wenn ein Trojaner, als Stellenbewerbung auf einem USB-Stick getarnt, vom Personalchef eigenhändig ins interne System geschleust wird.» Ein klug programmierter Trojaner kopiert nicht nur Passwörter von Online-Bankkontos, sondern fängt auch Zahlungsüberweisungen ab und modifiziert diese derart, dass ein bestimmter Geldbetrag auf ein anderes Konto überwiesen wird. Oder er kann wochenlang unbemerkt auf einem Computer warten, bis etwa die Verwaltungsratssitzung stattgefunden hat und das Sitzungsprotokoll mitgelesen werden kann. Auch so genannte Botnetze werden mittels einem Trojaner aufgebaut. Mit einem Botnetz kontrolliert ein Hacker zehntausende von Computersystemen, die alle zum gleichen Zeitpunkt Anfragen an einen bestimmten Server schicken können und ihn damit überlasten und für gewisse Zeit lahmlegen (Distributed Denial of Service).

Die Cybermafia
Im Untergrund des Internets ist eine lose organisierte, kriminelle Struktur entstanden, die pro Jahr mehrere Milliarden Dollar umsetzt. «Die Cybermafia bietet verschiedene Dienstleistungen an, für Geld wird die Website eines Konkurrenten lahmgelegt, Kreditkarten-Nummern, Online-Bankzugangsdaten, E-Mail-Kontos, aber auch Trojaner-Bausätze oder Spam-Tool-Kits werden anonym an Interessenten verkauft.» Rund fünfzig Prozent des Handels basieren auf gestohlenen Kreditkarten-Informationen. «Wir gehen davon aus, dass die Cybermafia mit System vorgeht, eine Abteilung stiehlt die Daten und verkauft sie an eine andere, die sie dann effektiv nutzt. Die verschiedenen Abteilungen kennen sich wahrscheinlich gar nicht.»

Erwischt werden vergleichsweise wenig Hacker. Ein Grund liegt in der Weite des Internets. Im Netz gibt es keine nationalen Grenzen. Ein Hacker kann in der Schweiz von einem öffentlichen Internetzugang auf einen Server in der Ukraine zugreifen und von dort einen Angriff auf eine deutsche Bank starten. Bis die deutsche Polizei über den Rechtsweg Zugriff auf den ukrainischen Server erlangt, sind die Spuren längst verwischt. «Wenn ein Hacker unerkannt bleiben will und weiss, wie er es anstellen muss, dann gelingt ihm das auch.» Es gibt Ausnahmen. 2010 wurden in Rumänien, England und den USA insgesamt 60 Personen verhaftet. Mit gestohlenen Kreditkarten-Nummern ergaunerte sich die Gruppe innert neun Monaten 77 Millionen Dollar.

Die Währung des Internets
Das Schmiermittel der Internet-Mafia sind die zahlreichen digitalen Währungen. Gehandelt wird in Web-Money, Liberty Reserve oder U-Gold. Mit ihnen sind anonyme, sofort gültige Instant-Transaktionen möglich, die nur schwer verfolgbar sind. Ein Liberty-Reserve-Konto zu eröffnen, ist einfach. Der Nutzer muss nur eine E-Mail-Adresse sowie einen frei erfundenen Namen angeben. Über bestimmte Banken, so genannte Exchanger, in England oder den Cayman Islands wird Geld auf das Liberty-Reserve-Konto überwiesen oder von dort abgehoben. Welche Wege das Geld von dort geht, verschwindet hinter einem Schleier.

Einer, der sich mit Hehlerware und Internetwährungen auskennt, ist Candid Wüest von der Symantec AG in Oerlikon: «Die meisten professionellen Hacker haben verschiedene Konten in verschiedenen Währungen. Das mit Hehlerware verdiente Geld wird anonym und in Sekundenschnelle von einem Konto zum nächsten transferiert, dann irgendwo, sagen wir mal in Russland, in reelles Geld verwandelt und per Geldtransfer, zum Beispiel Western Union, nach Nigeria geschickt, dort holt es ein Mittelsmann mit einem gefälschten Pass ab. Das Geld ist absolut nicht rückverfolgbar.» Die Anbieter von digitalen Währungen haben den Hauptsitz fast ausnahmslos ausserhalb Europas (Der Hauptsitz von Liberty Reserve ist in Costa Rica). Ohne Bankstatus bewegen sie sich in einer Grauzone und entziehen sich normalen Finanzregulationen.

Was sich schützen lässt
Die Vielzahl der miteinander verbundenen Netzwerke und die Zunahme der mobilen Endgeräte machen es schwierig, ein Netzwerk effizient zu schützen. «In Zukunft wird es nicht mehr darauf ankommen, ob ein Netzwerk sicher ist oder nicht», sagt Walter Sprenger, «künftig werden wir die Daten selbst sichern müssen.» Das würde bedeuten, dass die Dateien selbst verschlüsselt werden und nur dazu befugte Personen Einsicht erhalten. Ob das die Lösung ist, wird sich weisen, jedes System hat seine Schwachstellen und auch die Hackercommunity bleibt nicht stehen. «Es ist ein ständiger Wettlauf», so Sprenger.

Zurzeit scheint es aber so, dass die Schweizer Banken kein attraktives Ziel mehr abgeben. «Die Phishing-Attacken auf unsere Banken haben gegenüber letztem Jahr massiv abgenommen», sagt Max Klaus von der Melde- und Analysestelle Informationssicherung (MELANI), welche die kritischen Infrastrukturen in der Schweiz schützt. Zu diesen Infrastrukturen gehören auch die Banken. «In einem einschlägigen Forum haben wir vor ein paar Monaten folgenden Satz gelesen: «In der Schweiz gibt es keinen Gratiskäse mehr.» Wir interpretieren diese Aussage so, dass es momentan für die Angreifer nicht lohnenswert ist, Schweizer Banken zu attackieren, weil die Sicherheit von Schweizer E-Banking-Lösungen im Vergleich zum Ausland sehr hoch ist. Ausserdem beobachten wir eine Verlagerung der Phishing-Angriffe ins Ausland.»

«In Zukunft werden wir vermehrt Angriffe auf so genannte SCADA-Systeme erleben», so Klaus. SCADA-Systeme steuern ganze Industrieanlagen, unter anderem auch Atommeiler oder Stromnetze. 2010 wurde mit dem technisch hochkomplexen Computerwurm Stuxnet eine iranische Zentrifugen-Anlage attackiert. Der Wurm übernahm die Kontrolle der Anlage und hatte zum Ziel, über die schnelle Senkung und Erhöhung der Temperatur in den Zentrifugen diese zu zerstören. Nach wie vor benötigt man für Angriffe auf SCADA-Systeme Insiderkenntnisse über die entsprechenden Anlagen, weshalb solche Angriffe nicht einfach durchzuführen sind. «Die Tatsache, dass Stuxnet sehr komplex programmiert war, legt den Schluss nahe, dass es sich hier nicht um Einzeltäter gehandelt hat.» 

Ausgabe 3/2011