Internetkriminalität: Wie gefährlich sind die Attacken?

Estland war im Frühjahr 2007 der Austragungsort des ersten Cyber-Krieges, „Web War One“ wie Spezialisten den Vorfall inzwischen nennen. Rechner im ganzen Land gerieten unter massives elektronisches Sperrfeuer. Die Baltenrepublik war zeitweise so gut wie offline. Die Attacke auf das estnische Netz war kein Einzelfall. Internetkriminalität wird zu einem immer größeren Problem. Fast vier Millionen Deutsche wurden bereits Opfer davon und erlitten einen finanziellen Schaden durch Viren. Anlässlich des Berichts zur Lage der IT-Sicherheit in Deutschland 2009, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Dienstag auf der Computermesse Cebit in Hannover vorgelegt hat, warnt BSI-Präsident Udo Helmbrecht vor der „immer weiter voran- schreitenden Professionalisierung der Internetkriminalität“. Die Lage der Datensicherheit hat sich laut dem Bericht in den Jahren 2007 und 2008 im Internet offenbar extrem zugespitzt. „Die Lage ist ernst, sie ist noch katastrophaler als wir befürchtet hatten“, konstatiert der BSI-Fachmann Hartmut Isselhorst auf der Cebit. „Wir alle werden angegriffen. Sobald wir ins Internet gehen, werden wir zum Ziel von Angriffen.“

Was sind Botnetze?

Auf die estnischen Internet-Server ging damals ein sogenannter DoS-Angriff nieder; ein Flächenbombardement aus dem Cyberspace. Unzählige automatisierte Anfragen, Denial-of-Service-Angriffe (DoS), ließen die Websites von Ministerien, Schulen, Medien, Internet-Dienstleistern und Banken zusammenbrechen. Es war der erste digitale, politisch motivierte Angriff auf die Internet-Infrastruktur eines ganzen Landes. Im benachbarten Russland vermuteten die Esten den Ausgangspunkt der Angriffe. Die verheerendsten Breitseiten aber feuerten gekaperte Rechnernetze, sogenannte Botnetze, in den USA ab. Botnetze, die die DoS-Angriffe steuern, haben in ungeheurer Zahl zugenommen.  Dabei handelt es sich um ein System von zusammengeschalteten Rechnern, das parallel unzählige Anfragen und Meldungen an ausgewählte Server schickt, um diese zu überlasten und damit in die Knie zu zwingen. Für diese illegalen Netze, die im Internet für relativ geringe Geldbeträge sogar zu mieten sind, werden häufig Rechner unwissender Nutzer gekapert. Das funktioniert mit Trojanern – einem Computerprogramm, das dem Benutzer eine nützliche Anwendung vorgaukelt, tatsächlich im Hintergrund aber eine andere Funktion ausführt. Meistens handelt man sich solche Programme mittels einer E-Mail oder einer infizierten Website ein.

Digitale Erpressung

Internetkriminalität ist aber nicht nur für Staaten eine Gefahr, sondern auch für Unternehmen. Während der Fußball-Europameisterschaft 2004 wurde beispielsweise ein Wettbüro Opfer einer digitalen Erpressung, wie ein BSI-Experte berichtet. Nach einer ersten noch überschaubaren Attacken legten Unbekannte dem Wettbüro nahe, einen gewissen Geldbetrag auf ein angegebenes Konto zu überweisen, andernfalls werde die Angriffsstärke erhöht. Das Wettbüro blieb standhaft, zahlte nicht – und ging offline. Mit solchen Erpressungsversuchen sehen sich Unternehmen nach Angaben des BSI auch in Deutschland vermehrt konfrontiert.

Privatpersonen betrifft eine andere Form der Internetattacken: der klassische Identitätsdiebstahl. Man-in-the- middle-Attacke heißt das, was beim Online-Banking passieren kann. Ein Trojaner späht beim Online-Banking die nötigen PIN- und TAN-Nummern aus. Ein speziell entwickeltes Programm setzt sich dann digital zwischen den Kunden und die Bank und täuscht an beiden eine direkte Kommunikation vor. In Wirklichkeit allerdings überweist der Kunde sein Geld nicht so, wie ihm auf dem Bildschirm dargestellt wird, sondern es entschwindet in ferne Länder. Die Schadenssummen beim Online-Banking sind nach Angaben des BSI stark in die Höhe gegangen.

Es gibt Millionen von diesen Schadprogrammen.  Und ihre Anzahl wächst immer schneller. Jeden Monat kommen Zehntausende hinzu. Organisierte Kriminelle machen Milliardenumsätze mit ihren Angriffen. Von Januar bis März 2008 wurden im Rahmen einer Untersuchung durchschnittlich 15 000 infizierte Webseiten pro Tag entdeckt.

