Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Internetkriminalität: "Phishing ist der Bankraub des 21. Jahrhunderts"

Von Michael Kieffer

Es geht längst nicht mehr um gefährliche E-Mails: Internetkriminelle nutzen inzwischen sehr viel perfidere Methoden, um geheime Daten auszuspähen. Noch erscheinen die Fallzahlen relativ niedrig. Doch selbst beim Chatten mit Freunden könnten bereits Cyberattacken lauern.

Bundeskriminalamts-Chef Jörg Ziercke: Hinterhältige Verbrechermaschen Zur Großansicht
DDP

Bundeskriminalamts-Chef Jörg Ziercke: Hinterhältige Verbrechermaschen

Berlin - Im vergangenen Jahr sind in Deutschland insgesamt mehr als sechs Millionen Straftaten erfasst worden. Bei gut 207.000 Delikten, in denen ermittelt wurde, machten sich die Täter die Informations- und Kommunikationstechnik des Internets zunutze - man denke etwa an die Unzahl der Warenbetrugsdelikte im Umfeld von Online-Auktionen. Immerhin 50.254 Fälle aber zählt das BKA zur "IuK-Kriminalität im engeren Sinne". Gemeint sind Fälle, bei denen das Internet quasi Tatort und Tatwaffe darstellt. Auf den ersten Blick könnte man also sagen, dass Computerkriminalität bisher kein allzu großes Problem ist.

Doch die Ermittler schlagen Alarm. "Das Internet spielt heute eine maßgebliche Rolle bei der Begehung von Straftaten", sagt der Präsident des Bundeskriminalamts (BKA), Jörg Ziercke. Am Mittwoch präsentierte er in Berlin neue Zahlen.

Betrachtet man den Anstieg der Cyberkriminalität in den vergangenen Jahren, ergibt sich tatsächlich ein besorgniserregendes Bild. Von 2008 auf 2009 registrierten die Behörden einen Anstieg der Fallzahlen um mehr als 30 Prozent. Verglichen mit vor fünf Jahren habe sich die Zahl der Computerstraftaten sogar verdoppelt - im Jahr 2005 waren gerade einmal 26.650 solcher Delikte erfasst worden. "Diese Zahlen zeigen eindrucksvoll, mit welchem Phänomen, mit welchem Umfang wir es hier zu tun haben", sagt Ziercke. Er ist sich sicher: Cybercrime wird die Ermittler in Zukunft noch mehr beschäftigen.

Auch Michael Hange, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), sieht eine neue Gefährdungslage durch Cyberattacken - "in Qualität und Quantität". Ein bisschen resigniert sagt Hange: "Man kann gar nicht so viel ermitteln wie zurzeit passiert."

Ermittler hinken hinterher

Verstärkt sollen es die Täter nun auch auf die hippen Smartphones abgesehen haben. "Die Handy-Viren sind auf dem Vormarsch", lautet Zierckes Analyse. Angriffspotential böten vor allem die Apps, also die herunterladbaren Programme für moderne Mobiltelefone. Ziercke gibt an, von Apps zu wissen, die als offizielle Applikationen für Bankgeschäfte ausgegeben wurden, tatsächlich aber Trojaner waren: Vermeintlich nützliche Programme, in denen bösartige Software versteckt ist.

Das von Ziercke gemeinte Schadprogramm Droid09 hat allerdings keinerlei Schäden verursacht. Ob es wirklich je in Umlauf geriet, ist fraglich: Es soll im Dezember 2009 für kurze Zeit im Android-App-Store zum Download bereitgestanden haben. Es ist nicht bekannt, dass das Schadprogramm tatsächlich angewandt wurde. Was es tun sollte, ist dagegen klar: Die über Warez-Dienste noch immer abrufbare Software ist ein Keylogging-Trojaner, der Passwörter abfischen sollte. Damit war zumindest prinzipiell bewiesen, dass auf dem Smartphone-Markt nun ähnliche Probleme drohen könnten wie bei den PCs.

Im Kampf gegen Cybercrime hinken die Ermittler und IT-Sicherheitsexperten zwangsläufig hinterher: Sie versuchen zwar mitunter, neue Ansätze und Methoden zu antizipieren, sind ansonsten aber damit beschäftigt, Abwehrmaßnahmen gegen die jeweils neuesten Maschen zu entwickeln. "Die Täter zeigen sich höchst innovativ", erläutert Ziercke.

