HOME

Sicherheitslücken und geklaute Passwörter: Wie die Datendiebe arbeiten

Professionelle Hackergruppen stehlen und verkaufen Daten. Ihre Dienste bieten sie auf einem eigenen Schwarzmarkt an. Auf manche illegalen Waren gibt es sogar Garantie.

Von Timo Brücken

Auf Beutezug: Kriminelle Hacker sind längst keine Einzelgänger in dunklen Zimmern mehr. Sie arbeiten in gut organisierten Gruppen - für Regierungen oder die Mafia.

Auf Beutezug: Kriminelle Hacker sind längst keine Einzelgänger in dunklen Zimmern mehr. Sie arbeiten in gut organisierten Gruppen - für Regierungen oder die Mafia.

Es waren turbulente Wochen: Zuerst fanden Fahnder einen Datensatz mit 18 Millionen geklauten E-Mail-Adressen inklusive Passwörtern. Unbekannte sollen sie zum Versenden von Spam-Nachrichten missbraucht haben. Dann tauchte der "Heartbleed"-Bug auf, angeblich eine der schlimmsten Internet-Sicherheitslücken aller Zeiten. Kaum war der Fehler bekannt geworden, lieferten sich zwei Lager ein Wettrennen: diejenigen, die ihn beheben wollten, und diejenigen, die versuchten ihn auszunutzen. Aber was sind das für Leute, die millionenfach Zugangsdaten stehlen oder sich Sicherheitslücken zunutze machen, um an geheime Informationen zu kommen?

In Filmen sind Hacker immer Einzelgänger. Blasse Gestalten, die in dunklen Räumen vor dem Bildschirm sitzen und in fremde Computer einbrechen. Einfach, weil sie es können. Weil sie zeigen wollen, dass sie die besten sind. Weniger für Geld. Individuen "die durch ihr Ego und das Streben nach einem gewissen Bekanntheitsgrad angetrieben werden", wie es die US-Denkfabrik RAND Corporation in einer neuen Studie ausdrückt. Doch das sei ein Bild der Vergangenheit, schreiben die Forscher.

Eine Ware wie jede andere

Heute sei die kriminelle Hacker-Szene "eine Spielwiese für finanzgetriebene, gut organisierte und hochspezialisierte Gruppen". Laut RAND stehen sie oftmals mit Regierungen, Terroristen oder dem organisierten Verbrechen in Verbindung. Auf einem eigenen Schwarzmarkt handeln diese Gruppen mit gestohlenen Daten und bieten ihre Dienste an. Ein lohnendes Geschäft, behaupten die Forscher: "In gewisser Hinsicht kann dieser Schwarzmarkt profitabler sein als der Drogenhandel." Schließlich sei die Verbindung zum Endkunden enger und der technische Aufwand überschaubar. Keine Flugzeuge, keine Drogenlabore, bloß ein paar Computer.

Auch mit den 18 Millionen gestohlenen E-Mail-Datensätzen wurde Geld verdient, glaubt Thomas Ruban, Europa-Vizepräsident für Technik beim Netztwerkausrüster Juniper. Seine Firma hat die RAND-Studie in Auftrag gegeben. "Diese Adressen kann man verkaufen wie jede andere Ware auch", sagt Ruban. Entweder würden sie direkt an einen Abnehmer verkauft, die sie dann für seine Zwecke einsetzt. "Oder man bietet das als Service an, für jemanden, der sagt: Mir sind die Adressen egal, ich möchte einfach zwei Millionen Viagra-Mails rausschicken." Das Versenden des Spams würde dann wiederum eine dritte Person übernehmen. Ruban nimmt an, dass die Adressen und Passwörter aus dem jüngsten Fund nicht auf einen Schlag, sondern über einen längeren Zeitpunkt hinweg gesammelt wurden. "Entweder durch Einbrüche bei E-Mail-Providern oder über große Botnetze mit Keyloggern" - Schadsoftware, die die Tastatureingaben des Users aufzeichnet.

Twitter-Accounts kosten mehr als Kreditkarten

Die Güter und Dienstleistungen auf dem Cyber-Schwarzmarkt sind vielfältig. Neben gestohlenen E-Mail-Adressen oder Kreditkartennummern gibt es dort zum Beispiel Software zu kaufen, mit der man in fremde Rechner eindringen oder Websites lahmlegen kann. Auftrags-Hacker lassen sich für gezielte Attacken bezahlen, etwa das Kapern eines Twitter-Kontos. Zahlungsmittel der Wahl sind meist digitale Währungen wie Bitcoin. Die Preise unterliegen dabei bestimmten Gesetzen: Ein einzelner Twitter-Account kann mehr kosten als 1000 E-Mail-Adressen, wenn die betroffene Person nur berühmt genug ist. Und Kreditkartendaten bringen direkt nach einem großen Einbruch am meisten ein, weil dann die Chance größer ist, dass die Karte noch nicht gesperrt wurde. Viele Anbieter würden sogar garantieren, dass sich ein gewisser Betrag vom Konto abheben lässt, erklärt Ruban. "Ist das nicht der Fall, wird eine zweite Karte nachgeliefert."

So viel Kundenfreundlichkeit überrascht, doch der Cyber-Schwarzmarkt unterliegt eigenen Regeln. "Wenn Sie oder ich in die Branche einsteigen würden, müssten wir uns erst mal hochhangeln", sagt Ruban: "Bis die Leute sagen: Ok, der ist nicht von der Polizei." An der Spitze der Hierarchie stehen laut RAND die "Administratoren" und die "Fachkräfte". Experten mit so viel Fachwissen, dass sie selbst neue Sicherheitslücken finden, sich die passenden Angriffe ausdenken und entsprechende Programme basteln. Unter ihnen steht eine wesentlich größere Gruppe der "Vermittler" und "Verkäufer", die sich darum kümmern, die illegale Ware an den Kunden zu bringen. Ganz unten stehen schließlich die Abnehmer und die sogenannten "Maultiere", Hilfskräfte, die manchmal gar nicht wissen, wobei sie da mitmachen. Sie bilden die größte Gruppe.

Jedes Land hat seine Spezialität

Für das organisierte Verbrechen sind die Hackergruppen vor allem Dienstleister. Eigene Cybercrime-Truppen bei Mafia und Drogenkartellen gibt es laut Ruban bisher nicht. Anders als bei Staaten: Hacker in Diensten der chinesischen Regierung oder die "Syrian Electronic Army", die treu hinter dem syrischen Machthaber Assad steht, sorgen immer wieder für Schlagzeilen. Dabei gibt es durchaus Qualitätsunterschiede in der Arbeit der Cyberkriminellen, egal ob in der Privatwirtschaft oder im Staatsdienst.

Die Russen gelten als überaus professionell und gut ausgebildet, das gleiche gilt laut einem Bericht der IT-Sicherheitsfirma Mandiant für chinesische Hacker. Deren Kollegen aus Vietnam sollen ihrerseits Experten für das Knacken von Online-Shops sein, die aus Lateinamerika und Osteuropa wiederum für Massenangriffe. Die Iraner haben in den vergangenen Jahren hingegen nur wenig zustande gebracht. Mandiant bezeichnet ihre Fähigkeiten als "beschränkt". Und die Deutschen? "Momentan sind die deutschen Hacker entweder so vorsichtig, dass sie noch nicht geschnappt wurden", sagt Thomas Ruban: "Oder sie sind statistisch noch nicht relevant."

Hier können Sie dem Autor auf Twitter folgen.

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.