Im Jahr 2012 stahlen Kriminelle im Internet weltweit etwa 85 Millionen Identitäten und verursachten einen Schaden von 284 Milliarden Euro – Tendenz stark steigend. Und so richtig wundert das auch keinen, denn wer hat nicht schon einmal irgendwelche E-Mails von Wildfremden erhalten, die einem (meist in schlechtem oder über-formellem Englisch) vermeintliche Riesen-Chancen oder „lukrative Nebenjobs“ anbieten. Wer auf solche E-Mails antwortet, der riskiert unter Umständen, selber ausgeraubt zu werden oder sich zum ahnungslosen (und haftenden) Helfershelfer beim Beklauen anderer zu machen. Und auch Online-Banking oder Kreditkarten-Shopping sind gar nicht so sicher wie die Mehrheit vielleicht glauben mag.
Auch wenn die Meisten (vernünftigerweise) bei gewissen E-Mails gleich lächelnd den Spam-Filter aktivieren, gibt es doch immer noch genügend Unerfahrene, die manchmal vielleicht auch nur aus Neugier darauf antworten. So nach dem Motto: mal sehen, was passiert. Oder: Was kann da schon schiefgehen. Oft ergibt sich dann das Bild, dass man für den Erhalt einer unglaublich hohen Millionensumme einen verhältnismäßig geringen Betrag (einige hundert Euro) für irgendwelche Transfer- oder Bankkosten zu erbringen habe. Womit diese Masche klar ist.
Schlimmer ist es, bei einem vermeintlich „lukrativen Nebenjob“ das eigene Bankkonto für Geldtransfers zur Verfügung zu stellen. Wenn dann die ersten vier- bis sechstausend Euro tatsächlich eingehen (von denen man satte 20 Prozent einbehalten darf und den Rest per Western Union ins Ausland zu verschicken hat), glaubt man kurzzeitig vielleicht wirklich an einen fantastischen Nebenjob – bis dann plötzlich das eigene Konto gesperrt ist und bei persönlicher Nachfrage in der Bankfiliale die Polizei erscheint. Dann wird auch diese Masche langsam klar – allerdings mit Folgeschäden, da sich die über Phishing oder Identitätsdiebstahl (via Online-Banking) beklauten Geschädigten nun an den in Deutschland gemeldeten Helfershelfer halten, der in Zivilgerichtsprozessen zu Entschädigungszahlungen verurteilt werden kann. Grundsätzlich sollte man daher immer dann stutzig werden, wenn der so verheißungsvoll klingende Nebenjob etwas damit zu tun hat, dass man sein Konto für Transferzahlungen zur Verfügung oder ein neues Konto (für den „Job“) eröffnen soll. Wer das macht, ist im Jargon der Täter ein „Money Mule“ (Geldesel) und sorgt unwissentlich mit dafür, dass die eigentlichen Strippenzieher auch weiterhin im Dunkeln bleiben.
Und das ist nur ein Geschäftsfeld der organisierten Internetkriminalität. Dazu gibt es noch den riesigen und ständig wachsenden Bereich der Industriespionage – zwei Drittel der deutschen Unternehmen verloren dadurch bereits sensible Firmengeheimnisse bzw. teuer erkaufte Forschungsergebnisse. Damit steht Deutschland in Sachen Industriespionageopfer auf Platz 2 – hinter den USA und noch vor Frankreich. FBI-Experte J. Keith Mularski erklärte in einem ARD-Interview: „Es hat sich mittlerweile eine ganz neue Art der organisierten Internetkriminalität entwickelt – weltweit gibt es immer mehr Gruppen, die sich untereinander vernetzen, zusammenarbeiten und gemeinsam ihre Angriffsziele planen.“
Aber auch was uns (die so genannten „Endverbraucher“) betrifft, gibt es noch viele weitere Möglichkeiten, aus Gutgläubigkeit, Unwissenheit oder Gier eine Menge Profit zu schlagen. Eine der verbreitetsten Methoden ist das so genannte „Phishing“ – das Opfer wird zunächst auf eine falsche (aber absolut identisch aussehende) Online-Banking-Internetseite gelockt und gibt hier ahnungslos seine Kontonummer, seinen Zugangscode und unter Umständen auch noch weitere sensible Daten ein, die es den Tätern daraufhin ermöglichen, Geld vom Konto des Opfers abzubuchen oder direkt zu überweisen.
