zum Hauptinhalt

Internetkriminalität: Angriff aus dem Netz

Wie sicher ist mein Computer? Tagesspiegel-Reporter Harald Schumann machte den Test – und erlebte eine böse Überraschung. Von elektronischen Bankräubern und dem Milliardengeschäft mit der Sicherheitssoftware.

Die Email kam laut Absender vom Chef persönlich. „Interessanter Bericht, bitte lesen“ lautete die Aufforderung in der Betreffzeile, da war das Öffnen der angehängten Datei selbstverständlich. Der Artikel mit vermeintlichen Neuigkeiten über das Enthüllungsportal Wikileaks erwies sich als längst bekannt und war mit dem Drücken des Löschknopfes schon wieder vergessen. Auch dass sich kurz darauf der Rechner plötzlich abschaltete und gleich wieder neu startete, erschien allenfalls lästig – es war schließlich nicht das erste Mal, dass die Maschine abstürzte.

Was sollte schon passieren? Das Virusschutzprogramm der weltbekannten Firma Kaspersky war aktiv und auf dem neusten Stand. „Der Computer ist sicher!“ verhieß die Statusabfrage beruhigend.

Doch dann öffnet sich unvermutet ein Chat-Fenster auf dem Bildschirm. „Hallo, Ihr Computer gehört jetzt mir“, schreibt ein Anonymus da und liefert auch gleich den Beweis. Erst übermittelt er die Liste der Passworte, die im Internet-Browser gespeichert sind und anschließend eine Reihe von „Screenshots“, also Bilddateien, die dokumentieren, wofür der Computer seit dem ungeplanten Neustart genutzt wurde. Wie von Geisterhand bewegt sich sodann der Mausanzeiger, der Eindringling öffnet willkürlich neue Webseiten, und nun verschwindet auch noch der „Start“-Knopf des Windows-Systems. „Soll ich weitermachen?“, fragt er, aber das ist nicht nötig.

Das Experiment ist gelungen: Der Rechner, auf dem dieser Artikel geschrieben wurde, wurde per Internet überfallen – und hätte sich der Angreifer nicht gemeldet, wäre er unbemerkt geblieben.

Ein Angriff aus dem Internet trotz eingeschalteter „Firewall“ und aktueller Schutzsoftware? Ein elektronischer Räuber, der fremde Computer beliebig manipulieren kann? Das mutet an wie eine Szene aus den Thrillern des Schweden Stieg Larsson über die Hackerheldin Lisbeth Salander.

Tatsächlich jedoch geschieht genau das jeden Tag tausendfach irgendwo auf der Welt. In diesem Fall war der Angriff nur eine Demonstration. Dessen Urheber war Peter Kleissner, ein 19 Jahre junger Programmierer aus Österreich, der im Nebenzimmer saß. Schon vor zwei Jahren schrieb er ein Programm, das einen elektronischen Einbruch so gut tarnt, dass kein Schutzprogramm ihn erkennen kann. Als er sein „Bootkit“ bei einem Kongress für Internetsicherheit vorstellte, brachte ihm das den Vorwurf ein, er betreibe das Geschäft von Kriminellen. Doch Kleissner geht es nur um Anerkennung seiner Fähigkeiten. „Ich muss kein Banksystem knacken, um berühmt zu werden“, sagt er lachend. Darum zeigte er auf Einladung auch gern bei einem Besuch im Tagesspiegel, wie verwundbar selbst Geräte mit modernster Software sind. Böse Absichten verfolgte Kleissner nicht.

Im wahren Leben jedoch werden längst Millionen von Computernutzern weltweit Opfer von elektronischen Attacken, mit denen international organisierte Banden jedes Jahr viele hundert Millionen Euro oder Dollar per Online-Betrug erbeuten oder wertvolle Industriedaten stehlen. Von mehr als 50 000 Straftaten über das Netz berichtete das Bundeskriminalamt (BKA) allein in Deutschland schon für das Jahr 2009, 33 Prozent mehr als im Vorjahr. Ronald Noble, der Chef der Weltpolizeibehörde Interpol, warnte gar, „Cybercrime“ sei inzwischen „die größte kriminelle Bedrohung, der wir je gegenüberstanden“.

