Anti-Virus-Software: Das Geschäft mit der Cyber-Angst

Ende Juni war es wieder soweit. Die Firma McAfee, einer der führenden Hersteller für Antivirus-Software (AV) aus dem Chipkonzern Intel, meldete eine neue Gefahr aus dem Internet. McAfee-Experten sei es gelungen, einen „raffinierten globalen Feldzug von Computerbetrügern aufzudecken“, teilte das Unternehmen mit. Diese würden sich eines neuen automatisierten Verfahrens bedienen, um gezielt die Konten von wohlhabenden Bankkunden zu plündern. Mit ihrer „Operation High Roller“, wie McAfee den Plot werbewirksam taufte, habe die Bande seit Beginn des Jahres „versucht“, mindestens 60 Millionen Euro bei Kunden von Banken aller Größen zu erbeuten. Auch in Deutschland hätten die Betrüger in 176 Fällen versucht, eine knappe Million Euro an fremde Konten überweisen zu lassen, teilten die Virenjäger mit.

Doch merkwürdig: Über die tatsächlich erbeutete Summe machten die Cyber-Fahnder im Konzernauftrag keine Angaben. Auch über entsprechende polizeiliche Ermittlungsverfahren wurde nicht berichtet. Dem Bundeskriminalamt (BKA), in Deutschland zuständig für die Bekämpfung der internationalen organisierten Kriminalität, ist „der Sachverhalt“ jedenfalls nur „aus der Medienberichterstattung bekannt“, sagte eine Sprecherin. Von McAfee erfuhr das interessierte Publikum dafür aber, dass „ diese Angriffe“ dort, wo Unternehmen entsprechende „Entdeckungssoftware“ nutzen, „keinen Erfolg haben sollten.“ Darum gelte es, diese Abwehrtechnik zu installieren.

Damit folgte die weltweit verbreitete Warnmeldung einem gängigen Muster: In Sachen „Cybercrime“, also Kriminalität mittels Hackerangriffen über das Internet, malen die Softwareindustrie und mit ihr auch viele Behörden die Gefahr stets in den dunkelsten Farben. Handfeste Belege aber für die tatsächlich angerichteten Schäden bleiben die Warner fast immer schuldig. Umso dringender ergeht hingegen stets die Aufforderung, schnell die neueste Sicherheitssoftware zu erwerben.

Exemplarisch war da auch der 2011 lancierte „Cybercrime Report“ von Marktführer Symantec („Norton Anti-Virus“). Auf volle 114 Milliarden Dollar weltweit bezifferten die Autoren die direkten Schäden durch Computer-Kriminalität – pro Jahr. Allein in Deutschland würden „täglich“ mehr als 42 000 Internetnutzer Opfer von Cyber-Kriminellen und so um mehr als 22 Milliarden Dollar im Jahr geprellt, konstatiert der Report. Schuld an diesem „schockierenden Ausmaß“ sei auch die „Apathie“ der Nutzer, von denen nur die Hälfte aktuelle Sicherheitssoftware installiert habe. Grundlage der Schreckensmeldung ist allerdings lediglich eine Umfrage, an der gerade mal 12 500 Erwachsene teilnahmen – in 24 Ländern. Davon waren, wie eine Unternehmenssprecherin einräumte, ganze 500 in Deutschland ansässig. Deren Angaben rechneten die Symantec-Strategen kurzerhand auf 40 Millionen deutsche User hoch.

Dies sei eine „absurd schlechte statistische Methode, die zu völlig unzuverlässigen Ergebnissen führe“, urteilten die US-Netzforscher Cormac Herley und Dinac Florencio. Bei einer Nutzerzahl von geschätzten 200 Millionen und 5000 Befragten würde so jeder überhöht angegebene Dollar mit dem Faktor 40 000 in das Gesamtergebnis einfließen. Ein einziger fälschlich genannter Schaden von 25 000 Dollar verwandele sich so in eine Milliarde.

Tatsächlich summierten sich laut der Aufstellung der deutschen Polizeibehörden die Beträge, die per Internet oder mit gestohlenen Zugangsdaten erbeutet wurden, 2011 auf 71 Millionen Euro. Das entspricht nicht einmal zwei Prozent der Verluste durch Ladendiebstahl. Es ist weniger als ein 225stel der von Symantec genannten Summe. Zwar weist das BKA darauf hin, dass „von einem hohen Dunkelfeld ausgegangen werden“ müsse, da „die Angst vor einem Imageschaden die Geschädigten oftmals von einer Anzeige“ abhalte. Dass aber Verluste von zig Milliarden unberichtet bleiben, ist wohl doch sehr unwahrscheinlich.

