Zeitbombe Internet

Amerika, weltweit und auch in Deutschland. Jörg Ziercke, der Chef des Bundeskriminalamts (BKA), verriet kürzlich in einem Gespräch mit dem Handelsblatt : »Die Fälle nehmen rapide zu. Gab es 2009 noch rund 10.000 Fälle von Wirtschaftskriminalität, die mittels Internet begangen wurden, waren es 2010 schon rund 30.000.« Ein besonders beliebtes Ziel ist das Onlinebanking. Allein die Zahl der offiziell untersuchten und bestätigten Phishing-Fälle, bei denen Kunden geheime Kontodaten entlockt werden, ist nach BKA-Angaben 2009 auf rund 2900 gestiegen. Das VeriSign Fraud Barometer, eine von dem Sicherheitsriesen VeriSign in Auftrag gegebene Onlineumfrage, zeigte 2010, dass in den vergangenen zwölf Monaten 15 Prozent der deutschen Internetnutzer Opfer eines Onlinebetrugs geworden seien. »Die durchschnittliche Schadenssumme der Opfer stieg in den letzten zwölf Monaten von 179 auf 183 Euro pro Person«, stand ebenfalls in der Umfrage.
    Die Sicherheitsfirmen und das BKA melden neuerdings auch für Deutschland eine steigende Zahl sogenannter »Identitätsdiebstähle« – ein Problem, das aus den USA zu uns herüberkommt. In den Vereinigten Staaten sind inzwischen so viele Fälle von Identitätsdiebstahl bekannt geworden – leergeräumte Konten, missbrauchte Sozialversicherungsnummern, auf fremde Namen gekaufte Handys und gefälschte Ausweise – dass die Sache den Charakter einer nationalen Panik angenommen hat. »ID Theft« gehört in den USA zu den am häufigsten gesuchten Worten bei Google. Man kann dort Versicherungen gegen Identitätsdiebstahl abschließen, die nicht gerade billig sind: umgerechnet zehn Euro im Monat, und der Nutzen ist nicht mal garantiert. Im September 2010 musste sogar der Interpol-Generalsekretär Ronald Noble zugeben, dass seine Identität auf sozialen Netzwerkseiten gefälscht worden war – und möglicherweise habe das zum
Heraussickern geheimer Daten über Mord- und Drogenfälle geführt.
    Manche Sicherheitsexperten wie der Washingtoner IT-Guru Bruce Schneier oder der ehemalige Hacker und heutige Buchautor und Microsoft-Berater Adam Shostack üben Fundamentalkritik an ihrer eigenen Branche: Das ganze Business der Sicherheitsberater und Sicherheitsproduktverkäufer sei nicht ein Teil der Lösung, sondern ein Teil des Problems.
    Eigentlich sei es jetzt an der Zeit, ganz grundsätzlich die Netzwerke, die Konstruktion der Computer und ihren Gebrauch zu überdenken. Stattdessen würden aber immer mehr Antivirenprogramme, Firewalls und sonstige Dinge verkauft – »Sicherheitstheater«, spottet der Ex-Hacker Shostack, das der Sicherheitsbranche saftige Profite beschere. Es wiege aber die Benutzer in falsche Sicherheit und verführe sie am Ende zum Leichtsinn. Und: »Neue Sicherheitsprodukte werden häufig entwickelt, um die unbeabsichtigten Nebeneffekte früherer Sicherheitsprodukte zu kompensieren«, spottet Shostack.
    Rohrkrepierer in der Computer-Sicherheitstechnik sind jedenfalls keine Seltenheit mehr. Immer wieder macht es Schlagzeilen, wenn die Webseite oder der Internetshop großer Antivirenfirmen gehackt werden – wenn also unbekannte Hacker diese Angebote unter ihre Kontrolle bringen und, wie vereinzelt geschehen, ausgerechnet an die schutzsuchenden Besucher aus dem Internet schädliche Programme verteilen. Damit so etwas nicht zu häufig passiert, fußen viele Sicherheitsmaßnahmen heute auf sogenannten »Echtheitszertifikaten«. Das Antivirenprogramm Y und das Microsoft-Update Z wird vom Computer nur dann installiert, wenn es ein trickreich verschlüsseltes, fälschungssicheres Echtheitszertifikat mitführt. Das Onlinebanking-Programm erlaubt nur dann eine Überweisung, wenn sich die Webseite der Bank mit einem Echtheitszertifikat ausweist. Und so weiter und so fort. Ein elektronisches Äquivalent zum Dienst- oder Personalausweis sozusagen, entwickelt von Kryptografen und Informatikexperten.

    Tatsächlich sind solche Zertifikate so gut wie nicht fälschbar – aber man kann sie klauen. Sie sind zur heißen Beute für engagierte Hacker geworden. Im Februar 2011 musste das amerikanische Softwarehaus Comodo, das im Auftrag von Kunden wie Google, Microsoft oder Yahoo eine ganze Fülle solcher »Echtheitszertifikate« verwaltet und sich gerne als »ein weltweiter Bereitsteller von Vertrauen« bezeichnet, bekannt geben: