Die Meldung der US-Firma Hold Security, bis zu 1,2 Milliarden Internet-Passwörter und Nutzernamen seien von Hackern gesammelt worden, erregte in den vergangenen Tagen Aufsehen. Von einer historischen Beute ist die Rede, von einem gigantischen Diebstahl bisher ungekannten Ausmaßes. „Dabei ist das eigentlich alles alter Kram. Jeder kann das zusammenkaufen, solange er genug Geld hat“, sagt Christopher Schirner. Er ist Vorstand des „Backspace e.V.“ in Bamberg, eines Vereins für Technik- und computerbegeisterte Menschen, die sich unter anderem dafür einsetzen, in Sachen Internetsicherheit Aufklärungsarbeit zu leisten.
Wer bei den Worten „genug Geld“ an mehrstellige Millionenbeträge denkt, ist auf dem Holzweg. „Das ist spottbillig“, sagt der Internet-Experte, „Ein paar Millionen Zugangsdaten kosten nur wenige Dollar.“ Durch die harte Konkurrenz auf dem Schwarzmarkt und das stetig wachsende Angebot an Daten sei davon auszugehen, dass der Preis im Laufe der Zeit auch noch weiter sinkt.
Doch wie kommen die Hacker an die Unmengen an Daten? Große Firmen wie Amazon, Google oder Facebook haben meist ausgeklügelte Sicherheitsmaßnahmen, um sich gegen die täglich erfolgenden Hackangriffe auf ihre Server zu wehren und seien deshalb erst gar nicht das Hauptziel der IT-Kriminellen. „Die kleinen Websites sind es, die zuhauf gehackt werden“, sagt Schirner. Im Zeitalter zunehmender Digitalisierung erstellen sich immer mehr kleine oder mittelständische Unternehmen eigene Websites.
Oft sichern sie ihre Kundendaten in einem Firmennetzwerk, das alle Computer des Unternehmens online miteinander verbindet. „Durch das fehlende Fachwissen in Sachen Internetsicherheit finden sich hier sehr oft Lücken, durch die man problemlos die gesamte Datenbank des Unternehmens anzapfen kann“, weiß Schirner. Gerade hier sind nicht nur die E-Mail-Adressen der Kunden, sondern ebenso Kontodaten, Adresse und häufig auch Telefonnummer betroffen.
Was hat der Hacker nun davon? „Die Kriminellen setzen vor allem auf Masse. Bei mehreren Millionen Spammails sind immer genügend Leute dabei, die darauf hereinfallen“, sagt Schirner. An die erbeuteten E-Mail-Adressen könne man massenhaft Nachrichten mit personalisierten Angeboten zur Teilnahme an Gewinnspielen und Ähnlichem senden. Selbst wenn sich nur ein winziger Bruchteil der Angeschriebenen auf diese Angebote einlässt, erwirtschaftet man so in Anbetracht der Masse an verschickten Angeboten einen Millionengewinn mit nur ein paar Klicks.
Eine andere Möglichkeit ist das Versenden von Nachrichten über die infiltrierten Mail-Konten. Mit der Begründung, im Urlaub bestohlen worden zu sein und jetzt ohne einen Cent dazusitzen, schicken die Datendiebe eine Nachricht, bitte dringend zu helfen über das geraubte E-Mail-Konto an das gesamte Adressbuch.„Der Gedanke ist, dass eine Mutter doch niemals Verdacht schöpfen würde, wenn sie eine Mail von ihrem Sohn bekommt, in der steht, er sei in Not und brauche dringend Geld“, erklärt Christopher Schirner. Auch wenn es bei vielen nicht klappt, bleiben nach dem angewandten Prinzip der Masse immer noch genug Fälle übrig, die das Geld brav an das in der Mail angegebene Konto überweisen.
„Früher hat man Mülltonnen durchwühlt, um Kontonummern zu finden. Heute durchforstet man mit wenigen Klicks millionenfach das Netz. Das Prinzip ist dasselbe.“ Neben dem Prinzip der Masse gibt es natürlich auch weitere Möglichkeiten, wie der Cyberspace seinen Nutzern zum Verhängnis werden kann. Über den gehackten Mail-Account, aber auch durch Download-Dateien oder verschiedene Viren sei es möglich, einen Computer selbst zu infizieren. Über den betroffenen PC kann der Angreifer dann allerlei weitere Daten auslesen und dem Eigentümer Schaden zufügen. Sei es das Herunterladen und Abspeichern von schädlichen Dateien auf dem Rechner, das Versenden von Drohbriefen, Vertragsabschlüsse, Kündigungen oder Beleidigungen, alles ist möglich. Auch Online-Bestellungen beliebiger Größe und Zahl.
