Wir werden gehackt!
Im Internet tobt ein Krieg, der uns alle betrifft. Gut gegen Böse. Wie das aussieht, wie verwundbar wir sind und wie wir uns schützen können, verraten uns ein paar Kämpfer bei einem Frontbesuch
Das Navi muss gehackt worden sein, der Weg kann so nicht stimmen! Die Straße wird immer schmaler, führt durch ein Wohngebiet, an Wiesen vorbei über einen Hügel. Saß eben im Frühstücksraum des Grazer Hotels doch jemand, der sich über das WLAN auf mein Handy gehackt hat? Vielleicht der Bärtige mit dem Laptop? Aber warum sollte er? „Sie haben Ihr Ziel erreicht“, sagt nun die vertraute Frauenstimme und ich fühle mich etwas in meiner Paranoia ertappt. Mitten in Kärnten, am Rande der Kleinstadt Wolfsberg …. In dieser österreichischen Idylle befindet sich das Hauptquartier der Cybersicherheitsfirma BPN – lediglich das Firmenlogo, ein großes Schutzschild auf dem massiven Eingangstor, lässt erahnen, dass die Lage nicht so friedlich ist.
Es tobt ein globaler digitaler Krieg, dessen Ausmaß wir kaum mitbekommen, dabei sind wir unmittelbar davon betroffen und bedroht. Durch das Internet der Dinge hinterlassen wir überall Daten und sind verwundbar, denn unsere vernetzten Geräte können angegriffen, observiert, abgeschaltet, zerstört, manipuliert, kurz: gehackt werden – mit ein paar Klicks eines unbekannten Hackers irgendwo auf der Welt. Im Gegensatz zu den meisten Nutzern weiß er, was in den Innereien eines Computers oder Mobiltelefons vor sich geht.
Experten sprechen bereits von einem Digitalisierungsdilemma: Die Technik, die unser Leben erleichtern soll, kann es uns gleichsam massiv erschweren. Vor ihr verstecken kann sich kaum jemand, denn selbst wer auf Handy und Fernseher verzichtet, bekommt Wasser, Strom und Geld nur mithilfe von Computern – und die sind längst Waffen im Internetkrieg geworden. Aber wer sind eigentlich die, die da kämpfen?
Wie viele Black Hats, also kriminelle Hacker, es gibt, ist unklar. Ebenso, wo sie gerade überall zuschlagen. Das Internet gibt ihnen schier unbegrenzte Möglichkeiten, zu verstecken und aus dem Hinterhalt anzugreifen. White Hats hingegen versuchen, die Gesellschaft vor diesen Angriffen zu schützen, indem diese Computerexperten beispielsweise Firewalls aufbauen oder Eindringlinge aus Systemen werfen. Eine Bastion dieser gutwilligen Hacker befindet sich also mitten in Kärnten, auf halber Strecke zwischen Klagenfurt und Graz, wo Patrick Bardel vor einigen Jahren BPN gründete – und nun hier, hinter dem Stahltor, konkrete Einblicke in den globalen Vielfrontenkrieg geben will.
In Zahlen sieht eine Front zum Beispiel so aus: 978 Millionen Menschen in 20 Ländern wurden 2017 Opfer von Cyberkriminalität – jeder zweite Internetnutzer quasi. Die Wahrscheinlichkeit, erwischt zu werden, ist also recht hoch. Das ergab eine Studie der Symantec Corporation, die die Anti-Virus-Software Norton herstellt. In jedem zweiten Fall wurde ein Endgerät von Schadprogrammen befallen. Kreditkartendaten oder Passwörter wurden gestohlen (39 Prozent). Mailzugänge oder Social Media Accounts wurden gekapert (34 Prozent). Oder, oder, oder ...