Zum Beispiel beim sogenannten Phishing, dem Bankraub des digitalen Zeitalters. Online-Kriminelle griffen inzwischen auch das iTan-Verfahren an, sagt Ziercke. Dabei müssen die Bankkunden für einen Online-Auftrag aus einer Liste einen nur einmalig gültigen Zahlencode eingeben, der von der Bank gezielt abgefragt wird - das soll sicherer sein. Zuvor reichte es aus, die Transaktionsnummer (TAN) willkürlich aus einer Liste auszuwählen.

Phishing ist auch ein Qualifikationsproblem

Nach einem deutlichen Rückgang explodierte die Zahl der Phishing-Delikte im vergangenen Jahr wieder - um 64 Prozent auf gut 2900 Taten. Die Schäden gehen bisher gemeinhin zu Lasten der Banken, nicht der Kunden.

Die Zeiten sind vorbei, als die Gefahr vor allem in E-Mails lauerte. Nur noch ein Drittel der Schadprogramme werde über Mails verteilt, sagt Ziercke. Dies sei Phishing aus dem Dinosaurier-Zeitalter. Mittlerweile fingen sich Internet-User die Phishing-Programme beim Besuch infizierter Webseiten ein (sogenannte Drive-by-Infektionen). Dabei müsse es sich nicht um Schmuddelseiten handeln, auch renommierte Seiten - etwa von Staaten - könnten betroffen sein.

Doch Internetnutzer sind dem Phishing längst nicht so wehrlos ausgeliefert, wie dies Ziercke darstellt: Nach wie vor ist Phishing nicht nur ein technisches, sondern vor allem ein Qualifikationsproblem. Das Gros der Fälle ließe sich durch Beherzigung einfacher Verhaltensregeln für das Internet vermeiden, wie das BSI sie auf seiner Webseite bereithält. Phishing ist nur eine Trickbetrugsmethode, bei der Betrüger versuchen, PC-Nutzer dazu zu verleiten, sich abweichend von den Regeln für das Online-Banking zu verhalten.

Wo aufwendigere Methoden wie Cross-Side-Scripting oder Man-in-the-middle-Attacken zum Unterlaufen der Banking-Sicherheit eingesetzt werden, geschieht dies entweder sehr gezielt, oder aber unter Ausnutzung von Sicherheitslücken in Programmen, meist in Browser-Software. Trojaner und Keylogger, die PC-Nutzer regelrecht ausforschen, ihr Schreiben protokollieren und weiterleiten, reichen dagegen allenfalls, um Passwörter und PIN-Nummern abzuschöpfen, die sich nicht bei jeder Nutzung verändern. Immerhin: Wer Kontodaten und PIN hat, muss durch Umleitung des Banking-Datenverkehrs nur noch eine einzige TAN abschöpfen, um zum Erfolg zu kommen.

Würden Sie bei Mails von Freunden Betrug vermuten?

Die Cyberverbrecher sind aber längst nicht nur an Bankdaten interessiert, wie Ziercke sagt. Die Täter hätten es auf alle Arten von Zugangsdaten abgesehen, mit denen sie zu Lasten Dritter vorgehen könnten - bei der Bestellung von Waren oder auch bei der Manipulation von Aktienkursen. "Nach wie vor gilt, dass erst Daten gesammelt und erst später Geschäftsmodelle entwickelt werden", sagt Ziercke.

Vorsicht ist auch in sozialen Netzwerken wie Facebook oder StudiVZ geboten. Und dabei sorgt sich BKA-Chef Ziercke weniger darum, dass Nutzer mit Party-Fotos im Profil bei potentiellen Arbeitgebern durchfallen könnten. Bei Facebook und Co. haben die Ermittler perfide Methoden zur systematischen Datenausspähung ausgemacht. "Accounts von Usern der sozialen Netzwerke werden übernommen, anschließend werden Nachrichten mit betrügerischen Absichten beziehungsweise Schadsoftware an die gesamte Freundesliste der übernommenen Accounts verschickt", erklärt Ziercke. "Würden Sie hinter einer E-Mail oder Chat-Nachricht, die augenscheinlich von einem Freund oder Familienmitglied stammt, einen hinterhältigen Betrug vermuten?"

