Schnellauswahl

Datensicherheit: Hacker haben Hochkonjunktur

Hacker haben Hochkonjunktur
Sony(c) REUTERS (KIM KYUNG-HOON)
  • Drucken
  • Kommentieren

Hacker stahlen Daten von 100 Millionen Sony-Kunden. Das Daten-Desaster ist nur die Spitze des Eisbergs. Firmen sind zunehmend im Visier der Cyber-Kriminellen. Menschen verlieren ihr Vertrauen in die Sicherheit im Netz.

Es war der zweitgrößte Datenraubzug in der Geschichte des Internets. Unbemerkt enterten Hacker per Mausklick jüngst das Rechnerzentrum des Elektronikriesen Sony und bedienten sich dort an den Daten und Kreditkartennummern von hundert Millionen Sony-Kunden. Ein vergleichsweise simpler Trick genügte, um die Verteidigung des japanischen Milliardenkonzerns auszuhebeln. Seitdem ist das Vertrauen vieler Menschen in die Sicherheit ihrer Daten im Internet erschüttert.

Kein Wunder, landet doch der digitale Untergrund zur Zeit einen Coup nach dem anderen. Vergangenen November knackten Hacker die US-Börse Nasdaq, im Jänner räumten Cyber-Kriminelle das EU-Handelssystem für Emissionszertifikate aus, im März standen die Rechner der EU-Kommission unter Beschuss. Dabei sind all diese spektakulären Fälle nur die Spitze des Eisbergs. Auf 13 Milliarden schätzt IBM die Zahl der digitalen Attacken, die täglich auf private Internetnutzer und Unternehmen verübt werden. 11,1 Billionen Spam-Mails waren im Vorjahr allein in den USA im Umlauf, zählt der Netzwerkausrüster Cisco.

Welchen Schaden die Cyber-Kriminellen verursachen, lässt sich kaum schätzen. Der russische Antivirenspezialist Kaspersky rechnet mit 100 Mrd. Dollar (70 Mrd. Euro) jährlich. Die Konkurrenz von McAfee schätzt die Verluste auf das Zehnfache. Der globale Markt für Sicherheit von Computern, Software und Netzwerken ist mittlerweile 28 Mrd. Dollar schwer. Doch nicht nur private Daten gilt es zu schützen. Auch kritische Infrastruktur wie Strom-, Verkehrs- und Kommunikationsnetze sind in Gefahr.


Industrie im Untergrund.
Denn die Angreifer im Netz haben sich verändert. Im Dezember legte zwar die lose organisierte Guerrilla-Bewegung Anonymus die Internetseiten von PayPal und Visa lahm, weil die Unternehmen sich weigerten, Spenden an die Enthüllungsplattform WikiLeaks weiterzuleiten. Doch politisch motivierte Internetaktivisten sind in der Minderzahl. Den digitalen Untergrund hat heute das organisierte Verbrechen in der Hand.

Auch das Klischee vom jugendlichen Hacker, der aus sportlichem Ehrgeiz in fremde Systeme eindringt, ist längst passé. Das Geschäft der Internetkriminellen wuchs sich in den letzten Jahren zu einer regelrechten Industrie aus. Am unteren Ende der Branche, im „Massengeschäft“, zielt der Großteil der Kriminellen per Streuattacke auf „leichte Opfer“ ab. In Österreich wäre das potenziell jeder der rund sechs Millionen Österreicher, die im Vorjahr online waren. Sie werden mit Angriffen aus der Retorte bombardiert, die sich die Möchtegern-Hacker über Internetforen im Baukastensystem zukaufen können.


Neun von 1000 Rechnern infiziert.
Technisches Wissen ist für diese Art Attacke kaum noch nötig. „Früher gab es nur wenige gute Spieler weltweit“, sagt Jürgen Eckel von Ikarus Security Software. „Heute unterstützen sich viele Gruppen wie Servicedienstleister“. Einige suchen nach Lücken in Systemen, andere schreiben Schadprogramme, sammeln Daten von Internetnutzern oder kümmern sich um den Vertrieb. Die Arbeitsteilung funktioniert: Neun von 1000 Rechnern waren im zweiten Halbjahr 2010 weltweit infiziert, so das Ergebnis des jüngsten „Security Intelligence Report“ von Microsoft. Österreich steht mit drei infizierten Rechnern unter tausend ähnlich gut da wie China (siehe Karte).


Gefahrenquelle Facebook. Da die Programme selbst Angreifern immer weniger Lücken bieten und Spam-Mails oft ausgefiltert werden, suchen sich die Viren, Würmer und Trojaner einen anderen Weg in die Rechner: die sozialen Netzwerke. Laut Microsoft hat sich die Zahl sogenannter Phishing-Attacken über soziale Netzwerke wie Facebook und Twitter im zweiten Halbjahr 2010 um 918 Prozent erhöht. 85 Prozent aller Versuche, Nutzer etwa auf gefälschte Internetseiten von Banken zu lotsen, um dort nach Passwörtern zu fischen, kommen daher von scheinbar „Vertrauten“ im Netz.