Hacking läuft aber häufig zunächst auch analog ab. Etwa an der Firmenfront. „Haben Sie es eben im Radio gehört? Tesla ist angegriffen worden. Ein frustrierter Mitarbeiter hat wohl geheime Informationen verkauft“, sagt Michael Hofer zur Begrüßung. In Wirklichkeit heißt er anders, aber dazu später mehr. Der Endzwanziger gehört zu den Entscheidern bei BPN und ruft nun mit dem Handy eine Kollegin an, damit sich die Tür zum Besuchereingang öffnet. Wir treten ein und warten kurz auf Firmenchef Bardel.
Wie Mitarbeiter anderer Firmen als Türöffner für ungebetene Besucher fungieren, darüber könnte Hofer ein Buch schreiben. Social Engineering heißt diese Hacking-Methode, bei der die Schwachstelle Mensch ausgenutzt wird. Es ist laut einer Umfrage des Digitalverbandes Bitkom nach dem Diebstahl von ITund Telekommunikationsgeräten die zweithäufigste Angriffsart auf Firmen. Denn dort, wo elektronische Hürden zu hoch sind, versuchen Hacker erst einmal analog, an Informationen zu gelangen, die dabei helfen, digital einzudringen. Hofer erklärt das bildlich: „Wir versuchen nicht, die Schutzmauer einzureißen, das wäre viel zu aufwendig. Wir versuchen, dass uns jemand aus der Burg heraus über die Mauer Informationen zuwirft.“So machen das auch die Bösen. Häufig gelingt das etwa über Personalabteilungen. Ein Anruf eines vermeintlich verzweifelten Bewerbers, dass sein Lesich nicht durchgeht und ob es diesen noch einmal extra und passwortgeschützt mailen darf. Fällt jemand aus der Personalabteilung darauf rein und gibt das Passwort ein, ist der Eingreifer im System und Informationen fliegen über die Mauer.
Vor Social-Engineering-Angriffen sind Mitarbeiter auch im Privatleben nicht gefeit. Ein Mann sitzt etwa in einer Bar. Er kommt mit einer fremden Frau ins Gespräch. Smalltalk, dies und das halt. Sie jammert über Arbeitszeiten. Irgendwann erzählt er, dass er ab und zu von daheim aus arbeiten kann. „Dann haben wir ihn“, sagt Hofer. Die Frau gehört nämlich zu einem 150-köpfigen Expertenteam, das gezielt auf Informationsträger angesetzt wird, wenn Firmenbosse oder -besitzer den Auftrag dazu erteilt haben. Über Wochen und Monate tragen die Ermittler dann winzige Informationen zusammen und spähen die Sicherheitslücken aus. Hofer verrät, wie die analoge Bar-Sache weiterginge: „Wenn wir wissen, dass er seinen Firmencomputer mit nach Hause nimmt, müssten wir nur herausfinden, wo er wohnt, was im Internet eine schnelle Sache ist, und einen Einbrecher vorbeischicken – schon haben wir einen Rechner mit geheimen Firmendaten.“
Mehrere 100 000 Euro lassen sich global agierende Konzerne so einen groß angelegten Sicherheitscheck der BPN schon mal kosten. Es steht immerhin einiges auf dem Spiel: Datenklau, Diebstahl geistigen Eigentums, Blockade der IT-Systeme, Geldverlust in Millionenhöhe. Eine Umfrage des Sicherheitssoftware-Entwicklers Kaspersky Lab ergab: Die durch ein Datenleck verursachten Kosten bei kleinen und mittleren Unternehmen sind 2017 im Vergleich zum Vorjahr um 37 Prozent auf durchschnittlich 120000 Dollar gestiegen – bei Großunternehmen waren es im Schnitt bis zu 1,23 Millionen Dollar (ein Plus von 24 Prozent). Fast ein Drittel aller IT-Ausgaben in Unternehmen entfallen heute auf den Bereich Cybersicherheit. IT-Abteilungen gehören inzwischen zu den wichtigsten Bereiche einer Firma. Weil die Cyberkriminellen immer kreativer und besser werden, holen sich viele ITChefs Unterstützung von Sicherheitsfirmen wie BPN.