Die Anzahl der in Deutschland polizeilich registrierten Fälle von „Phishing“ stieg von 2.923 Fällen im Jahr 2009 auf 6.422 Fälle im Jahr 2011; im letzten Jahr wurde sogar die 10.000er-Marke geknackt. Der damit registrierte finanzielle Phishing-Schaden wuchs von 11,7 Millionen (2009) auf 25,7 Millionen (2011) und weiter auf über 33 Millionen im letzten Jahr. Immerhin bluten in den meisten Fällen dabei die Versicherungen und Banken und nicht die Kontoinhaber, da (wenn dem Kunden keine Fahrlässigkeit nachgewiesen werden kann) diese den entstandenen Schaden in der Regel erstattet kriegen.
Es kann aber auch ganz anders kommen – zum Beispiel so: Im Dezember 2007 stürmte ein Sonderkommando der bayerischen Polizei die Wohnung des (völlig ahnungslosen) Hans P. – ganz ohne Vorankündigung oder auch nur ein freundliches Klingeln. Sükrü Uslucan (der Rechtsanwalt von Hans P.) erklärte den Vorfall später so: „Mein Mandant war von der Arbeit heimgekommen und ahnte nichts Böses, als es plötzlich laut an der Tür klopfte und so eine Horde starker SEK-Leute die Wohnung stürmten, während mein Mandant aus allen Wolken fiel und gar nicht wusste, wie ihm geschah.“
Die Polizeibeamten beschlagnahmten Computer, CDs und persönliche Unterlagen – erst später wird der Grund für diese Aktion klar: Schon vier Jahre zuvor war es zu einem Missbrauch von Hans P.ʼs Kreditkarte gekommen. 2003 hatte ein englischer Täter etwa 6.000 Kreditkarten-Daten ausgespäht und für den Besuch von Internetseiten mit Kinderpornografie benutzt. So erklärte sich dann auch der rüde Einsatz des SEKʼs, welches glaubte, hier einen Kinderschänder zu stellen. Die daraufhin akribisch ermittelnde Staatsanwaltschaft musste letztendlich zur Kenntnis nehmen und eingestehen, dass Hans P. selbst nie irgendwelche Kinderpornoseiten besucht hat – das Verfahren wurde schließlich eingestellt. In England wurde etwa ein Jahr darauf der wahre Täter geschnappt – auch wenn das bei Internetkriminellen eher eine Ausnahme darstellt. Hans P. hatte nun aber nichtsdestotrotz bereits seine Arbeit und auch das Sorgerecht für seinen kleinen Sohn verloren. Denn ein „Restverdacht“ blieb und isolierte den unschuldig Angeklagten in seinem sozialen Umfeld so sehr, dass dieser schließlich keine andere Möglichkeit mehr sah, als sein gewohntes Leben komplett aufzugeben und weit weg in eine andere Stadt zu ziehen.
Bis heute kämpft Hans P. vor Gericht um das Sorgerecht und Entschädigungen – ob er damit Erfolg haben wird, ist derzeit noch völlig unklar.
