Die dunkle Seite der Macht

Wenn du durch die Hölle gehst, hör nicht auf zu gehen.« Das Zitat von Winston Churchill beschreibt die Stimmung der IT-Security-Gemeinde, die sich Ende Februar in San Francisco zur alljährlichen RSA-Konferenz versammelte. Art Coviello, der Vorstandsvorsitzende von RSA, der führenden Sicherheitsfirma aus dem Hause EMC, erklärte bei seiner Eröffnungsansprache im Rahmen der RSA-Conference 2012: »Wir sind in den vergangenen zwölf Monaten durch die Hölle gegangen« – und er spielt damit nicht nur darauf an, dass im März des vergangenen Jahres die Datenbanken seines Konzerns Opfer eines Hackerangriffs geworden war, weil sich die Cyber-Täter offensichtlich Infos über die Sicherheitsschwachstellen der RSA-Klientel erhofft hatten. Abgesehen davon, dass die Sache natürlich hochpeinlich war, legte sie eine Kernfrage offen: Wenn selbst eine hochspezialisierte IT-Sicherheitsfirma nicht in der Lage ist, sich gegen Hackangriffe zu wehren, wie soll das dann Unternehmen gelingen, die nicht mit Sicherheit ihr Geld verdienen? Uri Rivner, Chef des Bereichs Neue Technologien und Betrugsexperte bei EMC, offenbart eine unangenehme Wahrheit: »Außerhalb des militärischen Bereichs gibt es kaum Unternehmen, die sich wirkungsvoll gegen Hackangriffe verteidigen können.«

Wenn Rivner von Hackangriffen redet, meint er nicht die harmlosen Profilierungsversuche einiger aufgeweckter IT-Freaks. Er redet von der organisierten, längst arbeitsteiligen und hochspezialisierten dunklen Seite der Macht, die in erstaunlicher Weise die Strukturen und Abläufe der Realwirtschaft nachmacht. Wie in einem Versandkatalog bieten Kriminelle Viren, Trojaner und gezielten Datenklau an. Da fragt etwa ein anonymer Interessent über eine der einschlägigen Plattformen an, ob man nicht für ihn die Daten aller Unfallopfer samt Nummern der Polizeiberichte eines bestimmten Krankenhauses in New York City absaugen könne – Woche für Woche. Er sei auch bereit, richtig gutes Geld zu zahlen und gibt einen kleinen Hinweis darauf, wer dahinter steckt. An Sozialversicherungsnummern sei er nicht interessiert. Es geht also nicht um einen einfachen Identitätsdiebstahl, sondern der Kunde will das, was in den USA als »ambulance chasing« bekannt ist, auf ein neues Niveau heben. Früher verfolgten manche Rechtsanwälte in den USA Krankenwägen, in denen sie Unfallopfer vermuteten, um den Verletzten dann gleich einzureden, dass sie Schadenersatzklagen einbringen könnten. Jetzt spart man sich das mühsame Hinterherfahren und klaut die fein säuberlich aufbereiteten Daten von den Servern des Krankenhauses, das bekanntlich nicht Teil des militärisch organisierten IT-Hochsicherheitstraktes ist und somit einen Jausengegner für geübte Hacker darstellt.

Ein anderes Beispiel für die neue kriminelle Professionalität lieferte die Modekette Michaels, deren Kunden nicht schlecht staunten, als sich kurz nach dem Shoppen ihre Bankomatkarten selbständig machten. Cyberganoven hatten sich in das System gehängt und sämtliche Kundendaten mitsamt Kontonummer und dazugehörigem PIN abgesaugt. Sie klonten die Karten und begaben sich auf extensive Behebungstour. Gauner, die sich heute noch direkt an den Bankomaten vergreifen und sie mit brachialer Gewalt entleeren, sind wirklich von gestern. Sie haben den technologischen Wandel nicht mitgemacht, der Zugriff auf Millionen ermöglicht.

Fusionen und Serviceanforderungen

Der Markt der Cyberkriminellen kennt mittlerweile auch schon erste Mergers. Der unter dem Codenamen Slavik bekannte Programmierer des gefürchteten Trojaners Zeus und sein stärkster Konkurrent Citadel haben sich zusammengeschlossen. Mittlerweile versorgt nur mehr Citadel den Markt, stellt die Downloadpakete und die Servicierung zur Verfügung. 2.399 Dollar kostet ein Citadel-Trojaner im Grundpaket, dazu kommen dann noch 125 Dollar als monatliche Miete. Im Preis ist die Servicierung, sprich Spurenbeseitigung, inbegriffen.  Um weitere 395 Dollar gibt es ein Modul, das hilft, die neueste Antiviren-Software auszutricksen. »Die Angebote sind so wie in legalen Geschäftsbereichen«, berichtet Uri Rivner. »Es hat sich eine Dienstleistungsindustrie für Cyberkriminelle entwickelt.«
Weil sich die Muster angleichen, ging der Merger nicht glatt über die Bühne. In diversen Untergrundhacker-Foren häuften sich die Beschwerden darüber, dass irgendwelche prinzipienlosen Virenschreiber sich lieber neuen Geschäftsfeldern zuwenden als die bestehenden Kunden ordentlich zu betreuen. Und die Citadel-Betreiber antworteten darauf mit einem Onlineposting, das aus jeder x-beliebigen Werbebroschüre stammen könnte: »Es ist kein Geheimnis, dass die Produkte in unserem Bereich – ohne entsprechende Betreuung durch die Entwickler – schnell Müll auf Ihren Festplatten werden. Deshalb garantieren wir ständige Verbesserung ganz nach den Wünschen unserer Kunden.« Und deshalb haben die Malware-Programmierer von Citadel ein eigenes »soziales Netzwerk« eingerichtet, wie sie es scherzhaft nennen, in dem den Mitgliedern die Möglichkeiten geboten wird, Fehler zu berichten, unbegrenzt viele Applikationen einzurichten, neue Module anzufordern und über von anderen Mitgliedern eingebrachte Ideen abzustimmen.

Über Massenmails werden die Trojaner unter die Leute gebracht und so in PC-Systeme geschleust, um Passwörter, Kreditkartennummern oder sonstiges auszuspionieren. Aber die Viren werden auch eingesetzt, um ganz gezielt an Informationen zu gelangen, Betriebe und deren Geheimnisse auszuspionieren. Art Coviello, der RSA-Chef, bringt es auf den Punkt: »Die Frage ist heute nicht mehr, ob die IT-Sicherheit eines Unternehmens kompromittiert wurde. Die Frage ist nur mehr, ob man es bereits weiß oder nicht.«