Hofers Erfahrung nach sind übereifrige und frustrierte Mitarbeiter ein Sicherheitsrisiko für Unternehmen, gegen das selbst ausgeklügelte digitale Schutzmauern machtlos sind – wie das Beispiel Tesla zeigt. „Sorgen Sie dafür, dass Ihre Mitarbeiter zufrieden sind“, rät Hofer daher seinen Kunden, die ihn unter seinem richtigen Namen kennenlernen. Hier soll dieser aber nicht stebenslauf hen, damit er für Social-Engineering-Einsätze nicht verbrannt ist. Um über White Hat Hofer online etwas herauszufinden, müssten Experten ran, wie Patrick Bardel, der nun den Besprechungsraum betritt.
Mitte 30, Hemd, Anzughose, nach hinten gekämmte kurze Haare, sonnengebräunte Haut – so sehen heutzutage Hacker aus. Bardel lacht. „Ja, wir sind die Nerds. Die Zeiten sind vorbei, als das nur dicke, pickelige, blasse Jungs waren.“Und auch das Klischee vom im Dunkeln sitzenden Hacker mit drei Bildschirmen vor, vollem Aschenbecher und gestapelten Pizzakartons neben sich, ist längst überholt. „Die können heute mit dem Laptop auf dem Sofa sitzen und nebenbei Netflix gucken. Oder am Strand von Thailand liegen“, sagt Bardel. Um Schaden anzurichten reichen ein Laptop, ein schneller Internetzugang und das Wissen, das in etwa dem eines Informatikstudenten im dritten Semester entspricht. Bardel kennt noch die Zeiten, als das anders war.
„Der Umbruch der letzten 20 Jahre war enorm. Wir sind die letzte Generation, die ohne Handy und Internet aufwuchs“, sagt der Mann, der seine Firma einst in einer Garage gründete und nun zu den führenden Security-Experten Österreichs gehört. Seine ersten Hacking-Versuche startete er als Teenager mit einem tutenden Modem und auf einem PC, der weniger Arbeitsspeicher hat als das Smartphone, das er nun in der Hand hält und regelmäßig checkt. Angriffe aus dem Internet waren um die Jahrtausendwende meistens nur eine gezielte Machtdemonstration. „Damals erschien ein Logo auf dem Bildschirm des Angegriffenen, um zu zeigen: Wir haben es geschafft. Schluss.“
Heute passiert das wieder, allerdings verbunden mit einer Geldforderung: Entweder es wird ein Betrag gezahlt oder die Daten sind für immer verloren. „Die Cyberkriminalität ist inzwischen kommerzialisiert“, sagt Bardel.
Illegales Hacken ist lukrativer als der Drogenhandel
Im Darknet bieten anonyme Hacker für ein paar tausend Euro ihre kriminellen Dienste an. Schnell verdientes Geld bei minimaler Gefahr, geschnappt zu werden. Die Sicherheitsbranche geht davon aus, dass inzwischen mehr Geld durch illegales Hacking verdient wird als durch den globalen Drogenhandel. Jährlich verursachen Cyberkriminelle laut einer Studie des Antivirensoftware-Herstellers McAfee bei Unternehmen einen finanziellen Schaden von über 400 Milliarden Dollar. Bei Konsumenten erbeuteten sie Symantec zufolge allein in 2017 172 Milliarden Dollar – durchschnittlich 142 Dollar pro Person.
Ausgelöst werden die meisten Erpresserangriffe auf Privatpersonen durch Ransomware – Schadprogramme, die gezielt im Internet verschickt, aber auch über Massenmails oder über Homepages gestreut werden. Da wird beispielsweise vorgegaukelt, dass der Account eines vertrauenswürdigen Internetshops oder einer Social-Media-Plattform gehackt wurde. Irgendeiner fällt schon auf den digitalen Trickbetrug rein, klickt einen Link oder eine Datei an – und schon ist’s passiert. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind mehr als 600 Millionen Schadprogramme im Umlauf. 2017 wurden täglich 280000 neue Varianten entdeckt. Da stellt sich nicht mehr die Frage, ob ein Angriff erfolgt, sondern vielmehr wann es so weit ist.