Moderne Schadsoftware lässt sich heute ganz beliebig umbenennen und versenden – so wird zum Beispiel aus einer Datei wie zum Beispiel „trojaner.exe“ ganz einfach eine „Facebook Warnung.pdf“, die dann unter falscher Identität von vermeintlichen Freunden verschickt und dann auch gelegentlich angeklickt wird. Wenn das geschieht, zeigt der Rechner eine Fehlermeldung an (da es sich ja hier gar nicht um ein PDF-Dokument handelt) und ist damit infiziert. Die nun installierte Schadsoftware vergräbt sich tief im Windows-System und lässt sich hier kaum noch identifizieren – geschweige denn entfernen. Nun kann der Täter von jedem Ort der Welt mit Internetanschluss aus verfolgen, was das Opfer gerade online macht. Sobald das Opfer sich in sein E-Mail-Konto, in soziale Accounts oder zum Online-Banking einloggt, werden alle Namen, Daten und Passwörter registriert und gespeichert. So verfügt der Täter innerhalb kürzester Zeit über viele persönliche Daten für den digitalen Identitätsdiebstahl und kann dazu auch noch in Echtzeit die Privatsphäre des Opfers ausspähen – er liest mit, wenn E-Mails geschrieben werden und kann sogar auf integrierte bzw. installierte Webcams und Mikrofone zugreifen. Das können natürlich auch alle halbwegs modernen Geheimdienste – und zwar ganz legal, denn die Lizenzen zum Abhören werden weltweit generös verteilt. Nur an der (Internet-)Verbrechensaufklärung hapert es ganz gewaltig.
In Dublin betreibt die weltweit tätige Sicherheitsfirma „Symantec“ ein hochmodernes Zentrum, um aktuelle Schadsoftware aufzuspüren. 240.000 Sensoren in über 200 Ländern sowie 180 Millionen Systeme sind dafür mittlerweile weltweit vernetzt. Orla Cox, Sicherheits-Managerin bei „Symantec“, erklärt, was damit Tag für Tag gefunden wird: „Täglich entdecken wir etwa 15.000 neue Bedrohungen – diese Menge können Menschen alleine gar nicht beobachten und auswerten. Deshalb haben wir Systeme zur automatischen Analyse von Schadsoftware entwickelt.“
2011 entdeckten die Dubliner Spezialisten 403 Millionen verschiedene Schad-Codes und verhinderten 5,5 Billionen Attacken von Schad-Programmen – wenn nötig, wurden auch FBI oder BKA verständigt. Jährlich führt „Symantec“ eine „Bedrohungsstudie“ durch – die Ergebnisse sind alarmierend: „Was sich in diesem Jahr erneut herauskristallisiert hat, ist ein drastischer Anstieg von Cyber-Attacken. Im Vergleich zum Vorjahr gab es über 81 Prozent mehr Cyber-Angriffe auf Identitätsdaten. Es gibt in etwa eine Million neue Delikte und insgesamt etwa 85 Millionen gestohlene Identitäten. Tatsächlich gibt es da draußen nach wie vor eine ganze Menge Informationen abzustauben.“ (Orla Cox)
Deutschland trifft es besonders hart, denn es war – was bösartige Software betrifft – in den letzten Jahren die unangefochtene Nummer Eins in Europa und wird diesen Spitzenplatz wohl auch weiterhin behaupten. Der Schaden beläuft sich mittlerweile auf über 24 Milliarden Euro jährlich – ein nicht ganz unerheblicher Betrag, den Deutschland da an gut organisierte Internetkriminelle aus aller Welt verliert. Denn für die Hacker und ihre Auftraggeber gibt es schon längst keine Grenzen mehr – sie überspringen Kontinente einfach per Mausklick. Dabei stehen immer mehr Banken, große Unternehmen und Regierungsbehörden auf dem Wunschzettel der Cyber-Kriminellen, da hier viel mehr zu holen ist als bei ahnungslosen und immer ärmer werdenden „Endverbrauchern“.
