Internetkriminalität: Gefahr aus dem Netz

Kriminelle nutzen das Internet als Waffe. Sie spionieren Unternehmen aus, sabotieren und erpressen. Auch ausländische Geheimdienste sind involviert, sich zu schützen ist schwierig

Plötzlich ging nichts mehr. Kriminelle hatten die Webkameras eines Online-Kasinos gekapert, mit deren Hilfe sich eigentlich zahlende Kunden am Glücksspiel beteiligen sollten. Einen Tag lang hielten sie die Kameras besetzt, um das Unternehmen zu erpressen. Durch die ausgefallenen Einnahmen entstand den Betreibern ein Millionenschaden.

Die Zahl solcher Erpressungsfälle im Internet wächst, sagt ein Fachmann für IT-Sicherheit und Internetkriminalität, der ungenannt bleiben möchte. Zu den Opfern gehören Wechselstuben, Finanzdienstleister und Wettbüros. Eine andere Form von Netzkriminalität ist die Spionage. Unter illegalen Spähern besonders begehrt sind die sensiblen Daten von High-Tech-Unternehmen, beispielsweise aus der Wind- und Solarenergie-Branche, und von Design-Markenherstellern.

Für die deutsche Wirtschaft bedeuten Erpressung und Spionage über das Internet eine große Gefahr. Einer Umfrage der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) zufolge bedrohen solche Delikte die Unternehmen noch mehr als Produktpiraterie, Diebstahl, Korruption oder Terrorismus. Von den 208 befragten Firmen gaben rund 80 Prozent an, in den vergangenen zwei Jahren Opfer von Angriffen durch Hacker geworden zu sein. Auftraggeber sind ausländische Konkurrenten, die teure Entwicklungskosten sparen wollen und zu diesem Zweck geheime Geschäftsdaten ausspionieren lassen, oder Mitglieder der organisierten Kriminalität.

Die Methoden sind vielfältig. Häufig kombinieren die Täter verschiedene Techniken, in der Hoffnung, dass wenigstens eine zum Ziel führt. Sie suchen nach Sicherheitslücken, die ihnen den Zugang zu Firmennetzwerken oder Webservern eröffnen, und füttern die Computer dann mit Trojanern. Das sind Programme, die als nützliche Anwendung getarnt sind, im Verborgenen aber eine weitere, für den Anwender schädliche Funktion ausführen. Sie installieren zum Beispiel Spionagesoftware oder Programme, die es Kriminellen erlauben, den Rechner aus der Ferne zu steuern, oder sie blenden schlicht unerwünschte Werbung ein.

Manche Hacker schicken den Trojaner einfach als E-Mail-Anhang. Andere installieren im Rechnersystem, in das sie heimlich eingedrungen sind, sogenannte Rootkits. Das sind Programme, die Prozesse und Dateien verstecken, Hintertüren für künftige Zugriffe öffnen und Daten abgreifen können. Selbst ohne Profi-Hackerkenntnisse kann man solche Schadsoftware leicht programmieren. "Im Internet gibt es unzählige Blaupausen für Trojaner und Viren. Die muss man für den jeweiligen Angriff nur anpassen", sagt Magnus Kalkuhl, Virenanalytiker bei Kaspersky Lab, einem führenden Hersteller von Anti-Viren-Software.

Führt technische Finesse nicht zum Ziel, versuchen die Spione, menschliche Unachtsamkeiten auszunutzen. Selbst die dreiste Methode, mit Schadsoftware infizierte CD-ROMs oder präparierte USB-Sticks auf dem Firmengelände liegen zu lassen, kann zum Erfolg führen. Sobald ein neugieriger Mitarbeiter die Datenträger in seinen Computer einlegt, hat er dem Eindringling den Zugang ins Unternehmensnetz eröffnet. "In über 90 Prozent der Fälle kann man einen Rechner per USB-Stick infizieren, ohne das Passwort zu kennen", schätzt Kaspersky-Mann Kalkuhl.

Bleiben die wahllos verstreuten Datenträger aber unbeachtet, greift vielleicht eine schmierigere Variante: "Man freundet sich mit der Chefsekretärin an und gibt ihr einen USB-Stick mit dem Tipp 'Damit kannst du was ausdrucken'. In Wahrheit befindet sich ein Schadprogramm darauf", sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) .