„Das Internet der Dinge birgt enorme Gefahren. Überall hinterlassen wir Daten“, sagt Bardel und so warnt auch das BSI. Je digitaler wir leben und je sorgloser wir Technik verwenden, desto anfälliger werden wir auch für Cyberkriminelle, die es auf diese Daten aus Handys, intelligenten Lautsprechern und Kühlschränken, selbstfahrenden Autos und Social Media Accounts abgesehen haben. Inzwischen finden sogar Angriffe auf Haustiere statt, indem etwa mit dem Internet vernetzte Futterspender manipuliert wurden.
Justizbehörden sind gegen international agierende Black Hats in der Regel machtlos. Also setzen Unternehmen, Behörden und Privatpersonen auf das Wissen der White Hats als Abwehrmaßnahme. Hier kommen Experten wie Bardel und seine Hacker-Crew ins Katz-undMaus-Spiel. Vor sechs Jahren entdeckte er bei einem SicherheitsSoftware-Test seines IT-Unternehmens die Marktlücke. Seitdem hat sich die BPN auf IT-Sicherheitschecks spezialisiert – analog wie digital. Kleine und mittelständische Unternehmen im deutschsprachigen Raum und auch Konzerne beauftragen die Firma mit Stresstests für die IT-Abwehr. „In den letzten 15 bis 20 Jahren wurde in Sachen Security viel verpennt, das ändert sich nun“, sagt Bardel.
Manche hätten die Bedrohungslage noch immer nicht erkannt. Den Satz „Bei uns gibt es doch nichts zu stehlen“bekommen Bardel und Kollegen noch immer zu hören. Dann hat Hofer wieder Geschichten parat: Vom Radiologen, der 10000 Euro zahlte, damit er seine millionenschwere Technik wieder benutzen konnte. Der Gesundheitsbereich sei zurzeit im Fokus der Black Hats, sagt Hofer. „Hier tut es schnell weh, weil es um Menschenleben geht, da fließt sofort Lösegeld.“Hofer erzählt von einer Kleinbäckerei, deren EDV lahmgelegt wurde. Oder vom Hotel in Kärnten, dessen Zimmerschließsystem gehackt wurde. Oder, oder, oder… „Hacker sind faul. Wenn sie nicht Daten stehlen können, dann schließen sie die Besitzer einfach aus. Das ist einfacher und schneller“, fasst Hofer zusammen. Wenn der Aufwand gar zu hoch ist, suchen sie sich ein neues Ziel.
Bardel öffnet nun ein Laptop. Mit nur ein paar Klicks kann der Firmenchef einen Nicht-Nerd damit das Gruseln lehren. Bardel surft erst einmal auf die Website https://haveibeenpwned.com, gibt seine und die Mailadresse seines Gastes ein, um zu zeigen, dass fast jeder schon einmal gehackt wurde – in diesem Fall durch ein Datenleck bei einem Social-Media-Unternehmen. „100 Prozent Sicherheit gibt es nicht. Sogar die NSA hat’s schon erwischt“, sagt Bardel und Hofer bringt wieder einen Burg-Vergleich aus der Praxis: „Viele setzen darauf, den Wassergraben besonders breit und die Burgmauer besonders hoch zu bauen. Wenn ein Angreifer diese Hindernisse aber doch überwindet, kann er sich dann frei in der Burg bewegen.“Also müsse man auch dafür sorgen, dass in der Burg die einzelnen Räume gesichert sind.