Dabei sind die Methoden der Netzttäter so vielfältig wie das Internet selbst. Mal stehlen sie Kreditkartendaten, um damit auf Kosten der Opfer einzukaufen. Mal schließen sie Tausende gekaperter Rechner zu einem aus der Ferne gesteuerten Netzwerk zusammen, um mit Hilfe dieses „botnets“ ungebetene Werbebotschaften („Spam“) für illegale Pharmahändler zu verschicken. Dann wieder erschrecken sie arglose Nutzer mit plötzlich aufscheinenden Warnungen vor Virus-Infektionen, um sie zum Kauf angeblicher Schutzsoftware zu zwingen.

Den größten Gewinn bringt der elektronische Bankraub. In Deutschland erledigen bereits rund 26 Millionen Bankkunden ihren Geldverkehr vom heimischen Computer aus. Aber immer häufiger gelingt es Online-Tätern, ein Programm einzuschleusen, das Überweisungen auf andere Konten umleitet. Diese illegale Nutzung von Konto- und Kreditkartendaten seien so „einfach geworden wie nie“, warnte vergangenen Monat BKA-Chef Jörg Ziercke. Die „Carding-Straftaten“ würden zum „Ladendiebstahl des 21. Jahrhunderts“. Den Schaden nur im deutschen Online-Banking kalkuliert das Amt in diesem Jahr schon auf 17 Millionen Euro.

Wer wissen will, wie die Täter solche elektronischen Raubzüge betreiben, der stößt auf eine bizarre Untergrundwelt im Netz. Ihr Werkzeug sind die „Trojaner“ – Programme, die über E-Mails und Webseiten auf fremde Rechner geladen werden, ohne dass die Benutzer dies bemerken. Füllen die Opfer dann online eine Banküberweisung aus, wähnen sie sich in Sicherheit. Schließlich müssen sie den Vorgang mit einer geheimen Transaktionsnummer (TAN) autorisieren, die ihnen die Bank vorab zugesandt hat. Doch während der Bankkunde den Adressaten, Kontonummer und Betrag einträgt, wird der eingeschleuste Trojaner aktiv.

Er stellt eine Verbindung mit einem anderen Rechner her und holt sich von dort die Anweisung über das Zielkonto des Angreifers. Diese falschen Angaben sowie den gewünschten Betrag schreibt das Raubprogramm sodann im Hintergrund in das elektronische Formular. Gibt das Opfer schließlich nichtsahnend seine TAN ein und klickt auf den Sendeknopf, wird nur diese andere Überweisung an den Bankrechner übermittelt – samt der eingegebenen TAN. Darum interpretiert die dortige Software die Transaktion als legitim und schreibt den Betrag über meist mehrere tausend Euro einem Empfänger gut, den der Absender gar nicht kennt.

Derlei Raubsoftware ist keineswegs einfach zu schreiben, und doch ist kaum ein Onlinebetrüger selbst ein genialer Programmierer. Denn die digitalen Einbruchswerkzeuge gibt es auf virtuellen Marktplätzen zu kaufen. Einer davon firmiert unter dem Namen „Darkode“. Dort brachte es in diesem Jahr ein Programmierer unter dem Netznamen „gribodemon“ zu Weltruhm. Mit dem Werbespruch „Hack the Planet, take your Money“ wirbt er für den Kauf seines Banking-Trojaners, dem er sogar einen Markennamen verpasst hat. „SpyEye“ heißt das Betrugswerkzeug und war bis vor kurzem für „2k WMZ“ zu haben, das Kürzel für 2000 Dollar in „Webmoney“, das einen Geldtransfer ohne Namen und Adresse ermöglicht (siehe Abbildung).

Wie ein normales Softwareunternehmen bietet „gribdemon“ auch technischen Support und regelmäßige Updates, gegen Aufpreis natürlich. Seine Kunden lobten denn auch „den großartigen Job“ des Herstellers.