Das tut dem Marketing der Hersteller freilich keinen Abbruch. Sicherheitstechnik und -beratung ist der am schnellsten wachsende Zweig der IT-Industrie. 2011 wurden dafür weltweit bereits 35 Milliarden Dollar ausgegeben, ermittelte die Marktforschungsfirma Gartner und rechnet mit 40 Prozent Zuwachs bis 2015. Für das Umsatzwachstum sorgt freilich auch die Politik. Denn häufig übernehmen offizielle Stellen unkritisch die Angaben der Hersteller. So ließ die zuständige EU-Kommissarin Cecilia Malmström im März ohne Quellenangabe Symantecs Behauptung verbreiten, weltweit würden „täglich eine Million Menschen Opfer von Cyberkriminalität“, um damit die geplante Einrichtung eines neuen Abwehrzentrums zu begründen.

Die Ermittlungen sind teurer als der angerichtete Schaden, sagen Wissenschaftler

Unseriöse Angaben erlangen so amtliche Autorität. Die Kritik an den methodischen Mängeln des Symantec-Reports konterte eine Sprecherin des Unternehmens denn auch mit einer weiteren Rückkoppelung. Interpol habe die Kosten von Cybercrime in Europa sogar auf 750 Milliarden Dollar geschätzt, also weit mehr als ihre Firma, sagte sie. Deren Ergebnis könne „ja nicht so falsch sein“. Doch auch die von ihr zitierte Aussage des Interpol-Chefs Khoo Boon Hui beruht auf einer umfragebasierten Studie gleicher Qualität. Nur war in diesem Fall die Firma Detica der Auftraggeber, die IT-Tochter des britischen Rüstungskonzerns BAE, der wie sein Konkurrent EADS den Krieg per Internet zum Geschäftsfeld ausbauen will.

All das heißt nicht, dass von Hackerangriffen im Netz keine Gefahr droht. Kriminelle Gangs operieren nachweislich mit Banking-Trojanern, Phishing und Bot-Netzen, um Zugangsdaten zu stehlen und Banküberweisungen zu manipulieren. Doch vieles spricht dafür, dass dies weit seltener Erfolg hat als oft behauptet. Das jedenfalls ist das Ergebnis einer Studie (Link zum Pdf), die jetzt eine internationale Forscher-Crew unter Leitung des angesehenen britischen Experten für IT-Sicherheit Ross Anderson vorgelegt hat. Am Beispiel Großbritanniens stellte die Gruppe erstmals alle überprüfbaren Fakten zum Thema zusammen und kam zu einem erstaunlichen Ergebnis. So verweisen die Autoren die von Detica und anderen Sicherheitsfirmen stets im zweistelligen Milliardenbereich bezifferten Verluste durch elektronische Industriespionage ins Reich der Märchen. In Wahrheit gebe es dafür „keinerlei belastbare Beweise.“ In allen übrigen Kategorien vom Online-Banking-Betrug bis zur Verwendung gestohlener Kreditkarten richten die Netztäter im Vereinigten Königreich pro Jahr aber nur direkte Verluste von höchstens 280 Millionen Dollar an. Demgegenüber seien die Ausgaben für die Abwehrtechnik bei Unternehmen und Bürgern jedoch um mindestens das Zehnfache höher, stellten die Forscher fest. Besonders augenfällig sei das bei unerwünschten Werbe-Mails (Spam). Diese bringe den Tätern weltweit maximal knapp drei Millionen Dollar im Jahr ein. Demgegenüber koste die Abschirmung gegen Spam aber mehr als eine Milliarde.

Hinter den meisten Angriffen stecke nur „eine kleine Anzahl Gangs“. Anstatt „immer mehr für die Vorbeugung auszugeben, sollten wir darum lieber mehr in die Verfolgung investieren“, schlussfolgern Anderson und seine Kollegen und kritisieren, dass die britische Polizei nur über 15 Millionen Dollar im Jahr für Ermittlungen gegen Netzkriminelle verfügt. Den Einwand, dies scheitere an der mangelnden Bereitschaft der Behörden in Osteuropa, wo die Gangs meist ihre Basis haben, lässt Anderson nicht gelten. „Wenn der Druck wirklich hoch war“, habe das FBI „auch in Russland schon die Festnahme von Cyberkriminellen durchgesetzt“. Es fehle nur der politische Wille, die Verfolgung hoch auf die außenpolitische Agenda zu setzen. Dahinter, so gesteht Anderson, stehe aber womöglich auch ein ganz anderes Problem: „Die Regierungen“ wollten „selbst angreifen“ und übers Netz Spionage betreiben. Eine schlagkräftige internationale Cyberpolizei würde womöglich auch Täter im Staatsauftrag entdecken.

Insofern gebe es natürlich die Gefahr von gezielten Attacken für Spionage- und Sabotagezwecke über das Internet, warnt auch Rainer Böhme, Forscher für IT-Sicherheit an der Uni Münster und Ko-Autor der Studie. Doch dagegen helfe die bisherige Abwehrtechnik nicht. Wer wie die Geheimdienste viel Geld investieren könne, der finde immer Abwehrlücken, wie die gegen den Iran eingesetzten Sabotage- und Spionageprogramme „Stuxnet“ und „Flame“ bewiesen hätten. Umso wichtiger sei es daher, „endlich die kriminellen Bot-Netze stillzulegen“. Denn dann, so Böhme, „sehen wir endlich, was die Staaten tun“.