HOME

Kriminalität: Cyber-Attacke auf Topmanager

Im Internet wächst eine neue Generation von Verbrechern heran. Die Cyberkriminellen haben eine Parallelwirtschaft aufgebaut und greifen zu immer perfideren Tricks. Die Infrastruktur dafür kommt vor allem aus Ländern wie China, Russland oder Aserbaidschan.

Von Matthias Oden

Es ist der 14. April, 9 Uhr morgens, als Steve Kirsch eine Mail vom Gericht bekommt. Ein US-Gericht in San Diego befiehlt ihm, dem Chef von Abaca Technology, sich am 7. Mai in Saal 5217 des Gerichtsgebäudes einzufinden. Nähere Informationen finde er auf der Homepage des Bundesgerichts. Kirsch ist nicht der Einzige, der diese Vorladung in seinem Postfach findet: Neben ihm sollen ein paar Tausend weiterer Firmenchefs vor der Grand Jury aussagen. Wer dem Link folgt, wird von der Site aufgefordert, seinen Browser zu aktualisieren - und lädt dabei unwissentlich eine Software herunter, die sämtliche Tastatureingaben speichert und den wahren Absendern schickt: Datendieben, die nach Systempasswörtern suchen.

Rund 2000 Geschäftsführer fallen auf das Schreiben rein, Kirsch selbst rettet nur seine Erfahrung. Denn seine Firma entwickelt Filtersoftware, die eben solche Fallen erkennen soll. "Das ist eine der besten Phishing-Mails, die ich in den letzten Monaten gesehen habe", sagt Kirsch. Die Vorladung spricht jeden Empfänger persönlich an, die Adresszeile ist korrekt bis zur Durchwahl des Chefzimmers. Und sie ist auf Topmanager zugeschnitten - eine Zielgruppe, die mehr und mehr ins Visier von Internetkriminellen gerät. Beides ist Resultat eines neuen, bedrohlichen Trends: Internetverbrecher werden immer professioneller.

"Die Cyberkriminalität hat sich gewandelt, und zwar bedeutend", sagt Toralv Dirro, Stratege der IT-Sicherheitsfirma McAfee. An die Stelle kleiner Banden von Trickbetrügern sind hoch spezialisierte Organisationen getreten, deren Wertschöpfungskette sich laufend verfeinert und die ihren Kunden einen Service bieten, der dem legaler Dienstleister kaum nachsteht.

Infrastruktur aus Osteuropa und Asien

Die Infrastruktur dafür kommt vor allem aus Ländern wie China, Russland oder Aserbaidschan. Staaten, in denen es viele Informatiker gibt, wenig Jobs und eine schwache oder korrupte Justiz. Die einen programmieren, die anderen kapern Computer, wieder andere stehlen Daten, räumen Konten leer. Die Schattenwirtschaft im Netz hat ihre Machenschaften nicht neu erfunden - Datendiebstahl und Finanzbetrug sind weiterhin die umsatzstärksten Geschäftsfelder. Aber sie hat ihr Vorgehen perfektioniert.

Dirro ist kein Panikmacher. Er überlegt lange, bevor er antwortet; was er nicht mit Statistiken untermauern kann, kommt ihm nur zögernd über seine Lippen. Doch wenn er aus der Entwicklung der vergangenen Monate auf die Zukunft schließen soll, dann ist er sicher: "Es wird noch schlimmer werden. Die haben Aufwind."

Höhere Profite als im illegalen Drogenhandel

Die - das sind Gruppen, die in der Öffentlichkeit meist nur unter den Namen ihrer Schadprogramme firmieren: Zeus, Rock Phish, Spamit.com oder Dream Coders Team sind die Blue Chips einer Branche, in der es keine Quartalsberichte gibt, deren Ergebnisse aber nach Schätzungen des US-Finanzministeriums die Profite aus dem illegalen Drogenhandel übersteigen.

Entscheidend für den Aufstieg dieser Organisationen ist die Existenz von Servern, die der digitalen Unterwelt das geben, was ihre Mitglieder brauchen: einen Ort, um untereinander ins Geschäft zu kommen. Einen Umschlagplatz, der Schutz, Anonymität und Speicherkapazität bietet. Ein digitales Stelldichein für kriminelle Programmierer und Datendiebe. Sicherheitsexperten beobachten seit 2006, dass immer mehr dieser Server online gehen. "Offenbar haben einige Leute gemerkt, wie leicht und risikolos sie Geld machen können", sagt Dirro.

Betrieben werden die Schnittstellen vor allem von russischen Netzwerken. Ihre Eigentümer verstecken sich hinter unübersichtlichen Konglomeraten aus Tarnfirmen. Die Gefahr, erwischt zu werden, ist gering. Denn solange ihnen nicht nachgewiesen wird, dass sie selbst an Verbrechen beteiligt sind, bleibt ihr Geschäftsmodell in vielen Ländern vollkommen legal. Man vermietet nur Speicherplatz, ohne Fragen zu stellen. Die Verbrechen begehen die Kunden.

Die "Evolution" des Cyberverbrechens

Yuval Ben-Itzhak sieht in diesen "Crime-Servern" Anzeichen "einer neuen Ära". Der Entwicklungschef der IT-Sicherheitsfirma Finjan spricht von der "Evolution" des Cyberverbrechens: Durch die Existenz solcher Server bräuchten sich Kriminelle nur noch einzuloggen, um sich dann mit dem Material zu versorgen, das sie für ihre Verbrechen benötigen.

