Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

Breuninger, der wegen wichtiger Termine in München geblieben ist, schicken Sie eine Kopie der E-Mail in CC . Dann weiß er gleich Bescheid.»
    Die Kollegin fand die Geschichte glaubhaft und war schließlich von der Echtheit des Anrufers überzeugt. Sie schickte das globale Adressverzeichnis an die hinterlegte E-Mail-Anschrift. Wie sich später herausstellte, war das ein Fehler. Den Mitarbeiter in München gab es tatsächlich, nur besaß er gar kein Konto auf Facebook. Der Angreifer hatte sich einfach unter dem Namen des Mitarbeiters ein Account zugelegt. Alle Daten, die der Angreifer für das fiktive Facebook-Profil benötigte, fand er im Netz und auf der Unternehmenswebsite.
    Die Firma lernte aus dem Vorfall und warnte alle Mitarbeiter per E-Mail und informierte über die Masche des Angreifers, mit der er versuchte, an interne Informationen heranzukommen. Wozu die Angreifer die Daten gebrauchen konnten, ist bis heute ungeklärt. Wie gesagt, bis heute.
     
    Den Versuch, an vertrauliche Daten zu gelangen, gibt es nicht erst, seitdem der Begriff «Social-Engineering» existiert. Immerhin wird, wie schon gesagt, Spionage als zweitältestes Gewerbe der Welt angesehen. Und Nachrichtendienste sind Experten, was das betrifft. Ebenso wenig hacken Kriminelle nicht erst seit dem Winter 2012 Kreditkartendaten oder Bankautomaten, sondern seitdem elektronische Bezahlsysteme im Einsatz sind. Dabei ist es nicht so, dass die Systeme ohne Sicherheitsvorkehrungen betrieben werden. Im Gegenteil: Die Experten denken jedes Mal, sie hätten sich etwas extrem Sicheres einfallen lassen. Dennoch wurden die Systeme immer wieder geknackt. Geld ist eben ein sehr großer Innovationstreiber für Angreifer.
    Möchte man mehr über Kriminelle, ihre Taten und ihren Wirkungskreis wissen, lohnt in aller Regel ein Blick in die jährlich veröffentlichte Polizeiliche Kriminalstatistik ( PKS ). Die hat für das Jahr 2012 einen bundesweiten Anstieg im Bereich Cyber-Kriminalität um 7 , 5  Prozent registriert. Die unerkannten Angriffe umfasst diese Statistik leider nicht. Außerdem finden nur die Tatvorgänge Eingang in die Statistik, die ihren Ursprung in Deutschland haben. Die Aussagekraft der PKS ist demnach recht gering, denn der überwiegende Teil der Angriffe kommt aus dem Ausland – und nur die wenigsten Angriffe werden bei den Polizeidienststellen überhaupt zur Anzeige gebracht. Gerade bei Cyber-Delikten sind das zwei grundlegende Probleme. Aber immerhin existieren für diesen Kriminalitätssektor überhaupt Statistiken und Studien. Und die Höhe der Schadenssummen liefert zumindest einen Anhaltspunkt über die Dimension des Problems. Für das Jahr 2011 belegt das Bundeskriminalamt ( BKA ) mit seinem Lagebild die polizeilich registrierte Schadenshöhe von über 71  Millionen Euro. Wie gesagt, nur von Taten, von denen man erfahren hat und die ihren Ursprung in Deutschland hatten. Übrigens ist das eine Summe, die sich seit 2007 bereits mehr als verdoppelt hat. Die Studie der Wirtschaftsprüfungsgesellschaft KPMG zur elektronischen Kriminalität, die sogenannte e-Crime-Studie von 2010 , untermalt diese enorm hohen Schäden der deutschen Wirtschaft.
    Alle Untersuchungen zeigen allerdings nur die Auswirkungen von Cyber-Crime auf, sie sagen wenig darüber aus, wie Angreifer vorgehen, noch bieten sie eine Art Erkenntnisaustausch für die Betroffenen. Kreditkartendaten spielen im breiten Spektrum der Cyber-Kriminalität einzig eine Teilrolle. Andere Delikte wie Schutzgelderpressung sind ebenfalls probate Mittel, um schnell an Geld zu kommen. In der realen Welt setzen Banden Ladenbesitzer unter Druck und garantieren durch ein monatliches Entgelt, dass dem Kiosk, Geschäft oder Restaurant und seinem Betreiber nichts zustößt. Das Angebot ist eindeutig. Weigert sich der zukünftige «Kunde», wird so lange demoliert, geprügelt oder schikaniert, bis er sich beugt und bezahlt. Im Internet funktioniert das Ganze ähnlich. Anbieter von Webshops werden mittels einer DD os-Attacke lahmgelegt. Schon bald meldet sich eine Person bei dem Betreiber des Geschäfts und fordert einen kleinen Betrag ein (oft in einem kleinen dreistelligen Bereich). Nach der Zahlung funktioniert alles wie von Geisterhand. Gegen ein monatliches Entgelt würde man das Opfer vor den Tätern in Zukunft schützen. Oder man dringt in das Computersystem des Opfers ein und kopiert sämtliche Kundendaten. Klassische Erpressung in digitalen Zeiten. Die Angreifer fordern jetzt ein nicht