Dabei brauchen sich „gribdemon“ und seine Kunden vor Entdeckung kaum zu fürchten. Den Standort ihrer eigenen Rechner können sie verbergen, indem sie den Datenverkehr über Verbindungsserver leiten, deren Eigentümer die Netzadressen oder „IP-Nummern“ ihrer Kunden nicht speichern. Darum können Ermittler selbst beim Abfangen der kriminellen Datenströme nicht erkennen, wo der eigentliche Adressat sitzt. Und darum ist es sogar möglich, mit Mitgliedern der kriminellen Online-Szene ins Gespräch zu kommen.

Folgt man seinen Einträgen auf „Darkode“, dann kennt sich da zum Beispiel ein „Sutekh“ im Onlinebetrug gut aus. Auf Nachfrage berichtet er im verschlüsselt übertragenen und darum abhörsicheren Chat freimütig, dass in Deutschland derzeit vor allem Sparkassen im Visier der Netzräuber stehen, einfach weil diese „viel mehr Kunden“ hätten als andere Banken. Für ihre Raubzüge bedienen sich er und seinesgleichen „unschuldiger Leute“, die über Stellenanzeigen im Netz angeheuert werden, um „als Vertreter einer Firma XYZ ein Konto einzurichten“. Dessen Daten tragen die Betrüger in die Steuerung des Trojaners für die gefälschten Überweisungen ein. „Dann müssen die Helfer nur noch das Geld empfangen und für eine kleine Provision ins Ausland schicken“, erzählt „Sutekh“. Dort könne man sich mit gefälschten Pässen auszahlen lassen.

Fast immer endet die Strafverfolgung darum bei den oft ahnungslosen Helfern. Nur wenn es den Ermittlern gelingt, V-Leute einzuschleusen und international zu kooperieren, landen auch die eigentlichen Täter im Knast. Im großen Stil gelang dies erstmals Ende September. Da setzte das FBI in der „Operation Trident Beach“ gemeinsam mit britischen und ukrainischen Behörden eine global agierende Gang fest. Ihr Werkzeug war ein Banking-Trojaner namens „Zeus“, mit dem die Bande allein in den USA gut 70 Millionen Dollar erbeutet haben soll und dafür an die 3500 Helfer als Geldwäscher beschäftigte. Gegen mehr als 100 Täter wurde Anklage erhoben. Der Autor der Zeus-Software, der unter dem Netznamen „sladik“ auftrat, gab daraufhin seinen Rückzug bekannt.

Aber das tut dem Geschäft seiner Kunden keinen Abbruch. „Gribodemon“ kündigte an, er werde sie weiter betreuen und „Zeus“ mit „SpyEye“ zu einem „noch mächtigeren Trojaner“ kombinieren.

Doch so groß die Gewinne der Netzkriminellen sind, so umstritten sind die Methoden, die Behörden und Softwareindustrie zu ihrer Bekämpfung propagieren. Polizei- und Industrievertreter betonen stets, die größte Gefahr sei die mangelnde Vorsicht der Nutzer. Noch immer sei ein Fünftel der Surfer im Internet „ohne Virusschutz“ unterwegs, klagt etwa Dieter Kempf, Vorstand des Branchenverbandes Bitkom. Darum gelte es die „Nutzer zu überzeugen, sich aktiv zu schützen“. Im Klartext: Die Opfer sind selbst schuld und sollten erst einmal die Antivirus-Produkte der Branche kaufen.

Das ist nicht einmal die halbe Wahrheit, und die angepriesenen Schutzprogramme lösen keineswegs das Problem. Denn die Grundlage für den Boom der Internetkriminalität hat zunächst die Industrie für Informationstechnik (IT) selbst gelegt.

Gleich ob Windows oder Apple, ob Adobe mit dem verbreiteten „Reader“ für „pdf“-Dokumente oder die Firma Sun, deren Java-Software auf zahlreichen Webseiten Anwendung findet: Alle großen Hersteller haben über Jahre Programme verkauft, die kaum darauf geprüft wurden, ob sie Angreifern die Türen zu fremden Rechnern öffnen. Erst diese Praxis aber hat die Einfallstore für Online-Betrüger überhaupt geschaffen. Um die Nachfrage auf dem boomenden Internetmarkt zu bedienen, werden die Programme oft viel zu hastig geschrieben. Auf je eine Million Zeilen „Code“ sei daher mit etwa 50 000 Fehlern zu rechnen, kalkulieren unabhängige Fachleute. Betriebssysteme wie Windows bestehen jedoch aus rund 50 Millionen solcher Codezeilen. Nur wenige Fehler führen auch zu Sicherheitslücken. Aber wegen der schieren Fülle werden die Angreifer bisher immer fündig.

