Das Geschäft der Cyber Erpresser
Interview Der IT-Experte Professor Gordon Rohrmair warnt, dass der neue Computervirus mit über 200000 betroffenen Geräten viele Nachahmer findet. Es drohe ein „Massenphänomen“
Herr Professor Rohrmair, was sind es für Leute, die einen Virus wie jetzt WannaCry in die Welt setzen? Professor Gordon Rohrmair: Hinter dem, was wir die letzten Jahre an solchen Vorfällen gesehen haben, verbirgt sich die Schattenwirtschaft, die sich immer stärker professionalisiert. Es gibt drei Gruppen: den Gelegenheits-Hacker. Dann eine professionelle Schiene, die ein Geschäft daraus macht. Und staatliche Hacker. Was im Alltag den meisten Ärger macht, ist die zweite Gruppe.
Was bezwecken die Angreifer damit? Rohrmair: Hinter den Angriffen steckt ein Geschäftsmodell. Wer so eine Schadsoftware schreibt, kann sie weltweit verteilen und hat ein geringes Risiko, geschnappt zu werden. Gleichzeitig steigt der Wert unserer Daten, sodass größere Summen an Erpresser bezahlt werden. Im Jahr 2016 ist die durchschnittliche Erpressungssumme von 300 auf 1000 US-Dollar gestiegen. Das Thema wird uns in den nächsten Jahren massiv umtreiben.
Das klingt nach einem professionellen, mafiösen Geschäft. Rohrmair: Das Geschäftsmodell finanziert sich selbst weiter. Ein Beispiel: Dem Anti-Virus-Anbieter Kaspersky zufolge sind bei einem Angriff auf eine Bank vor einem Jahr mehrere hundert Millionen Dollar erbeutet worden. Die Hacker werden das Geld nicht alles ausgeben, sondern einen Teil investieren. Wenn man die Summe mit dem Budget eines staatlichen Cyber-Abwehrzentrums vergleicht, weiß man, dass die Täter mehr Budget haben als ein mittelgroßer Staat.
Wie viel Leute stecken hinter solch einem Angriff? Rohrmair: Die Gruppe kann relativ klein sein. Wenn Sie drei, vier Leute in einen Raum sperren, können Sie bereits so etwas machen. Es muss kein 20-köpfiges Team sein.
Zuletzt wurden Online-Banking-Daten über das O2-Telefonnetz geknackt. Wird das zum Massenphänomen? Rohrmair: Cyberangriffe werden auf alle Fälle zum Massenphänomen, es ist eine florierende Schattenwirtschaft, in die viel Geld fließt. In Zukunft werden wir mehr professionelle Angriffe sehen.
Wie kann sich ein Virus in kurzer Zeit so ausbreiten? Betroffen sind mehr als 200 000 Ziele in über 150 Ländern. Rohrmair: Die Verbreitung verlief voll automatisiert. Bei klassischen Trojanern klickt man auf einen Link. Hier war es so, dass es in den Microsoft-Systemen ein Verzeichnis gibt, über das man Dateien austauschen kann. Dieses hatte eine Schwachstelle. Sobald der Rechner am Internet hing, wurde der Trojaner automatisch übernommen. Kein Mensch musste mehr vor dem Rechner sitzen.
War dies der bisher größte Angriff? Rohrmair: Die Zahl von 200000 betroffenen Systemen hört sich groß an. Der Angriff war aber deshalb so spektakulär, weil er viele Menschen im Alltag traf und am Bahnhof die Anzeigen ausfielen. Zum Vergleich: Der Angriff auf die Router der Telekom 2016 zählte 900000 betroffene Systeme. Und es gibt Viren, mit denen in kurzer Zeit eine Million Geräte infiziert werden.
Der Virus traf auch Krankenhäuser. Ist die IT die Schwachstelle Nummer eins unserer Infrastruktur? Rohrmair: Die IT ist sicher eine Sollbruchstelle unserer Industrie. Man darf aber nicht denken, dass zum Beispiel ein Atomkraftwerk daheim vom Laptop aus zur Explosion gebracht werden kann. Dort gibt es noch weitere physikalische Sicherungsmechanismen. Der Vorfall zeigt aber, was möglich ist. Stünde hinter dem Angriff ein Staat, kann der Schaden noch viel größer sein.
Wie viele Angriffe gibt es pro Jahr? Rohrmair: Im Schnitt wurden 2016 rund 1300 Schadprogramme pro Tag registriert.
Oft stammen Viren von Geheimdiensten, wie vor einigen Jahren der Wurm „Stuxnet“. Auch dieses Mal war der US-Geheimdienst NSA involviert. Schaden sich die Staaten selbst? Rohrmair: Bei Stuxnet sollen NSA und der israelische Geheimdienst 30 Millionen Dollar investiert haben, um die Urananreicherung im Iran zu stoppen. Der aktuelle Fall ist etwas anders gestrickt: Eine Schad-Software braucht immer eine Schwachstelle in der Software. Die Schwachstelle bei Microsoft hatte die NSA entdeckt, ohne die Erkenntnis an Microsoft weiterzugeben. Ein unbekannter Hacker hat dann die Schwachstelle veröffentlicht. Dies wurde ausgenutzt. Hätte die NSA die Schwachstelle sofort Microsoft gemeldet, hätten wir das Problem nicht. Fachleute diskutieren, ob wir eine „digitale Genfer Konvention“brauchen: Es darf nicht sein, dass Staaten Schwachstellen entdecken und geheim halten. Das Risiko ist zu groß, dass das Wissen von der Schattenwirtschaft missbraucht wird.
Hat Microsoft eigentlich genug Vorsorge betrieben? Rohrmair: Microsoft hat eigentlich sehr schnell reagiert und vor rund vier Wochen ein Software-Update – einen sogenannten Patch – zur Installation erstellt. Das hört sich aber so leicht an…
Ist es das nicht? Rohrmair: In der Industrie ist das nicht so leicht. Der normale Nutzer drückt auf dem Smartphone oder dem Laptop auf einen Knopf, dann wird das Update installiert. In der Industrie laufen aber Systeme, die 20 oder 25 Jahre arbeiten. Es ist dort schwerer, Software einzuspielen, da viele andere Programme dranhängen. Bei der Bahn geht es zum Beispiel nicht nur um Anzeigetafeln, dahinter hängt auch ein System, wann und wo die Züge abfahren.
Kann sich der Privatmann oder ein Handwerksbetrieb gegen solche Angriffe überhaupt schützen? Rohrmair: Man kann zumindest das Risiko senken, Opfer eines Angriffs zu werden. Für den Heimanwender bedeutet das erstens: Immer Sicherheits-Updates einspielen. Zweitens: Die Virensoftware aktuell halten. Drittens: In E-Mails von unbekannten Empfängern nicht auf Links oder den Anhang klicken. Dann ist die Wahrscheinlichkeit sehr, sehr niedrig, befallen zu werden.
Läuft der Staat diesen Gruppen eigentlich machtlos hinterher wie der Igel dem Hasen oder gibt es eine Chance, dem Einhalt zu gebieten? Rohrmair: Man muss das Geschäftsmodell zerschlagen. Dafür ist es nötig, die Geldflüsse zu stoppen. Software-Firmen müssen schneller Patches – also Software-Updates – zur Verfügung stellen. Und der Heimanwender muss Wert auf seinen Virenschutz legen.
Interview: Michael Kerler
Professor Gordon Rohr mair, geboren 1976, ist Präsident der Hochschule Augsburg und Experte für IT Sicherheit.