Drive-by-Downloads

Neben der quantitativen Steigerung verzeichnen die Experten auch eine qualitative Verschiebung. Wurden Schadprogramme früher hauptsächlich in den berüchtigten E-Mail-Anhängen versandt, präparieren Cyber-Kriminelle zunehmend seriöse Internetseiten mit Viren, Würmern und Trojanern: Nutzer infizieren ihre Rechner mittels den noch schwieriger zu vermeidenden Drive-by-Downloads, die man sich beim Besuch einer unverdächtigen Webseite quasi nebenbei und unbemerkt einfängt. Ausgenutzt werden hierzu Sicherheitslücken im Webbrowser oder in installierten Zusatzkomponenten (plug-ins). Dabei lassen sich die unterschiedlichen Schadprogramme immer weniger in Kategorien einteilen. Würmer (sich selbst verbreitende Schadprogramme) und Viren (Schadprogramme, die einen Träger zur Verbreitung benötigen), welche beide nur in Richtung des angegriffenen Rechners zielen, sind weitgehend Auslaufmodelle. Die meisten Schadprogramme werden inzwischen aus verschiedenen Modulen konstruiert und verfügen über mehrere Funktionen. So kann etwa ein trojanisches Pferd Spionage-Befehle enthalten, Passwörter knacken  und den befallenen Rechner zusätzlich an ein Botnetz anschließen. Zudem verfügen die meisten Programme inzwischen über Update-Funktionen, so dass neue Programme oder Tarnmechanismen jederzeit nachgeladen werden können.

Risiken bei Sozialen Netzwerken

Von 100 empfangenen E-Mails sind nach Angaben des Bundesinnenministeriums durchschnittlich nur etwa 1,5 E-Mails gewollt. Das Regierungsnetz IVBB hat beispielsweise knapp 670 Millionen ungewollte E-Mails pro Monat bei nur knapp sieben Millionen gewollten Mails empfangen. Der Anteil von Spam-Mails hat sich weiter erhöht und bleibt deshalb ein immenses wirtschaftliches Problem.
Die Gefahr der Computer-Schädlinge wird aber dennoch nach wie vor unterschätzt. Denn die Mehrheit der Nutzer hat nach eigener Einschätzung bisher keinen spürbaren Schaden erfahren. Manipulation am Rechner bleiben häufig unbemerkt. Kopfzerbrechen bereitet den Sicherheitsexperten deshalb auch der unbesorgte Umgang mit Daten in den Mitmach-Anwendungen des Web 2.0. Bedenkenlos gäben die vorwiegend jungen Anwender in ihren Benutzerprofilen für die Sozialen Netzwerke (wie etwa Facebook, StudiVZ oder MySpace) detailliert private Informationen preis. Dass sich hinter einem Kontakt in dieser schönen neuen Weltauch ein Hacker verstecken kann, der auf diese Weise das potenzielle Opfer – mitsamt dessen Rechner, Betriebssystem und persönliche Einstellungen – ausspäht und später gezielt angreifen kann, bedenken die Wenigsten. Zudem vergessen die Nutzer auch gerne, dass Informationen im Netz praktisch jedermann zugänglich sind und es auch lange Zeit bleiben.   Für Cyberkriminelle sind die Sozialen Netzwerke ein Selbstbedienungsladen ohne Kasse.

Angesichts der Unsicherheit der Daten im Netz und der expandierenden Cyberkriminalität verzeichnet der Branchenverband BITKOM schon einen Rückzug der Nutzer. Einer Studie zufolge, die BITKOM ebenfalls am Dienstag auf der Cebit präsentiert hat, zögern die Nutzer mittlerweile im Netz. Während 2008 noch sieben Prozent angegeben hatten, schon einmal im Netz geschädigt worden zu sein, sind das nun bereits 29 Prozent. 16 Millionen verzichtet der Studie zufolge mangels Vertrauen auf Onlinebanking, das sind 33 Prozent. 27 Prozent tätigen keine Einkäufe bei Online-Shops und 41 Prozent setzen beim Versand wichtiger Dokumente auf die Post statt auf die E-Mail.

Fehlanzeige in Sachen Kontrollen

„Die Zahl der Angriffe auf die Netze, auch in Deutschland, steigt exponentiell. Die Situation hat sich qualitativ und quantitativ zugespitzt", fasst der Staatssekretär im Bundesinnenministerium Hans Bernhard Beus zusammen. Insbesondere die Entwicklung der Botnetze sorgt das Bundesinnenministerium. „Botnetze sind immer größer geworden. Das ist eine Bedrohungslage für die Bundesregierung und für die Gesellschaft.“ Mit dieser Bedrohung habe bis vor Kurzem noch niemand gerechnet. „Wir erleben täglich“, so Beus, „Angriffe auf die Verfügbarkeit der Regierungsnetze.“ Und wer erinnert sich nicht an den Angriff aus China? Eine digitale Trojaner-Armee hatte 2007 offenbar mittels einer Umleitung über Computer in Südkorea deutsche Regierungsrechner attackiert. Die deutsche Cyber-Abwehr fand später chinesische Spionageprogramme im Kanzleramt und im Auswärtigen Amt, im Wirtschaftsministerium und im Forschungsministerium. Und keiner weiß, wo eventuell sonst noch unerkannt Trojaner geparkt wurden.

Einen Pförtner beschäftigen noch immer die meisten Unternehmen. Der sitzt am Empfang oder am Werkstor und soll zumindest seinen Blick darauf richten, wer das Haus betritt. Beim virtuellen Hauseingang heißt es in Sachen Kontrolle oft noch: Fehlanzeige. „Der Umgang mit Daten innerhalb vieler Unternehmen ist problematisch“, konstatiert deshalb das BSI. Es fehlten sowohl das Know-How in Sachen virtueller Datensicherheit wie auch der Einsatz von ausreichend Personal und Geld. Selbstkritisch merkt das BSI auch an, dass das genauso für viele staatliche Behörden gilt. „Fakt ist“, schreiben die Experten, „dass bei Entscheidungsträgern in der Verwaltung die Sensibilisierung in Bezug auf IT-Sicherheit weiterhin erhöht werden muss.“