Denn die Angreifer schaffen es, die trügerischen Weblinks über die Konten von Facebook-Freunden ihrer Opfer zu versenden. Wer dem Link folgt, liefert auf der gefälschten Seite seine Daten entweder gleich selbst ab oder fängt sich einen Trojaner ein, der die Daten später in Ruhe abliest. Die meisten dieser Massenattacken lassen sich durch Firewalls, aktuelle Antivirensoftware und wachsame Nutzer gut abfangen. Doch die Daten der Internetnutzer sind eben nicht nur auf dem eigenen Rechner in Gefahr. Überall dort, wo wir Namen, Adressen oder Kreditkartennummern Unternehmen anvertrauen, geben wir die Sicherheit dieser Daten aus der Hand. Bei Firmen gelagert, sind sie meist komplexeren Angriffen ausgeliefert. 85 Prozent aller US-Unternehmen wurden laut Ponemon Institute zumindest einmal gezielt attackiert. Wie sorglos viele Firmen mit dem ihnen anvertrauten Datenschatz umgehen, zeigt nicht nur Sonys Beispiel. Auch bei Größen wie Amazon oder Google sind zuvor schon zigtausende Kundendaten Eindringlingen in die Hände gefallen.

Diese Situation sei nicht länger tragbar, kritisieren Sicherheitsexperten mit Blick auf den Fall Sony. „Schlamperei des japanischen Konzerns“ sei schuld am Datenskandal gewesen, sagt Rainer Fahs, Vorsitzender von Eicar, einem Verein, der sich der Erforschung von Computerviren verschrieben hat. Man müsse sich mit der Tatsache abfinden, dass immer mehr Unternehmen kritische Prozesse ins Internet verlagern. Die Verteidigungsstrategien vieler Firmen beschreibt Fahs, der auch Sicherheitsexperte der Nato ist, aber als mangelhaft: „Die Attacke auf Sony war Kinderkram.“ Sobald die Eindringlinge ins System des Konzerns gelangt waren, konnten sie dort weitgehend unbehelligt sensible Daten absaugen.


World Wide War. „Es gibt keine Grenzen, keine Gesetze, keine Regulierung“, kritisiert der Sicherheitsexperte und fordert die Regierungen auf, nicht nur Armeen für den drohenden Cyber-Krieg aufzubauen, sondern auch die Unternehmen stärker in die Verantwortung zu nehmen. Denn der Verlust von hunderttausend Kundendaten ist schlimm genug. Was passiert jedoch, wenn kritische Infrastruktur – wie etwa Kraftwerke oder Stromnetze – in den Händen privater Unternehmen liegt? Wer ist dann für die Sicherheit verantwortlich? Der Staat? Die Unternehmen selbst? Haben diese überhaupt eine Chance, gegen gezielte Angriffe im Stil von Stuxnet, dem Wurm, der in iranischen Atomkraftwerken gewütet hatte? Manuel Hüttl, ebenfalls Mitglied bei Eicar, rechnet in der Zukunft vermehrt mit „erpresserischen Attacken auf Stromversorger“. Wird also die Vision des Richard Clarke wahr? Der Ex-Sicherheitsberater der US-Präsidenten von Ronald Reagan bis Bill Clinton beschreibt in seinem Buch „World Wide War“ das Szenario eines Landes, das binnen weniger Minuten allein durch die Kraft von kontrollierten Cyber-Attacken anderer Staaten verwüstet werden kann.


Die meisten Angriffe von innen. Klar ist: Die Grenzen zwischen staatlicher Sicherheit und der Sicherheit in Unternehmen lösen sich rapide auf. Fahs sieht daher die Regierungen gefordert, erstmals verbindliche Standards und Regeln dafür zu definieren, wie Unternehmen den Bedrohungen aus der digitalen Welt begegnen müssen. Dafür brauche es eben nicht nur neue Standards dafür, wie Unternehmen künftig die Daten ihrer Kunden zu schützen haben, sondern ebenso klare Anweisungen, wie Firmen, die etwa ein Stromnetz betrieben, diese kritische Infrastruktur verteidigen müssen.

Mit technischen Standards, Firewalls und Antivirenprogrammen allein ist es dabei nicht getan. 80 Prozent der erfolgreichen Angriffe kommen aus dem Inneren. Denn in einem Punkt unterscheiden sich Staaten, Firmen und Private nicht: Die größte IT-Sicherheitslücke sitzt meist zwischen Tastatur und Rückenlehne.

Viren, Würmer und Trojaner

Ein Virus infiziert Programme und führt bei ihrem Start bestimmte Aktionen aus. Würmer sind Viren, die sich selbst auf andere PC verschicken. Trojaner tarnen sich als harmlose Programme und bauen darauf, dass der Nutzer sie selbst ausführt. Spyware sammelt heimlich Daten eines Nutzers und gibt sie weiter. Phishing ist ein Angriff, bei dem Nutzer etwa per E-Mail über vertrauliche Daten ausgefragt werden.

("Die Presse", Print-Ausgabe, 15.05.2011)