Bardel surft weiter und findet im Handumdrehen auf legalen Internetseiten Hacking-relevante ITDaten: genug Informationen, um eine vertrauenswürdige Geschichte für einen Social-Engineering-Angriff zu erfinden, ebenso Sicherheitslücken in Systemen mit dazugehörigen IP-Adressen, die sich mit Hackerprogrammen schnell scannen lassen. „Das ist, als würde man um ein Haus schleichen und prüfen, ob ein Fenster offen ist“, beschreibt Bardel. Ein Trainee aus dem aktuellen BPN-Nachwuchsprogramm, Student, Anfang 20, kurze Hose, „Hard Rock Café“-T-Shirt, assistiert auf einem zweiten Laptop und bedient ein Programm, das Black wie White Hats nutzen. Mehrere Anwenderfenster erscheinen auf dem Bildschirm des Hackers. Einige haben einen schwarzen Hintergrund, über den sich weiße, rote und blaue Schrift bewegt. Bis hierhin ist alles legal. Der Trainee gibt in eines der schwarzen Felder Befehle ein – schon ist Bardels TestLaptop gehackt und wie von Geisterhand verschwinden etwa Dateien aus dem Windows-Verzeichnis. In Wirklichkeit bekämen Opfer nicht sofort mit, dass sich ein Hacker in ihrem System befinde, weil dieser nicht sofort zuschlage und erst einmal observiere, sagt Hofer.
Der Trainee klappt den Computer zu. Genug gezeigt, mehr könnte ein Nicht-Nerd ohnehin nicht mehr nachvollziehen. Warum er für die Guten kämpft, wo es bei den Bösen doch so viel mehr zu verdienen gibt? „Mir geht es nicht ums Geld. Ich möchte Probleme lösen. Und außerdem haben ich ein Gewissen“, sagt er. Laut Hofer denken viele White Hats so. Schlecht verdienen sie aber auch auf der guten Seite nicht. Nachdem die Wirtschaft händeringend Beschützer sucht, winken Unternehmen Hofer zufolge schon mal mit Einstiegsgehältern für Master der Informatik von 100 000 Euro. Den Heldenstatus gibt es quasi noch dazu – unbezahlbar.
Die moderne Gesellschaft ist abhängig davon, dass die White Hats die Attacken der Black Hats abwehren können. Oder dass letztere entweder zu faul sind oder doch ein Gewissen haben, sodass sie kritische Infrastukturen (Kritis) nicht im großen Stil angreifen. Welch katastrophale Folgen es etwa haben könnte, wenn die Stromnetzwerke lahmgelegt werden, hat Marc Elsberg in seinem Buch „Blackout“geschrieben. Bardel hat’s gelesen. „Das ist eine Dokumentation. Durchaus möglich. Aber sehr, sehr aufwendig.“In Deutschland sei die Sicherheitslage im Vergleich zu anderen europäischen Ländern gut. Für Kritis gebe es besonders hohe Sicherheitsstandards. Und durch die neue Datenschutzverordnung machten sich viele Firmen mehr Gedanken über Datensicherheit. Doch dadurch seien sie auch für Hacker erpressbarer, weil diese mit einer Veröffentlichung drohen können, wenn Kundendaten nicht richtig geschützt wurden. Deshalb werden Angriffe auf klein- und mittelständische Unternehmen nun zunehmen, vermuten Bardel und Hofer.
Für die vielen Nicht-Nerds haben sie auch gute Nachrichten: Viele Hersteller würden nun Sicherheitslücken in ihrer Software schließen und Updates anbieten, das helfe etwa gegen Ransomware. Und die Wahrscheinlichkeit, als Normalo Opfer eines gezielten Angriffs zu werden, sei relativ gering. Zu großer Aufwand, zu wenig Gewinn.
„Wachsam sein, aber nicht paranoid werden. Man steht ja auch nicht jeden Tag auf und denkt daran, dass man verunglücken könnte“, sagt Bardel zum Abschied. Seine Worte klingen nach: Etwa, als sich der Zündschlüssel zum Mietwagen umdreht und das Navi zurück zum Grazer Flughafen führt. Oder als das Handy den nächsten WLAN-Hotspot anbietet. Oder als plötzlich abends daheim das Internet so seltsam langsam ist. Oder, oder, oder …