Internetkriminalität : Wie gefährlich sind Online-Attacken?

Attacken beim Onlinebanking, etliche Spammails und unliebsame Viren, die den Rechner lahm legen. Die Angriffe auf Computer von Privatpersonen, Unternehmen und Behörden nehmen stark zu. Welche Erfahrungen haben Sie gemacht? Berichten Sie uns am Ende des Textes.

Barbara Junge

Estland war der Austragungsort des ersten Cyberkrieges. „Web War One“ nennen die Spezialisten den Vorfall inzwischen. Rechner im ganzen Land gerieten im Frühjahr 2007 unter massives elektronisches Sperrfeuer. Die Baltenrepublik war zeitweise so gut wie offline. Und die Attacke auf das estnische Netz ist kein Einzelfall. Internetkriminalität wird zu einem immer gravierenderen Problem.

Fast vier Millionen Deutsche wurden bereits Opfer der Cyberkriminellen und erlitten einen finanziellen Schaden. Anlässlich des Berichts zur Lage der IT-Sicherheit in Deutschland 2009, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Dienstag auf der Computermesse Cebit in Hannover vorgelegt hat, warnt BSI-Präsident Udo Helmbrecht vor der „immer weiter voranschreitenden Professionalisierung der Internetkriminalität“. Die Situation hat sich laut dem Bericht in den Jahren 2007 und 2008 im Internet offenbar extrem zugespitzt. „Die Lage ist ernst, sie ist noch katastrophaler, als wir befürchtet hatten“, konstatiert der BSI-Fachmann Hartmut Isselhorst. „Wir alle werden angegriffen. Sobald wir ins Internet gehen, werden wir zum Ziel von Angriffen.“

Auf die estnischen Internetserver ging damals ein sogenannter DoS-Angriff nieder, ein Flächenbombardement aus dem Cyberspace. Unzählige automatisierte Anfragen, Denial-of-Service-Angriffe (DoS), ließen die Webseiten von Ministerien, Schulen, Medien, Internetdienstleistern und Banken zusammenbrechen. Im benachbarten Russland vermuteten die Esten den Ausgangspunkt der Angriffe. Die verheerendsten Breitseiten aber feuerten gekaperte Rechnernetze, sogenannte Botnetze, in den USA ab. Botnetze, die die DoS-Angriffe steuern, haben in ungeheurer Zahl zugenommen. Dabei handelt es sich um ein System von zusammengeschalteten Rechnern, das parallel unzählige Anfragen und Meldungen an ausgewählte Server schickt, um diese zu überlasten und damit in die Knie zu zwingen. Für diese illegalen Netze werden häufig Rechner unwissender Nutzer mit Trojanern (Programme, die heimlich auf Computer gespielt werden) gekapert.

Auch für Unternehmen ist die Internetkriminalität eine reale Gefahr. Während der Fußball- EM 2004 wurde ein Wettbüro Opfer einer digitalen Erpressung, wie ein BSI-Experte berichtet. Nach einer ersten noch überschaubaren Attacke legten Unbekannte dem Wettbüro nahe, einen gewissen Geldbetrag auf ein angegebenes Konto zu überweisen, andernfalls werde die Angriffsstärke erhöht. Das Wettbüro blieb standhaft, zahlte nicht – und ging offline. Auch deutsche Firmen werden nach BSI-Angaben immer häufiger bedroht und unter Druck gesetzt.

Privatpersonen betrifft eine andere Form der Internetattacken: der klassische Identitätsdiebstahl. Man-in-the- middle-Attacke heißt das, was beim Onlinebanking passieren kann. Ein Trojaner späht beim Onlinebanking die nötigen PIN- und TAN-Nummern aus. Ein speziell entwickeltes Programm setzt sich digital zwischen den Kunden und die Bank und täuscht an beiden eine direkte Kommunikation vor. In Wirklichkeit allerdings überweist der Kunde sein Geld nicht so, wie es ihm auf dem Bildschirm dargestellt wird, sondern es entschwindet in ferne Länder. Die Schadenssummen beim Onlinebanking sind stark gestiegen.

Es gibt Millionen von diesen Schadprogrammen. Und ihre Anzahl wächst immer schneller, jeden Monat kommen Zehntausende hinzu. Organisierte Kriminelle machen Milliardenumsätze mit ihren Angriffen. Von Januar bis März 2008 wurden im Rahmen einer Untersuchung durchschnittlich 15 000 infizierte Webseiten pro Tag entdeckt.