Oder die Spione üben sich im "Social Engineering", wie es im Jargon genannt wird. "Auf vielen Websites von Unternehmen findet man deren Geschäftspartner. Die Angreifer besorgen sich Mailadressen, die vorgeben, von diesen Partnern zu stammen", erklärt Christoph Fischer, Geschäftsführer von BFK edv-consulting, einem Unternehmen, das Hilfe "bei Notfällen wie Hacking, Industriespionage und Sabotage" verspricht. Durch Mails, die von einem vermeintlich bekannten Absender kommen, erhält der Absender leichter das Vertrauen des Adressaten, kann Informationen auskundschaften oder erschließt sich vielleicht doch noch einen Zugang zum Firmennetz.

Inzwischen gibt es einen florierenden grauen Markt mit Schadsoftware, die über Internet-Foren verkauft wird. Auch Mitglieder des Chaos Computer Clubs (CCC) seien schon gebeten worden, solche Software zu programmieren, sagt die CCC-Pressesprecherin Constanze Kurz.

Nicht immer interessieren sich die Angreifer aber für die Geschäftsgeheimnisse der attackierten Firmen. Geht es ihnen nur darum, einen Konkurrenten zu schädigen oder ein Unternehmen zu erpressen, reiten sie sogenannte Denial-of-Service-Attacken, das heißt, sie bombardieren die Server ihres Opfers mit einer solch hohen Zahl von Anfragen, dass diese unter der Last zusammenbrechen. So erging es auch der Seite www.computerbetrug.de , deren Betreiber Heiko Rittelmeier über diverse Gefahren im Internet aufklärt und den Usern erklärt, wie sie sich schützen können.

Die Angreifer legten seine Seite durch einen massiven Denial-of-Service-Angriff lahm, den sie über sogenannte Botnetze steuerten, also Netzwerke infizierter Computer, deren Nutzer den Missbrauch nicht einmal bemerken müssen. Nach Angaben von Microsoft-Pressesprecher Thomas Baumgärtner sind Botnetze mit 40.000 Rechnern für 400 Euro auf dem grauen Markt erhältlich. Wer solche Netze steuert, ist kaum herauszufinden. Die Hintermänner werden deshalb nur selten gefasst. Überhaupt sei es "extrem schwierig, gerichtlich verwertbare Beweise zu ermitteln", sagt DoS-Opfer Rittelmeier.

Bis eine Firma bemerkt, dass sie Opfer von Internet-Angriffen geworden ist, dauert es häufig Monate. Und trotz spektakulärer Fälle - der Handyhersteller Ericsson wurde ausspioniert, die Computernetze von mit Volkswagen und BMW verbundenen Autoimporteuren durch den besonders flexiblen und gefährlichen Trojaner "Pinka" infiziert - erfährt es die Öffentlichkeit nur selten, wenn ein Unternehmen durch Spionage oder Erpressung geschädigt wird. Zu groß ist die Furcht der Firmen vor einem Imageschaden. Zudem haften Vorstände und Geschäftsführer persönlich, falls ihnen Versäumnisse in der IT-Sicherheit nachzuweisen sind. Verliert das Unternehmen durch ihr Verschulden Kundendaten, drohen gar strafrechtliche Folgen. Viele bringen ihren Fall also gar nicht zur Anzeige.

Amtliche Statistiken über das finanzielle Ausmaß der angerichteten Schäden gibt es deshalb keine, auch Schätzungen sind kaum zuverlässig. Dennoch sind sich die Experten einig, dass die Zahl gezielter Attacken auf die Computernetze einzelner Unternehmen stark steigt. Als offenes Geheimnis gilt unter ihnen auch, dass die Angriffe häufig aus osteuropäischen Staaten wie Russland und der Ukraine kommen. Der Vizepräsident des Bundesamts für Verfassungsschutz, Hans Remberg, warnte besonders vor Hackerangriffen zu Zwecken der Wirtschaftsspionage aus China.

Die Nachrichtendienste vieler Staaten, darunter auch einige aus westlichen Ländern, verfolgen offen den Zweck, ihre heimischen Unternehmen gezielt mit Informationen zu versorgen, die ihnen im harten internationalen Wettbewerb Vorteile verschaffen. Manche ausländische Dienste verwendeten rund die Hälfte ihrer Gelder für diesen Zweck, sagt der ASW-Vorsitzende Thomas Menk. Die Kapazitäten der deutschen Behörden hingegen entsprächen nicht der wachsenden Bedrohung.

Der deutsche Verfassungsschutz nämlich darf deutsche Firmen nur verteidigen - und nur gegen Wirtschaftsspionage durch ausländische Geheimdienste, nicht aber gegen jene durch die private Konkurrenz.