„Als Account- oder Computerinhaber bist Du bei eventuellen Ermittlungen immer der erste Verdächtige. Du stehst mit deinem Namen hinter dem verwendeten Gerät, also musst Du dich dann auch rechtfertigen“, stellt Schirner klar. Bei gezielten Attacken auf eine einzelne Person ist sogar noch mehr möglich. Die Sperrung einer Kreditkarte ist genauso leicht möglich wie das Leeren des zugehörigen Kontos.
Die Webcam des infizierten Computers kann angezapft und gesteuert werden, auch wenn sie ausgeschaltet ist. Doch nicht genug: Verkabelt man ein Handy mit einem betroffenen Computer, kann auch dieses infiziert werden und weitere Daten liefern.
„Als Laie hast Du eigentlich keine Chance zu bemerken, dass du infiziert bist. Es geschieht, aber ohne dass Du irgendetwas bemerkst.“ Die einzige Möglichkeit dagegen anzugehen sei, seine Daten so wenig wie möglich zu verbreiten. Nichts online bestellen, sondern in den Laden gehen. Denn „Vergiss den Zaun, ich komm übers Kabel“, könne das Motto der Zukunft für Kriminelle sein. Die effektivste Waffe der Cyberpiraten ist die Unwissenheit ihrer Opfer.
Dazu zählt auch die Tendenz, ein Passwort für mehrere Online-Plattformen zu verwenden. „Wenn man immer dieselben Zugangsdaten verwendet, sind automatisch auch alle Seiten, auf denen man angemeldet ist, gefährdet. Und das, obwohl vielleicht nur eine Seite Ziel des Angriffs war“, erklärt Schirner. Eine gute Möglichkeit, Abhilfe zu schaffen, sei es daher, sich einen langen Merksatz zu überlegen, an den man den Namen des Dienstleiders anfüge. So entstünden recht sichere Passwörter wie etwa „IchMagBirnen-Amazon!“. Zwischen Groß- und Kleinschreibung zu wechseln, sei hier ebenso effektiv wie Sonderzeichen einzubauen. Einzelne Begriffe eignen sich keinesfalls als Passwörter, da diese mit entsprechenden Entschlüsselungsmethoden zu leicht zu knacken seien.
Doch die Welt digitalisiert sich weiter, das vorhandene Datenvolumen steigt und steigt, und immer mehr Geräte werden miteinander vernetzt. So müssen nach einem Beschluss der Europäischen Union ab November 2014 alle Neuwagen mit einem automatischen Kontrollsystem für den Reifendruck ausgerüstet sein, das Signale mit dem internen Bordcomputer austauscht. Fällt der Reifendruck drastisch ab, ist es möglich, dass das intelligente Auto von selbst die Weiterfahrt verweigert. „Die Signale kann man ganz leicht mit einem stärkeren Sender übertönen“, weiß Schirner. So könnte man beispielsweise vom Straßenrand aus die Information eines drastischen Druckabfalls senden, obwohl mit den Reifen alles in Ordnung ist. Eine Weiterfahrt wäre für die Dauer des Störsignals somit unmöglich.
„Ich kann jede Störung, die technisch möglich ist, inzwischen über einen IT-basierten Angriff lancieren“, bestätigt Sandro Gaycken, der über IT-Sicherheit promoviert hat. Der wissenschaftliche Mitarbeiter für IT (Informationstechnologie) und Sicherheit der Freien Universität Berlin berät unter anderem die Nato und das Bundesverteidigungsministerium zum Thema Cybersicherheit. Hacking wird seiner Meinung nach „mit Sicherheit eine der meist gebrauchten Waffen der nächsten Zeit“ – sowohl von Kriminellen, als auch vonseiten der Behörden.
Was in Deutschland wie eine Zukunftsvision klingt, ist nach Gayckens Erfahrung bereits Realität. „Es gibt Länder, in denen das Internet schon massiv genutzt wird, um Oppositionelle zu identifizieren.“ In einer Diktatur also eine sichere Methode, um Systemgegner aufzuspüren.
Ohne Digitalisierung geht heute nichts mehr. Sie erleichtert den Alltag, birgt aber auch viele Gefahren. Kein Wunder, dass Christopher Schirner und Sandro Gaycken sich deshalb in einem einig sind: Man sollte sie „mit äußerster Vorsicht genießen“.