Entsprechend lesen sich die auf solchen Servern gehosteten Websites wie Verkaufskataloge von Waffenhändlern, die Munition für digitale Kriegsführung feilbieten. Die Palette reicht vom einfachen Spionagetool über das Abschalten ganzer Websites bis hin zu Trojanern, denen die IP-Adresse ihrer Opfer verrät, in welcher Sprache sie die Spam- und Phishing-Mails verschicken müssen. Zahlung und Lieferung regeln Allgemeine Geschäftsbedingungen, Grenzen setzt nur das Budget der Käufer. Die Größenordnung solcher Firmen, die schiere Masse an Speicherkapazität lassen für Ben-Itzhak keinen Zweifel an der Stoßrichtung der kriminellen Aktivitäten aufkommen: "Es geht gegen die Geschäftswelt."

Und weil die Konkurrenz zwischen den Anbietern wächst, entdecken die kriminellen Netzwerke nun auch Kundenpflege, Marktforschung und regionale Spezialisierung. Service wird immer wichtiger - der Kunde ist König, auch unter Verbrechern. "Wir arbeiten in diesem Bereich schon seit drei Jahren", preist sich etwa eine englischsprachige Website an. "Unsere Kunden sind stets zufrieden mit der Geschwindigkeit und der Qualität unserer Mitarbeiter."

Mafia als Dienstleister

Reiner Baumann vom Sicherheitssoftware-Hersteller Ironport spricht bereits von einer "Parallelwirtschaft", die denselben Gesetzen folge wie der legale Markt. Die Internetmafia ist in der Dienstleistungsgesellschaft angekommen.

Trojaner werden nun mit automatischen Updates und Erfolgsgarantie angeboten: Wird das Programm innerhalb der Garantiezeit entdeckt, gibt's das Geld zurück. Großkunden bekommen Abschläge, Kundenbefragungen bitten auf den Onlineportalen um Feedback, und über Instant Messenger können Interessenten direkt mit den Händlern Kontakt aufnehmen. Auf Wunsch basteln die Entwickler auch Schadsoftware, die auf einzelne Unternehmen zugeschnitten ist - gegen Aufpreis, versteht sich. Qualität hat eben ihren Preis.

"Zielgerichtete Attacken gewinnen an Bedeutung", beschreibt Baumann das Bedrohungsszenario. Man müsse sich auf maßgeschneiderte Angriffe wie die Kampagne mit der gefälschten Vorladung einstellen. "Traditionelles Spam ist auf dem absteigenden Ast." Mit Penisverlängerungen, Rolexfälschungen und billigem Viagra geht der Internetmafia kaum noch jemand in die Falle. Auch herkömmliche Phishing-Mails, die ihre Opfer auf nachgebaute Onlinebanking-Portale leiten, werden mehr und mehr von Schutzprogrammen herausgefiltert.

Topmanager sind die Zielscheibe

Und so setzen die Profis der Branche nicht mehr auf schiere Masse, sondern qualitativ hochwertige Attacken. Topmanager sind für sie besonders interessant, denn die haben Zugang zu sensiblen Geschäftsdaten und Firmeninterna, die auf dem Schwarzmarkt leicht verscherbelt werden können. "Die Passwörter von CEOs zu knacken ist eine der besten Möglichkeiten, an diese Informationen zu gelangen", sagt Baumann.

Um an die exklusive Zielgruppe heranzukommen, werden ganz legal über Adressbroker Personendaten eingekauft - sofern sie die Cyberverbrecher nicht von den Opfern selbst bekommen. Denn auf Business-Kontaktplattformen wie Xing oder LinkedIn finden Rechercheure alles, was sie brauchen, bequem nach Branchen sortierbar.

So sieht es jedenfalls Clemens Cap. Forschungsschwerpunkt des Rostocker Informatikprofessors ist das Web 2.0, und dieses ist ihm zufolge einer der besten Helfer der Internetverbrecher der zweiten Generation. "Im Web 2.0 ist jeder mit jedem vernetzt, der Umgang mit persönlichen Daten ist dadurch wesentlich freizügiger geworden." Und so stürzen sich Spammer und Phisher auf diese neuen Jagdgründe im Netz. Zwar kann jeder Benutzer der Kontaktportale selbst entscheiden, welche Informationen er über sich preisgibt. Die Masse der User ist aber oft zu sorglos. "Auf Xing und Co. kommt eine Missbrauchswelle von erheblichem Ausmaß zu", erwartet Cap.

"Akzeptanz des World Wide Webs ist in Gefahr"

Die Verluste der Wirtschaft sind immens. Allein durch den Missbrauch gestohlener Daten werden 2008 in den USA Schäden von 51 Milliarden Dollar entstehen, schätzt der Branchenbeobachter Javelin Strategy & Research. Das entspricht in etwa dem Jahresumsatz von Microsoft.

Cap erwartet bald eine Gegenreaktion der Wirtschaft auf die neue Bedrohung. "Je gefährdeter Unternehmen werden, desto mehr Geld stecken sie auch in ihre Sicherheit", hofft der Forscher. "Der Markt wird sich auf diese Gefahren einstellen."

McAfee-Stratege Dirro malt hingegen ein düsteres Bild. Er verweist auf Studien, denen zufolge jeder dritte US-Verbraucher aus Furcht vor Betrügern weniger im Internet kauft. Rund fünf Prozent aller Rechner weltweit werden bereits durch Hacker ferngesteuert. Tendenz: steigend. Und so könnten die Cyberkriminellen am Ende sogar das Internet als Handels- und Kommunikationsmedium kaputt machen, glaubt Dirro: "Wenn das in derselben Geschwindigkeit weitergeht wie bisher, ist die Akzeptanz des World Wide Web in Gefahr."

FTD