Wir werden gehackt!
Im Internet tobt ein Krieg, der uns alle betrifft. Gut gegen Böse. Wie das aussieht, wie verwundbar wir sind und wie wir uns schützen können, verraten uns ein paar Kämpfer bei einem Frontbesuch
Das Navi muss gehackt worden sein, der Weg kann so nicht stimmen! Die Straße wird immer schmaler, führt durch ein Wohngebiet, an Wiesen vorbei über einen Hügel. Saß eben im Frühstücksraum des Grazer Hotels doch jemand, der sich über das WLAN auf mein Handy gehackt hat? Vielleicht der Bärtige mit dem Laptop? Aber warum sollte er? „Sie haben Ihr Ziel erreicht“, sagt nun die vertraute Frauenstimme und ich fühle mich etwas in meiner Paranoia ertappt. Mitten in Kärnten, am Rande der Kleinstadt Wolfsberg …. In dieser österreichischen Idylle befindet sich das Hauptquartier der Cybersicherheitsfirma BPN – lediglich das Firmenlogo, ein großes Schutzschild auf dem massiven Eingangstor, lässt erahnen, dass die Lage nicht so friedlich ist.
Es tobt ein globaler digitaler Krieg, dessen Ausmaß wir kaum mitbekommen, dabei sind wir unmittelbar davon betroffen und bedroht. Durch das Internet der Dinge hinterlassen wir überall Daten und sind verwundbar, denn unsere vernetzten Geräte können angegriffen, observiert, abgeschaltet, zerstört, manipuliert, kurz: gehackt werden – mit ein paar Klicks eines unbekannten Hackers irgendwo auf der Welt. Im Gegensatz zu den meisten Nutzern weiß er, was in den Innereien eines Computers oder Mobiltelefons vor sich geht.
Experten sprechen bereits von einem Digitalisierungsdilemma: Die Technik, die unser Leben erleichtern soll, kann es uns gleichsam massiv erschweren. Vor ihr verstecken kann sich kaum jemand, denn selbst wer auf Handy und Fernseher verzichtet, bekommt Wasser, Strom und Geld nur mithilfe von Computern – und die sind längst Waffen im Internetkrieg geworden. Aber wer sind eigentlich die, die da kämpfen?
Wie viele Black Hats, also kriminelle Hacker, es gibt, ist unklar. Ebenso, wo sie gerade überall zuschlagen. Das Internet gibt ihnen schier unbegrenzte Möglichkeiten, zu verstecken und aus dem Hinterhalt anzugreifen. White Hats hingegen versuchen, die Gesellschaft vor diesen Angriffen zu schützen, indem diese Computerexperten beispielsweise Firewalls aufbauen oder Eindringlinge aus Systemen werfen. Eine Bastion dieser gutwilligen Hacker befindet sich also mitten in Kärnten, auf halber Strecke zwischen Klagenfurt und Graz, wo Patrick Bardel vor einigen Jahren BPN gründete – und nun hier, hinter dem Stahltor, konkrete Einblicke in den globalen Vielfrontenkrieg geben will.
In Zahlen sieht eine Front zum Beispiel so aus: 978 Millionen Menschen in 20 Ländern wurden 2017 Opfer von Cyberkriminalität – jeder zweite Internetnutzer quasi. Die Wahrscheinlichkeit, erwischt zu werden, ist also recht hoch. Das ergab eine Studie der Symantec Corporation, die die Anti-Virus-Software Norton herstellt. In jedem zweiten Fall wurde ein Endgerät von Schadprogrammen befallen. Kreditkartendaten oder Passwörter wurden gestohlen (39 Prozent). Mailzugänge oder Social Media Accounts wurden gekapert (34 Prozent). Oder, oder, oder ...
Hacking läuft aber häufig zunächst auch analog ab. Etwa an der Firmenfront. „Haben Sie es eben im Radio gehört? Tesla ist angegriffen worden. Ein frustrierter Mitarbeiter hat wohl geheime Informationen verkauft“, sagt Michael Hofer zur Begrüßung. In Wirklichkeit heißt er anders, aber dazu später mehr. Der Endzwanziger gehört zu den Entscheidern bei BPN und ruft nun mit dem Handy eine Kollegin an, damit sich die Tür zum Besuchereingang öffnet. Wir treten ein und warten kurz auf Firmenchef Bardel.
Wie Mitarbeiter anderer Firmen als Türöffner für ungebetene Besucher fungieren, darüber könnte Hofer ein Buch schreiben. Social Engineering heißt diese Hacking-Methode, bei der die Schwachstelle Mensch ausgenutzt wird. Es ist laut einer Umfrage des Digitalverbandes Bitkom nach dem Diebstahl von ITund Telekommunikationsgeräten die zweithäufigste Angriffsart auf Firmen. Denn dort, wo elektronische Hürden zu hoch sind, versuchen Hacker erst einmal analog, an Informationen zu gelangen, die dabei helfen, digital einzudringen. Hofer erklärt das bildlich: „Wir versuchen nicht, die Schutzmauer einzureißen, das wäre viel zu aufwendig. Wir versuchen, dass uns jemand aus der Burg heraus über die Mauer Informationen zuwirft.“So machen das auch die Bösen. Häufig gelingt das etwa über Personalabteilungen. Ein Anruf eines vermeintlich verzweifelten Bewerbers, dass sein Lesich nicht durchgeht und ob es diesen noch einmal extra und passwortgeschützt mailen darf. Fällt jemand aus der Personalabteilung darauf rein und gibt das Passwort ein, ist der Eingreifer im System und Informationen fliegen über die Mauer.