Keineswegs zufällig hat sich deshalb die Produktion von „Sicherheit“ zum lukrativsten Zweig der gesamten IT-Branche entwickelt. Auf mehr als 16 Milliarden Dollar jährlich kalkuliert das Marktforschungsunternehmen Gartner die weltweiten Ausgaben für Sicherheitstechnik und -Software. Binnen drei Jahren werde der Umsatz der Securitybranche sogar noch einmal um 25 Prozent zulegen, erwarten die Marktforscher. Darum bietet derzeit der US-Chip-Konzern Intel für den Kauf von McAfee, den kalifornischen Marktführer für Sicherheitssoftware, mit 7,7 Milliarden Dollar fast das Vierfache des Jahresumsatzes der Firma.

Ob die Rechnung auch für die Kunden aufgeht, ist jedoch zweifelhaft. Denn vielfach versprechen die Verkäufer von „Total Protection“ (McAfee) oder „Internet Security“ (Kaspersky) mehr als sie halten können. Die auf das Testen der Anti-Virus-Software spezialisierte Magdeburger Firma AV-Test berichtet, dass die kommerziellen Schutzprogramme im Schnitt gerade mal drei Viertel der bereits genutzten „Malware“, also schädliche Software, tatsächlich erkennen. Und Tests des US-Prüfers NSS Labs ergaben sogar, dass die von Microsoft kostenlos zum Download angebotenen „Windows Security Essentials“ mehr Schutz boten als die Programme vieler kommerzieller Anbieter, die ihren Kunden bis zu 60 Euro berechnen – und das jedes Jahr aufs Neue. Denn fortwährend kommen neue Schadprogramme in Umlauf. Insofern seien „Virusschutzprogramme“ wahre „Gelddruckmaschinen“, kritisiert Felix von Leitner, ein weltweit gefragter deutscher Experte für IT-Sicherheit.

Eindringlich warnt er vor überzogenen Sicherheitsversprechen: „Die Antiviren führen in der Praxis eher zu mehr Unsicherheit, weil sich die Anwender geschützt fühlen und daher vor gefährlichen Aktionen weniger zögern“. Zudem haben alle Schutzkonzepte ein grundsätzliches Problem: Sie können nur Malware blockieren, die bereits bekannt ist. Die Technik der Datendiebe ist jedoch so ausgefeilt, dass sie mit wenig Aufwand immer neue Varianten ihres Schadcodes produzieren können.

Entscheidend für den Erfolg der Datenräuber sind jedoch nicht nur diese Fernlenkinstrumente, sondern die Methode, mit der sie zu den Opfern gebracht werden. Der Schlüssel sind „Exploits“, kleine Programme, die gezielt eine Lücke im Internetbrowser, der Bürosoftware oder dem Betriebssystem nutzen, um unentdeckt einen Befehl auszuführen. Ziel ist zumeist, dass im Hintergrund ein fremder Webserver angesteuert wird, von dem dann das eigentliche Schadprogramm geladen wird. Dafür sind E-Mail-Nachrichten mit gefälschtem Absender eher die altmodische Methode. Weit häufiger sind Webseiten, die als Pornoangebot oder Musiktauschbörse getarnt Internetsurfer anlocken und deren Rechner im „Drive-by-Verfahren“ infizieren. Verbreitet ist auch die Zwangsumleitung von einer sicheren Webseite auf solche, die Schadcodes übertragen. Wie leicht das geht, erfuhr vorletzte Woche ausgerechnet die russische Sicherheitsfirma Kaspersky. Stundenlang wurden Kunden auf eine Seite umgeleitet, die ihnen weismachte, ihr Rechner sei befallen und sie müssten ein neues Abwehrprogramm kaufen.

