Von Ralf Keuper

Wer die Mel­dun­gen über Hacker­an­grif­fe auf Unter­neh­men und Behör­den ver­folgt, kann schon mal zu dem Schluss kom­men, dass es sich hier­bei um eine Anhäu­fung von Ein­zel­fäl­len han­delt. Vor dem inne­ren Auge erscheint dann schnell das Bild eines ein­sa­men Hackers, der im Kel­ler sei­nes Hau­ses den gan­zen Tag vor dem Bild­schirm sitzt und irgend­wie ver­sucht, in frem­de Netz­wer­ke ein­zu­drin­gen. Hin und wie­der schei­nen auch grö­ße­re Grup­pen aktiv zu sein, die sich merk­wür­di­ge Namen geben, dann aber aus dem Blick und Inter­es­se gera­ten, bis ein neu­er Fall auf­tritt. Dass sich dahin­ter eine hoch­pro­fes­sio­nel­le Bran­che ver­birgt, die nach öko­no­mi­schen Prin­zi­pi­en han­delt und den höchst mög­li­chen Gewinn erzie­len will, geht dabei unter.

In dem Buch Under­ground Eco­no­my. Wie Cyber­kri­mi­nel­le Wirt­schaft und Staa­ten bedro­hen wird der Schlei­er gelüf­tet und der Blick auf eine Schat­ten­wirt­schaft frei­ge­ge­ben, deren Ambi­tio­nen noch lan­ge nicht gestillt sind: “Hin­ter den Erpres­ser­grup­pen, die immer mal wie­der öffent­lich­keits­wirk­sam in Erschei­nung tre­ten, ver­birgt sich ein weit­ver­zweig­tes Netz von Part­nern und Play­ern, jeder mit sei­nen eige­nen Spe­zia­lis­ten und klar defi­nier­ten Auf­ga­ben­be­rei­chen. Es gibt etwa Phis­hing-Spe­zia­lis­ten, Schad­code-Ent­wick­ler und ‑Pro­gram­mie­rer, Händ­ler von Zugangs­da­ten, Ser­vice­an­bie­ter, Finanz­dienst­leis­ter usw. Per­sön­lich ken­nen sie sich unter­ein­an­der nicht. .. Gemein­sam bil­den sie eine Schat­ten­wirt­schaft, bestehend aus einer voll­stän­di­gen Wert­schöp­fungs­ket­te: Ein­zi­ger Unter­schied zur klas­si­schen Wirt­schaft: Ihr Geschäfts­mo­dell ist auf der gan­zen Linie ille­gal”.

Mit der Zeit haben die Cyber­kri­mi­nel­len ihre Geschäfts­fel­der erwei­tert. Was einst mit pro­fa­nem Pass­wort­dieb­stahl begann, hat sich bis zu Ran­som­wa­re as a Ser­vice  oder Access as a Ser­vice ent­wi­ckelt. Bis heu­te ist der sog. Zero Day eine der ver­läss­lichs­ten Ein­nah­me­quel­len der Bran­che: “Mit die­sem Begriff ist der Tag gemeint, an dem irgend­je­mand eine Schwach­stel­le in einem Com­pu­ter­sys­tem ent­deckt. Also jener Zeit­punkt, an dem ein Anbie­ter eines Pro­gramms sel­ber davon noch kei­ne Kennt­nis hat und folg­lich noch kei­nen Tag (“Zero Day”) Zeit hat­te, die Schwach­stel­le zu schlie­ßen”. Die­se zeit­li­che Lücke – zwi­schen dem Auf­tre­ten der Lücke und dem Ein­spie­len des Sicher­heits­up­dates – machen sich die Hacker zunut­ze, wie zuletzt bei Log4J.  Dabei kön­nen die Hacker dar­auf ver­trau­en, dass in vie­len Unter­neh­men die Updates, wenn über­haupt, zeit­lich ver­zö­gert ein­ge­spielt werden.

