Wir werden gehackt!
Im Darknet bieten anonyme Hacker für ein paar tausend Euro ihre kriminellen Dienste an. Schnell verdientes Geld bei minimaler Gefahr, geschnappt zu werden. Die Sicherheitsbranche geht davon aus, dass inzwischen mehr Geld durch illegales Hacking verdient wird als durch den globalen Drogenhandel. Jährlich verursachen Cyberkriminelle laut einer Studie des Antivirensoftware-Herstellers McAfee bei Unternehmen einen finanziellen Schaden von über 400 Milliarden Dollar. Bei Konsumenten erbeuteten sie Symantec zufolge allein in 2017 172 Milliarden Dollar – durchschnittlich 142 Dollar pro Person.
Ausgelöst werden die meisten Erpresserangriffe auf Privatpersonen durch Ransomware – Schadprogramme, die gezielt im Internet verschickt, aber auch über Massenmails oder über Homepages gestreut werden. Da wird beispielsweise vorgegaukelt, dass der Account eines vertrauenswürdigen Internetshops oder einer Social-Media-Plattform gehackt wurde. Irgendeiner fällt schon auf den digitalen Trickbetrug rein, klickt einen Link oder eine Datei an – und schon ist’s passiert. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind mehr als 600 Millionen Schadprogramme im Umlauf. 2017 wurden täglich 280000 neue Varianten entdeckt. Da stellt sich nicht mehr die Frage, ob ein Angriff erfolgt, sondern vielmehr wann es so weit ist.
„Das Internet der Dinge birgt enorme Gefahren. Überall hinterlassen wir Daten“, sagt Bardel und so warnt auch das BSI. Je digitaler wir leben und je sorgloser wir Technik verwenden, desto anfälliger werden wir auch für Cyberkriminelle, die es auf diese Daten aus Handys, intelligenten Lautsprechern und Kühlschränken, selbstfahrenden Autos und Social Media Accounts abgesehen haben. Inzwischen finden sogar Angriffe auf Haustiere statt, indem etwa mit dem Internet vernetzte Futterspender manipuliert wurden.
Justizbehörden sind gegen international agierende Black Hats in der Regel machtlos. Also setzen Unternehmen, Behörden und Privatpersonen auf das Wissen der White Hats als Abwehrmaßnahme. Hier kommen Experten wie Bardel und seine Hacker-Crew ins Katz-undMaus-Spiel. Vor sechs Jahren entdeckte er bei einem SicherheitsSoftware-Test seines IT-Unternehmens die Marktlücke. Seitdem hat sich die BPN auf IT-Sicherheitschecks spezialisiert – analog wie digital. Kleine und mittelständische Unternehmen im deutschsprachigen Raum und auch Konzerne beauftragen die Firma mit Stresstests für die IT-Abwehr. „In den letzten 15 bis 20 Jahren wurde in Sachen Security viel verpennt, das ändert sich nun“, sagt Bardel.
Manche hätten die Bedrohungslage noch immer nicht erkannt. Den Satz „Bei uns gibt es doch nichts zu stehlen“bekommen Bardel und Kollegen noch immer zu hören. Dann hat Hofer wieder Geschichten parat: Vom Radiologen, der 10000 Euro zahlte, damit er seine millionenschwere Technik wieder benutzen konnte. Der Gesundheitsbereich sei zurzeit im Fokus der Black Hats, sagt Hofer. „Hier tut es schnell weh, weil es um Menschenleben geht, da fließt sofort Lösegeld.“Hofer erzählt von einer Kleinbäckerei, deren EDV lahmgelegt wurde. Oder vom Hotel in Kärnten, dessen Zimmerschließsystem gehackt wurde. Oder, oder, oder… „Hacker sind faul. Wenn sie nicht Daten stehlen können, dann schließen sie die Besitzer einfach aus. Das ist einfacher und schneller“, fasst Hofer zusammen. Wenn der Aufwand gar zu hoch ist, suchen sie sich ein neues Ziel.
Bardel öffnet nun ein Laptop. Mit nur ein paar Klicks kann der Firmenchef einen Nicht-Nerd damit das Gruseln lehren. Bardel surft erst einmal auf die Website https://haveibeenpwned.com, gibt seine und die Mailadresse seines Gastes ein, um zu zeigen, dass fast jeder schon einmal gehackt wurde – in diesem Fall durch ein Datenleck bei einem Social-Media-Unternehmen. „100 Prozent Sicherheit gibt es nicht. Sogar die NSA hat’s schon erwischt“, sagt Bardel und Hofer bringt wieder einen Burg-Vergleich aus der Praxis: „Viele setzen darauf, den Wassergraben besonders breit und die Burgmauer besonders hoch zu bauen. Wenn ein Angreifer diese Hindernisse aber doch überwindet, kann er sich dann frei in der Burg bewegen.“Also müsse man auch dafür sorgen, dass in der Burg die einzelnen Räume gesichert sind.