Der Aufwand, den die Angreifer betreiben müssen, steigt allerdings fortwährend an. Aus Sorge um ihren Ruf können die Softwarehersteller das Sicherheitsproblem nicht mehr ignorieren. Microsoft investierte mehr als eine Milliarde Dollar in die Sicherheit des Windows-Systems und bietet regelmäßige Updates gegen neu entdeckte Lücken.

Netzbetrüger setzen daher zusehends auf Schwächen in populären Anwenderprogrammen wie den pdf-Reader oder den „Flashplayer“ von Adobe und die Javaprogramme von Sun Microsystems, die nun auch vermehrt die im Branchenjargon „patches“ genannten Sicherheitsupdates verschicken.

Wer seine Programme stets auf dem neuesten Stand halte, sei deshalb halbwegs geschützt, bestätigt sogar Online-Betrüger „Sutekh“. Der Rat nutzt nur all den Millionen Anwendern wenig, deren Computer Teil eines Firmen- oder Behördennetzwerks ist, auf dessen Ausstattung sie keinen Einfluss haben. Die Mitarbeiter der dortigen IT-Abteilungen wiederum sind mit der Fülle der versandten Lückenschließer aber meist überfordert, weil sie stets erst prüfen müssen, ob die Updates nicht das ganze System durcheinanderbringen. Das „Patch-Management“ sei „ein Riesenproblem“, gesteht ein amtlicher Sicherheitsbeauftragter, der aber lieber nicht genannt werden möchte.

Das gilt sogar für den Bundestag, dessen Verwaltung ein strenges Sicherheitsregime führt. Zehn Abgeordnete und Mitarbeiter aus mehreren Fraktionen nutzten auf Bitte des Tagesspiegels ein Service-Angebot des Technik-Verlages Heise. Dies erlaubt per Internet eine schnelle Überprüfung der jeweils installierten Versionen aller gängigen Programme. Das Ergebnis war ernüchternd. Auf allen geprüften Rechnern lief mindestens ein veraltetes Programm mit bekannten Sicherheitslücken. „Aus Gründen der Sicherheit“ könne man zum Thema aber keine Auskunft geben, erklärte ein Bundestags-Sprecher in unfreiwilliger Ironie.

Doch selbst wenn es irgendwann gelingen sollte, die ganze Online-Welt auf den neuesten Stand zu bringen, wird es wirkliche Sicherheit wohl niemals geben. Über mobile Endgeräte vom Smartphone bis zu den Kartenlesern in Supermärkten wird die Vernetzung immer dichter. Unaufhaltsam wächst so die Zahl potenzieller Sicherheitslücken.

Das Zauberwort für Angreifer wie Verteidiger in der digitalen Welt ist deshalb der „Zero-Day-Exploit“, ein Angriffsprogramm auf Basis bisher unbekannter Lücken, so dass dem jeweiligen Hersteller „Null Tage“ bleiben, eine passende Nachbesserung zu verschicken. „Zero-Days“ können dem Erfinder 50 000 Dollar und mehr einbringen, entsprechend hoch ist der Anreiz für talentierte Programmierer. Die Nachfrage sichert aber keineswegs nur die Untergrundökonomie. Neues Angriffswerkzeug wird auch ganz legal erforscht und gehandelt. Denn gehackt wird ebenso im Staatsauftrag. Auch Geheimdienste und Polizeibehörden spähen fremde Daten aus, genauso private Sicherheitsdienste.

In dieser Grauzone florieren darum Unternehmen wie die US-Firma Immunity oder deren französischer Wettbewerber Vupen. Beide bieten komplette Bausätze für Hackerangriffe, inklusive eines Abonnements für neue Zero-Day-Exploits. Beide Unternehmen versprechen, ihre gefährlichen Werkzeuge seien nur für ausgewählte Kunden zu haben, die damit ihre eigenen Netzwerke testen.

Doch Fachleute wie Felix von Leitner halten das für unglaubwürdig. Am Ende sei es „nicht verhinderbar, dass auch Kriminelle Zugriff kriegen“, etwa indem sie eine etablierte Sicherheitsfirma kaufen und so als seriöser Kunde auftreten. Aber einen Fortschritt gebe es schon im Kampf gegen den Datenraub, meint Leitner: „Die Sicherheitslücken werden immer teurer.“

Zur Startseite