Neben der quantitativen Steigerung verzeichnen die Experten auch eine qualitative Verschiebung. Wurden Schadprogramme früher hauptsächlich in den berüchtigten E-Mail-Anhängen versandt, präparieren Cyberkriminelle zunehmend seriöse Internetseiten mit Viren, Würmern und Trojanern. Nutzer infizieren ihre Rechner dabei mittels den noch schwieriger zu vermeidenden Drive-by- Downloads, die man sich beim Besuch einer unverdächtigen Webseite einfängt. Dabei lassen sich die unterschiedlichen Schadprogramme immer weniger in Kategorien einteilen. Würmer (sich selbst verbreitende Schadprogramme) und Viren (Schadprogramme, die einen Träger zur Verbreitung benötigen), welche beide nur in Richtung des angegriffenen Rechners zielen, sind weitgehend Auslaufmodelle. Die meisten Schadprogramme werden inzwischen aus verschiedenen Modulen konstruiert und verfügen über mehrere Funktionen. So kann etwa ein trojanisches Pferd Spionagebefehle enthalten, Passwörter knacken und den befallenen Rechner zusätzlich an ein Botnetz anschließen. Zudem verfügen die meisten Programme inzwischen über Update- Funktionen, neue Tarnmechanismen können nachgeladen werden.

Von 100 empfangenen E-Mails sind nach Angaben des Bundesinnenministeriums durchschnittlich nur etwa 1,5 E-Mails gewollt. Das Regierungsnetz IVBB hat beispielsweise knapp 670 Millionen ungewollte E-Mails pro Monat bei nur knapp sieben Millionen gewollten Mails empfangen. Der Anteil von Spam-Mails steigt weiter und bleibt ein immenses wirtschaftliches Problem.

Die Gefahr der Computerschädlinge wird trotzdem nach wie vor unterschätzt. Denn die Mehrheit der Nutzer hat nach eigener Einschätzung bisher keinen spürbaren Schaden erfahren. Manipulationen am Rechner bleiben häufig unbemerkt. Kopfzerbrechen bereitet den Sicherheitsexperten deshalb auch der unbesorgte Umgang mit Daten in den Mitmach-Anwendungen des Web 2.0. Bedenkenlos gäben die Anwender in ihren Benutzerprofilen für die sozialen Netzwerke (wie etwa Facebook, StudiVZ oder MySpace) detailliert private Informationen preis. Dass sich hinter einem Kontakt in der schönen neuen Welt auch ein Hacker verstecken kann, der auf diese Weise das potenzielle Opfer – mitsamt Rechner, Betriebssystem und persönlichen Einstellungen – ausspäht und später gezielt angreifen kann, bedenken die wenigsten. Zudem vergessen die Nutzer gerne, dass Informationen im Netz praktisch jedermann zugänglich sind und es auch lange Zeit bleiben. Für Cyberkriminelle sind die sozialen Netzwerke ein Selbstbedienungsladen ohne Kasse.

Angesichts der expandierenden Cyberkriminalität verzeichnet der Branchenverband Bitkom schon eine Zurückhaltung bei Geschäften im Internet. Einer Studie zufolge, die Bitkom auf der Cebit präsentierte, hatten 2008 noch sieben Prozent der befragten Nutzer angegeben, schon einmal im Netz geschädigt worden zu sein. Jetzt sind es bereits 29 Prozent. 16 Millionen verzichteten mangels Vertrauen auf Onlinebanking, das sind 33 Prozent. 27 Prozent tätigen keine Einkäufe bei Onlineshops, und 41 Prozent setzen beim Versand wichtiger Dokumente auf die Post statt auf die E-Mail.

„Die Zahl der Angriffe auf die Netze, auch in Deutschland, steigt exponentiell. Die Situation hat sich qualitativ und quantitativ zugespitzt“, fasst der Staatssekretär im BMI, Hans Bernhard Beus, zusammen. Insbesondere die Entwicklung der Botnetze sorgt das Ministerium. „Botnetze sind immer größer geworden. Das ist eine Bedrohungslage für die Bundesregierung und für die Gesellschaft.“ Mit dieser Bedrohung habe bis vor Kurzem noch niemand gerechnet. „Wir erleben täglich Angriffe auf die Verfügbarkeit der Regierungsnetze“, sagt Beus.

Einen Pförtner beschäftigen noch immer die meisten Unternehmen. Der sitzt am Empfang und soll seinen Blick darauf richten, wer das Haus betritt. Beim virtuellen Hauseingang heißt es in Sachen Kontrolle dagegen oft noch: Fehlanzeige. „Der Umgang mit Daten innerhalb vieler Unternehmen ist problematisch“, konstatiert deshalb das BSI. Das gilt aber offenbar auch für viele staatliche Behörden. „Fakt ist“, schreiben die Experten, „dass bei Entscheidungsträgern in der Verwaltung die Sensibilisierung in Bezug auf IT-Sicherheit weiterhin erhöht werden muss“.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar
      Kommentar schreiben