Bardel surft weiter und findet im Handumdrehen auf legalen Internetseiten Hacking-relevante ITDaten: genug Informationen, um eine vertrauenswürdige Geschichte für einen Social-Engineering-Angriff zu erfinden, ebenso Sicherheitslücken in Systemen mit dazugehörigen IP-Adressen, die sich mit Hackerprogrammen schnell scannen lassen. „Das ist, als würde man um ein Haus schleichen und prüfen, ob ein Fenster offen ist“, beschreibt Bardel. Ein Trainee aus dem aktuellen BPN-Nachwuchsprogramm, Student, Anfang 20, kurze Hose, „Hard Rock Café“-T-Shirt, assistiert auf einem zweiten Laptop und bedient ein Programm, das Black wie White Hats nutzen. Mehrere Anwenderfenster erscheinen auf dem Bildschirm des Hackers. Einige haben einen schwarzen Hintergrund, über den sich weiße, rote und blaue Schrift bewegt. Bis hierhin ist alles legal. Der Trainee gibt in eines der schwarzen Felder Befehle ein – schon ist Bardels TestLaptop gehackt und wie von Geisterhand verschwinden etwa Dateien aus dem Windows-Verzeichnis. In Wirklichkeit bekämen Opfer nicht sofort mit, dass sich ein Hacker in ihrem System befinde, weil dieser nicht sofort zuschlage und erst einmal observiere, sagt Hofer.
Der Trainee klappt den Computer zu. Genug gezeigt, mehr könnte ein Nicht-Nerd ohnehin nicht mehr nachvollziehen. Warum er für die Guten kämpft, wo es bei den Bösen doch so viel mehr zu verdienen gibt? „Mir geht es nicht ums Geld. Ich möchte Probleme lösen. Und außerdem haben ich ein Gewissen“, sagt er. Laut Hofer denken viele White Hats so. Schlecht verdienen sie aber auch auf der guten Seite nicht. Nachdem die Wirtschaft händeringend Beschützer sucht, winken Unternehmen Hofer zufolge schon mal mit Einstiegsgehältern für Master der Informatik von 100 000 Euro. Den Heldenstatus gibt es quasi noch dazu – unbezahlbar.
Die moderne Gesellschaft ist abhängig davon, dass die White Hats die Attacken der Black Hats abwehren können. Oder dass letztere entweder zu faul sind oder doch ein Gewissen haben, sodass sie kritische Infrastukturen (Kritis) nicht im großen Stil angreifen. Welch katastrophale Folgen es etwa haben könnte, wenn die Stromnetzwerke lahmgelegt werden, hat Marc Elsberg in seinem Buch „Blackout“geschrieben. Bardel hat’s gelesen. „Das ist eine Dokumentation. Durchaus möglich. Aber sehr, sehr aufwendig.“In Deutschland sei die Sicherheitslage im Vergleich zu anderen europäischen Ländern gut. Für Kritis gebe es besonders hohe Sicherheitsstandards. Und durch die neue Datenschutzverordnung machten sich viele Firmen mehr Gedanken über Datensicherheit. Doch dadurch seien sie auch für Hacker erpressbarer, weil diese mit einer Veröffentlichung drohen können, wenn Kundendaten nicht richtig geschützt wurden. Deshalb werden Angriffe auf klein- und mittelständische Unternehmen nun zunehmen, vermuten Bardel und Hofer.
Für die vielen Nicht-Nerds haben sie auch gute Nachrichten: Viele Hersteller würden nun Sicherheitslücken in ihrer Software schließen und Updates anbieten, das helfe etwa gegen Ransomware. Und die Wahrscheinlichkeit, als Normalo Opfer eines gezielten Angriffs zu werden, sei relativ gering. Zu großer Aufwand, zu wenig Gewinn.
„Wachsam sein, aber nicht paranoid werden. Man steht ja auch nicht jeden Tag auf und denkt daran, dass man verunglücken könnte“, sagt Bardel zum Abschied. Seine Worte klingen nach: Etwa, als sich der Zündschlüssel zum Mietwagen umdreht und das Navi zurück zum Grazer Flughafen führt. Oder als das Handy den nächsten WLAN-Hotspot anbietet. Oder als plötzlich abends daheim das Internet so seltsam langsam ist. Oder, oder, oder …
Illegales Hacken ist lukrativer als der Drogenhandel