Zeitbombe Internet

wenn man nicht die richtige Geheimzahl auf der Rückseite der Karte kennt. Dass man die ständig neu erfundenen Sicherheitssysteme der Kreditkarten (» 3-D-Secure«, »Chip & Pin«) ebenfalls schon umgehen kann. Der Grund? Ein irrsinnig komplexes System aus Kreditkartenfirmen, Banken, Händlern, Dienstleistern und Rechenzentren, die bei jeder Onlinetransaktion zwischengeschaltet sind.

    Â»Vielen ist gar nicht klar, wohin ihre Kreditkarteninformationen überall fließen – dass da nach dem eigentlichen Händler noch zwei bis drei Dienstleister zwischengeschaltet sind, das ist den meisten nicht bekannt«, sagt Ronny John, ein Experte bei der Sicherheitsfirma USD aus Langen. Jeder zusätzliche Schritt birgt auch ein zusätzliches Sicherheitsrisiko. Hacker lieben es, wenn verschiedene Betreiber unterschiedliche Computersysteme mit allen möglichen Schnittstellen irgendwie zusammenschalten – sie finden dann erfahrungsgemäß lauter Einfallstore. Sascha Pfeiffer von der Sicherheitsfirma Sophos fügt hinzu: »Da Sicherheit so ein sensibles Thema ist, reden Banken nicht so gern über die Schwachstellen ihrer Angebote.«
    Wohl deshalb, weil viele Menschen sich entsetzt vom Homebanking abwenden würden, wenn sie erst um all diese Schwachstellen wüssten. All die Passwörter und Sicherheitsnummern und Einmal-TAN-Nummern? »Dieses System muss man als geschlagen ansehen«, sagt Jim Woodhill, der Gründer einer Banksicherheitsfirma namens Authentify in Houston.
    Es ist nämlich so, dass Hacker mit etwas Glück und Geschick die Besucher legitimer Webseiten – etwa bei einer Onlinebank – auf ihre eigenen Seiten umlenken können. Die Besucher merken das in der Regel nicht. Wenn sie das nächste Mal eine Überweisung tätigen wollen, geben sie dann treuherzig ihre Daten für die Überweisung ein und ihre aktuell erfragte Geheimnummer, und der Computer der Bank führt dann tatsächlich eine Überweisung aus. Aber nicht an den vorgesehenen Empfänger, sondern an den Empfänger, den im Hintergrund die Hacker eingefügt haben. »Man in the Middle«-Angriff heißt so etwas in den Informatikerkreisen. Mann in der Mitte. Eine finstere, unbemerkte und unauffindbare Person irgendwo draußen im Internet.
    Herr Campana, viele Leute sagen: Der größte Schwachpunkt im Netz ist eigentlich die Microsoft-Software. Sie ist so verbreitet im Netz, dass sich alle Hacker der Welt darauf stürzen und ihre Fehler ausbeuten ...
    Â»Ja, das hört man immer wieder. Das sei ein Microsoft-Problem. Und naja, ein großer Teil der Internetbenutzer verwendet
dabei irgendein Programm von Microsoft. Aber ehrlich gesagt, machen wir uns genauso viele Sorgen um die anderen Plattformen. Das ist ein Ökosystem. Eine Windows-Maschine versendet eine Spam-Nachricht, ein Mac-Rechner leitet sie weiter, ein Linux-Benutzer bekommt die Nachricht dann. Wir sitzen in einem Boot. Das ganze Fingerzeigen ist ein bisschen altbacken. «
    Trotzdem kann man argumentieren, dass es erstmal die Verantwortung von Herstellerfirmen wie Microsoft ist, ihre Programme vor schädlichen Eindringlingen zu schützen.
    Â»Natürlich arbeiten wir zum Beispiel mit der Abteilung zusammen, die das Malicious Software Removal Tool programmiert – das ist ein Programm, das jeden Monat von Microsoft auf Windows-Rechner aufgespielt wird, um gegen die aktuell wichtigsten Sicherheitsbedrohungen vorzugehen.«
    Kürzlich ist eine technisch extrem raffinierte Schadsoftware namens »Stuxnet« aufgetreten, die angeblich im Iran Atomanlagen außer Kraft gesetzt haben soll. Die ist – soweit man es bisher weiß – an allen möglichen Sicherheitsvorkehrungen auch in Microsoft-Programmen einfach so vorbeigerauscht. Warum war das zum Beispiel möglich? Warum hat Microsoft keinen Schutz geboten?
    Â»Ja .... Da gibt es definitiv technisch sehr fortgeschrittene Bedrohungen da draußen. Schwer zu entdecken, schwer, überhaupt davon zu erfahren, und meist werden da bislang völlig unbekannte Sicherheitslücken ausgebeutet. Typischerweise werden solche Dinge ja auch nicht gegen Mama und Papa eingesetzt ... «
    Aber irgendwann sprechen sich neue »Erfindungen« in der Hackerszene herum, und dann gibt es Banden oder Einzeltäter, die sie sehr wohl gegen ganz normale Computerbenutzer einsetzen.
    Campana lacht. »Ja, die machen cut and paste.