Augsburger Allgemeine (Ausgabe Stadt)
Illegales Hacken ist lukrativer als der Drogenhandel
Im Darknet bieten anonyme Hacker für ein paar tausend Euro ihre kriminellen Dienste an. Schnell verdientes Geld bei minimaler Gefahr, geschnappt zu werden. Die Sicherheitsbranche geht davon aus, dass inzwischen mehr Geld durch illegales Hacking verdient wird als durch den globalen Drogenhandel. Jährlich verursachen Cyberkriminelle laut einer Studie des Antivirensoftware-herstellers Mcafee bei Unternehmen einen finanziellen Schaden von über 400 Milliarden Dollar. Bei Konsumenten erbeuteten sie Symantec zufolge allein in 2017 172 Milliarden Dollar – durchschnittlich 142 Dollar pro Person.
Ausgelöst werden die meisten Erpresserangriffe auf Privatpersonen durch Ransomware – Schadprogramme, die gezielt im Internet verschickt, aber auch über Massenmails oder über Homepages gestreut werden. Da wird beispielsweise vorgegaukelt, dass der Account eines vertrauenswürdigen Internetshops oder einer Social-media-plattform gehackt wurde. Irgendeiner fällt schon auf den digitalen Trickbetrug rein, klickt einen Link oder eine Datei an – und schon ist’s passiert. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind mehr als 600 Millionen Schadprogramme im Umlauf. 2017 wurden täglich 280000 neue Varianten entdeckt. Da stellt sich nicht mehr die Frage, ob ein Angriff erfolgt, sondern vielmehr wann es so weit ist.
„Das Internet der Dinge birgt enorme Gefahren. Überall hinterlassen wir Daten“, sagt Bardel und so warnt auch das BSI. Je digitaler wir leben und je sorgloser wir Technik verwenden, desto anfälliger werden wir auch für Cyberkriminelle, die es auf diese Daten aus Handys, intelligenten Lautsprechern und Kühlschränken, selbstfahrenden Autos und Social Media Accounts abgesehen haben. Inzwischen finden sogar Angriffe auf Haustiere statt, indem etwa mit dem Internet vernetzte Futterspender manipuliert wurden.
Justizbehörden sind gegen international agierende Black Hats in der Regel machtlos. Also setzen Unternehmen, Behörden und Privatpersonen auf das Wissen der White Hats als Abwehrmaßnahme. Hier kommen Experten wie Bardel und seine Hacker-crew ins Katz-undmaus-spiel. Vor sechs Jahren entdeckte er bei einem Sicherheitssoftware-test seines It-unternehmens die Marktlücke. Seitdem hat sich die BPN auf It-sicherheitschecks spezialisiert – analog wie digital. Kleine und mittelständische Unternehmen im deutschsprachigen Raum und auch Konzerne beauftragen die Firma mit Stresstests für die It-abwehr. „In den letzten 15 bis 20 Jahren wurde in Sachen Security viel verpennt, das ändert sich nun“, sagt Bardel.
Manche hätten die Bedrohungslage noch immer nicht erkannt. Den Satz „Bei uns gibt es doch nichts zu stehlen“bekommen Bardel und Kollegen noch immer zu hören. Dann hat Hofer wieder Geschichten parat: Vom Radiologen, der 10000 Euro zahlte, damit er seine millionenschwere Technik wieder benutzen konnte. Der Gesundheitsbereich sei zurzeit im Fokus der Black Hats, sagt Hofer. „Hier tut es schnell weh, weil es um Menschenleben geht, da fließt sofort Lösegeld.“Hofer erzählt von einer Kleinbäckerei, deren EDV lahmgelegt wurde. Oder vom Hotel in Kärnten, dessen Zimmerschließsystem gehackt wurde. Oder, oder, oder… „Hacker sind faul. Wenn sie nicht Daten stehlen können, dann schließen sie die Besitzer einfach aus. Das ist einfacher und schneller“, fasst Hofer zusammen. Wenn der Aufwand gar zu hoch ist, suchen sie sich ein neues Ziel.
Bardel öffnet nun ein Laptop. Mit nur ein paar Klicks kann der Firmenchef einen Nicht-nerd damit das Gruseln lehren. Bardel surft erst einmal auf die Website https://haveibeenpwned.com, gibt seine und die Mailadresse seines Gastes ein, um zu zeigen, dass fast jeder schon einmal gehackt wurde – in diesem Fall durch ein Datenleck bei einem Social-media-unternehmen. „100 Prozent Sicherheit gibt es nicht. Sogar die NSA hat’s schon erwischt“, sagt Bardel und Hofer bringt wieder einen Burg-vergleich aus der Praxis: „Viele setzen darauf, den Wassergraben besonders breit und die Burgmauer besonders hoch zu bauen. Wenn ein Angreifer diese Hindernisse aber doch überwindet, kann er sich dann frei in der Burg bewegen.“Also müsse man auch dafür sorgen, dass in der Burg die einzelnen Räume gesichert sind.
Bardel surft weiter und findet im Handumdrehen auf legalen Internetseiten Hacking-relevante Itdaten: genug Informationen, um eine vertrauenswürdige Geschichte für einen Social-engineering-angriff zu erfinden, ebenso Sicherheitslücken in Systemen mit dazugehörigen Ip-adressen, die sich mit Hackerprogrammen schnell scannen lassen. „Das ist, als würde man um ein Haus schleichen und prüfen, ob ein Fenster offen ist“, beschreibt Bardel. Ein Trainee aus dem aktuellen Bpn-nachwuchsprogramm, Student, Anfang 20, kurze Hose, „Hard Rock Café“-t-shirt, assistiert auf einem zweiten Laptop und bedient ein Programm, das Black wie White Hats nutzen. Mehrere Anwenderfenster erscheinen auf dem Bildschirm des Hackers. Einige haben einen schwarzen Hintergrund, über den sich weiße, rote eine Dokumentation. Durchaus möglich. Aber sehr, sehr aufwendig.“In Deutschland sei die Sicherheitslage im Vergleich zu anderen europäischen Ländern gut. Für Kritis gebe es besonders hohe Sicherheitsstandards. Und durch die neue Datenschutzverordnung machten sich viele Firmen mehr Gedanken über Datensicherheit. Doch dadurch seien sie auch für Hacker erpressbarer, weil diese mit einer Veröffentlichung drohen können, wenn Kundendaten nicht richtig geschützt wurden. Deshalb werden Angriffe auf klein- und mittelständische Unternehmen nun zunehmen, vermuten Bardel und Hofer.
Für die vielen Nicht-nerds haben sie auch gute Nachrichten: Viele Hersteller würden nun Sicherheitslücken in ihrer Software schließen und Updates anbieten, das helfe etwa gegen Ransomware. Und die Wahrscheinlichkeit, als Normalo Opfer eines gezielten Angriffs zu werden, sei relativ gering. Zu großer Aufwand, zu wenig Gewinn.
„Wachsam sein, aber nicht paranoid werden. Man steht ja auch nicht jeden Tag auf und denkt daran, dass man verunglücken könnte“, sagt Bardel zum Abschied. Seine Worte klingen nach: Etwa, als sich der Zündschlüssel zum Mietwagen umdreht und das Navi zurück zum Grazer Flughafen führt. Oder als das Handy den nächsten Wlan-hotspot anbietet. Oder als plötzlich abends daheim das Internet so seltsam langsam ist. Oder, oder, oder …