Natürlich vernetzen sich mittlerweile auch die Fahnder global – wenn das BKA der „National Cyber-Forensics & Training Alliance“ des amerikanischen FBI in Pittsburgh einen Besuch abstattet, dann treffen sie hier die Spitzen von Privatwirtschaft und Regierungsunternehmen, um gemeinsam den rasanten Zuwachs der digitalen Schattenwirtschaft (auch „Underground Economy“ genannt) zu stoppen. Die meisten Geschäfte werden in geheimen Internetforen angebahnt – die Webseiten werden von so genannten „kugelsicheren Hosting-Providern“ geführt, die alle zwei bis drei Minuten das Land wechseln, in dem sie gemeldet sind. In diesen einschlägigen Chatrooms tauscht man auch neuste Schadsoftware und bringt sich gegenseitig auf den aktuellen Stand der Technik. „Problemlösung“ als Gemeinschaftssport – schließlich gibt es für jede gewünschte Attacke auch gleich die passende Ware im Angebot. Und falls nicht, dann wird sie fix entwickelt.
In solche versteckten Chat Foren einzudringen, bedeutet für Kriminalbeamte jahrelange mühsame Arbeit – dementsprechend selten gelingt es den Ermittlern dann tatsächlich mal, einen illegalen digitalen Marktplatz auffliegen zu lassen. Das gelingt eigentlich nur, wenn die Hacker Fehler machen, und das passiert sehr selten. Und so finden in den verborgenen Chatrooms auch nie irgendwelche konkreten Deals statt – es handelt sich hierbei „lediglich“ um Kontaktbörsen, auf der die Profis auch noch gewisse Codes für ihre illegalen Software-Angebote verwenden. So kommen sie mit möglichen Kunden in Kontakt, und wenn sie so einen Interessenten finden, dann verlassen Käufer und Verkäufer stets umgehend den Chatroom (wo Ermittler vielleicht noch irgendetwas mitkriegen könnten) und verhandeln nur noch ganz direkt miteinander – zum Beispiel über Skype. So bleiben die Hacker fast immer unter dem Radar der Fahnder, obwohl ihre Software-Angebote durchaus bekannt sind – dafür wird in einschlägigen Kreisen sogar Werbung geschaltet und es gibt (ähnlich wie bei eBay oder Amazon) auch ein Bewertungssystem, welches erlaubt, Rückschlüsse auf die Qualität der angebotenen Spitzelprogramme zu schließen. Aber nicht nur jede Art von Schadsoftware wird versteckt gehandelt – auch und vor allem bereits ausgespähte Daten werden verkauft. Meist sind das Kreditkartendaten, die (abhängig davon, ob man auch die Geburts- und weitere Daten dazu haben will) zwischen 10 und 35 Euro pro Datensatz kosten. Bei höheren Abnahmemengen gibt es natürlich auch auf dem Schwarzmarkt ordentlich Rabatt – bezahlt wird hier meistens mit „new cash“, einer Art Internetwährung.
In einem Punkt sind sich alle einig: Die „Underground Economy“ boomt. Inzwischen soll es in Ländern wie Bulgarien oder Russland regelrechte Hacker-Camps für die Fortbildung der Branche geben. Hier ist Ottonormalverbraucher als mögliches Opfer auch noch lange nicht abgeschrieben – man lernt zum Beispiel Online-Shops zu imitieren, auf denen man aktuelle Produkte unschlagbar günstig (aber nur gegen Vorkasse) anbietet und kriegt Tipps, wie man sich am besten die dazu nötigen „Money Mules“ beschafft. Dazu erhält man auch noch die modernste Schadsoftware – kann man sich da überhaupt noch effektiv gegen Diebstahl und Betrug im Internet schützen?
Einer, der es wissen sollte, ist Kriminalhauptkommissar Mirko Manske. Der „Sachgebietsleiter für operative Auswertung im Bereich Cyber-Crime“ beim BKA Wiesbaden gilt als einer der führenden deutschen Experten im Bereich Internetkriminalität. Und er gab unlängst zu: „In den letzten fünf Jahren habe ich insgesamt vier neue Kreditkarten bekommen. Der letzte Fall von Kreditkartenmissbrauch ist bei mir selbst erst ein paar Wochen her. Insofern kann man sagen, dass da niemand so richtig gefeit vor ist – das passiert heute einfach.“
So ist das also.
Das passiert heute einfach.
Hoffen wir, dass es nicht uns passiert.
Wenn es uns nicht schon längst passiert ist.