Rela­tiv neu sind geziel­te Angrif­fe auf Lie­fer­ket­ten, wovon beson­ders IT-Dienst­leis­ter betrof­fen sind. Bei­spiel­haft dafür ist der Hacker­an­griff auf die Fidu­cia im Juni 2021. Im Zuge des Angriffs auf das Fidu­cia-Netz wur­de das Online-Ban­king zahl­rei­cher Ban­ken lahm­ge­legt, indem das Rechen­zen­trum mit Daten­an­fra­gen so lan­ge über­flu­tet wur­de, bis die Ser­ver zusam­men­bra­chen (DDoS-Atta­cke).

Die nächs­te Stu­fe ist die Kil­ler­wa­re, d.h. es geht nicht mehr um Erpres­sung, son­dern um Zer­stö­rung, der auch Men­schen zum Opfer fal­len kön­nen. Ein ers­ter mög­li­cher Fall war der Angriff auf eine Was­ser­auf­be­rei­tungs­an­la­ge in Flo­ri­da:“Die­ser Angriff hat­te zum Ziel, ver­seuch­tes Was­ser an die Bevöl­ke­rung zu ver­tei­len. … Glück­li­cher­wei­se schei­ter­te die Atta­cke”. Dar­aus folgt dann aber auch, dass es nicht mehr nur um die Gewinn­erzie­lung geht.

Beim Finanz­ma­nage­ment der Hacker-Grup­pen spie­len Bit­co­in und Mone­ro eine zen­tra­le Rol­le, um die Spur des Gel­des zu ver­wi­schen. Dabei wer­den die Trans­ak­tio­nen zwi­schen ver­schie­de­nen Kryp­to­wäh­run­gen (z.B. Bitcoin/​Monero bzw. Monero/​Bitcoin) hin und her gescho­ben. Die Zah­lung von Löse­gel­dern erfolgt mitt­ler­wei­le fast über­wie­gend mit Mone­ro, da die Ermitt­ler Bit­co­in inzwi­schen kom­plett nach­ver­fol­gen können.

Eben­falls im Kom­men ist der Online-Anla­ge­be­trug. Als Lock­mit­tel wer­den hier­bei Wer­be-Emails ver­wen­det, die sug­ge­rie­ren, Zei­tun­gen, Fern­se­hen und Finanz­por­ta­le wür­den über Pro­mi­nen­te berich­ten, “wie sie mit Bit­co­in und ande­ren Kryp­to­wäh­run­gen gro­ße Gewin­ne ein­ge­fah­ren hät­ten”. Die Nut­zer wer­den ani­miert, sich auf Pseu­do­bör­sen zu regis­trie­ren. Dar­auf­hin neh­men die Hacker, die sich als Anla­ge­be­ra­ter aus­ge­ben, direkt Kon­takt mit den Opfern auf. Die­se wer­den dazu moti­viert, ihr Geld zu inves­tie­ren, in dem Glau­ben, sie wür­den das Geld auf ihr eige­nes Kon­to auf der Tra­ding-Platt­form trans­fe­rie­ren, um dort mit ver­schie­de­nen Kryp­to­wäh­run­gen zu han­deln. Wenn die Nut­zer sich dann spä­ter ihr Geld wie­der aus­zah­len las­sen möch­ten, ist das Geld schon längst anders­wo – häu­fig in Ost­eu­ro­pa, wohin es über schlecht regu­lier­te Finanz­plät­ze wie Zypern und Mal­ta gelangt.

Die Autoren zei­gen, dass wir es schon längst mit pro­fes­sio­nell orga­ni­sier­ten Grup­pen zu tun haben, die das Poten­zi­al bestehen­der Geschäfts­fel­der bis zum Rand aus­schöp­fen und immer wie­der neue erschlie­ßen, wobei sie mit der Zeit ihre Skru­pel ver­lie­ren. Um die­ser Gefahr effek­tiv zu begeg­nen, sind Unter­neh­men, Behör­den gezwun­gen, sich eben­falls zu ver­net­zen und ent­spre­chen­des Know How auf­zu­bau­en, so noch nicht gesche­hen. Das gilt auch oder gera­de für klei­ne und mitt­le­re Unternehmen.