Vor Social-Engineering-Angriffen sind Mitarbeiter auch im Privatleben nicht gefeit. Ein Mann sitzt etwa in einer Bar. Er kommt mit einer fremden Frau ins Gespräch. Smalltalk, dies und das halt. Sie jammert über Arbeitszeiten. Irgendwann erzählt er, dass er ab und zu von daheim aus arbeiten kann. „Dann haben wir ihn“, sagt Hofer. Die Frau gehört nämlich zu einem 150-köpfigen Expertenteam, das gezielt auf Informationsträger angesetzt wird, wenn Firmenbosse oder -besitzer den Auftrag dazu erteilt haben. Über Wochen und Monate tragen die Ermittler dann winzige Informationen zusammen und spähen die Sicherheitslücken aus. Hofer verrät, wie die analoge Bar-Sache weiterginge: „Wenn wir wissen, dass er seinen Firmencomputer mit nach Hause nimmt, müssten wir nur herausfinden, wo er wohnt, was im Internet eine schnelle Sache ist, und einen Einbrecher vorbeischicken – schon haben wir einen Rechner mit geheimen Firmendaten.“
Mehrere 100 000 Euro lassen sich global agierende Konzerne so einen groß angelegten Sicherheitscheck der BPN schon mal kosten. Es steht immerhin einiges auf dem Spiel: Datenklau, Diebstahl geistigen Eigentums, Blockade der IT-Systeme, Geldverlust in Millionenhöhe. Eine Umfrage desSic her heits software Entwicklers KasperskyLa bergab: Die durch ein Datenleck verursachten Kosten bei kleinen und mittleren Unternehmen sind 2017 im Vergleich zum Vorjahr um 37 Prozent auf durchschnittlich 120000 Dollar gestiegen – bei Großunternehmen waren es im Schnitt bis zu 1,23 Millionen Dollar (ein Plus von 24 Prozent). Fast ein Drittel aller IT-Ausgaben in Unternehmen entfallen heute auf den Bereich Cybersicherheit. IT-Abteilungen gehören inzwischen zu den wichtigsten Bereiche einer Firma. Weil die Cyberkriminellen immer kreativer und besser werden, holen sich viele ITChefs Unterstützung von Sicherheitsfirmen wie BPN.
Hofers Erfahrung nach sind übereifrige und frustrierte Mitarbeiter ein Sicherheitsrisiko für Unternehmen, gegen das selbst ausgeklügelte digitale Schutzmauern machtlos sind – wie das Beispiel Tesla zeigt. „Sorgen Sie dafür, dass Ihre Mitarbeiter zufrieden sind“, rät Hofer daher seinen Kunden, die ihn unter seinem richtigen Namen kennenlernen. Hier soll dieser aber nicht stebenslauf hen, damit er für Social-Engineering-Einsätze nicht verbrannt ist. Um über White Hat Hofer online etwas herauszufinden, müssten Experten ran, wie Patrick Bardel, der nun den Besprechungsraum betritt.
Mitte 30, Hemd, Anzughose, nach hinten gekämmte kurze Haare, sonnengebräunte Haut – so sehen heutzutage Hacker aus. Bardel lacht. „Ja, wir sind die Nerds. Die Zeiten sind vorbei, als das nur dicke, pickelige, blasse Jungs waren.“Und auch das Klischee vom im Dunkeln sitzenden Hacker mit drei Bildschirmen vor, vollem Aschenbecher und gestapelten Pizzakartons neben sich, ist längst überholt. „Die können heute mit dem Laptop auf dem Sofa sitzen und nebenbei Netflix gucken. Oder am Strand von Thailand liegen“, sagt Bardel. Um Schaden anzurichten reichen ein Laptop, ein schneller Internetzugang und das Wissen, das in etwa dem eines Informatikstudenten im dritten Semester entspricht. Bardel kennt noch die Zeiten, als das anders war.
„Der Umbruch der letzten 20 Jahre war enorm. Wir sind die letzte Generation, die ohne Handy und Internet aufwuchs“, sagt der Mann, der seine Firma einst in einer Garage gründete und nun zu den führenden Security-Experten Österreichs gehört. Seine ersten Hacking-Versuche startete er als Teenager mit einem tutenden Modem und auf einem PC, der weniger Arbeitsspeicher hat als das Smartphone, das er nun in der Hand hält und regelmäßig checkt. Angriffe aus dem Internet waren um die Jahrtausendwende meistens nur eine gezielte Machtdemonstration. „Damals erschien ein Logo auf dem Bildschirm des Angegriffenen, um zu zeigen: Wir haben es geschafft. Schluss.“
Heute passiert das wieder, allerdings verbunden mit einer Geldforderung: Entweder es wird ein Betrag gezahlt oder die Daten sind für immer verloren. „Die Cyberkriminalität ist inzwischen kommerzialisiert“, sagt Bardel.