Und die Lösung? Ziercke beschwört die Mitte der neunziger Jahre so beliebte, seitdem zurecht als reichlich schräg ausgemusterte Analogie von der "Datenautobahn" und vergleicht das Internet mit dem Straßenverkehr. So wie es für Autos Vorschriften gebe, brauche es auch im virtuellen Raum Verkehrsregeln. Die Fahnder brauchten mehr Befugnisse: Hier spannt Ziercke den Bogen zur Vorratsdatenspeicherung. "Niemand käme heute auf die Idee, die Kennzeichnung am Pkw mit einem Generalverdacht gegen unschuldige Kfz-Besitzer gleichzusetzen", sagt Ziercke. Bei den Vorratsdaten dürfe es nicht anders sein.

Das Verfassungsgericht sah das bekanntlich anders und kippte die heftig umstrittene Protokollierung des kommunikativen Verhaltens aller Bürger. Die war als Umsetzung einer EU-Richtlinie eingeführt worden, die inzwischen selbst wieder auf dem Prüfstand steht. Wie Ziercke glaubt, die Urheber von Phishing-Mails, aus einer "Cloud" verseuchter Rechner agierende Botherder oder in Kasachstan sitzende Hacker, die einem deutschen Bank-Kunden per Cross-Site-Scripting die Kontrolle über das eigene Konto entreißen, durch eine Observation aller potentiellen Opfer identifizieren zu können, erklärte er nicht.

mit Frank Patalong

Diesen Artikel...
Forum - Diskussion über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Expertise?
christoph. 12.05.2010
Wenn ich den Ausführungen von Herrn Ziercke lausche, werde ich den Eindruck nicht los, dass es um seine Expertise zu den Themen, über die er sich ausläßt, nicht zum besten bestellt ist. Klingt vieles angelesen, wenig kompetent und auf der Höhe, siehe z.B. der Begriff "Datenautobahn". Außerdem ist es anscheinend so, dass die Äußerungen in erster Linie eine Argumentation zur Ausweitung der eigenen Befugnisse und Wichtigkeit liefern sollen, erst in zweiter Linie irgendwen informieren oder warnen.
2. Banken sind die Räuber des 21. Jahrhunderts
Wilder Eber 12.05.2010
Zitat von sysopEs geht längst nicht mehr um gefährliche E-Mails: Internet-Kriminelle nutzen inzwischen sehr viel perfidere Methoden, um geheime Daten auszuspähen. Noch erscheinen die Fallzahlen relativ niedrig. Doch selbst beim Chatten mit Freunden könnten bereits Cyberattacken lauern. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,694588,00.html
Angesichts der Milliarden Eur, die in jüngster Vergangenheit zur Stützung der Banken aufgebracht wurden, scheint mir das Hauptproblem weniger das Phishing sondern vielmehr die Banken selbst zu sein.
3. ...und wie kann man das verhindern?
Georg Schneider, 12.05.2010
Zitat von Wilder EberAngesichts der Milliarden Eur, die in jüngster Vergangenheit zur Stützung der Banken aufgebracht wurden, scheint mir das Hauptproblem weniger das Phishing sondern vielmehr die Banken selbst zu sein.
...durch eine natürliche Entwertung des Geldes. Verwesung oder Verwelkung wäre vielleicht eine Alternative.
4. Bankraub
pilucopilu 13.05.2010
Obwohl Diebstahl in meinen Augen nicht hinnehmbar ist, muss ich sagen und zugeben, wer es schafft die hochkompexen Abwehrsysteme einer Bank online zu knacken, Hut ab.Da waere eine Stelle bei Microschrott oder einer IT Firma wohl eh der auf laengere Zeit bessere Verdienst. Das hoert sich immer so einfach an, gehackt und fertig, dabei ist der Erfolg einer solchen Aktion eine echte Leistung, die sehr viel Hintergrundwissen verlangt, auch wenn ich hier die Illegalitaet nicht verteidigen moechte. Und in gerade nsolchen Zeiten in denen diese legalen Diebe mit Miliarden gestuetzt werden, kommt doch ein bissschen so ein Robin Hood Gefuehl in mir hoch, das muss ich zugeben, Mein Beitrag hier zielt auch nicht ab auf den Hack des kleinen Mannes, das ist eine Schweinerei, allerdings wenn es sich um ein Geldhaus handelt, ist eh die Rede von einem vorest virtuellen Wert, der sowieso ersattet wird. So und jetzt bitte verurteilt mich... PS ....die damit betrauten Fahnder werden diesen Leuten immer nachhaengen, auch ich bin der meinung da ist eine Menge Unwissen und Inkompetenz in deren Aeusserungen, deswegen wird ja auch eine Generalueberwachung proklamiert...um ueber die eigenen Maengel hinwegzutaeuschen...
5. Dämliche Analogie
Ronald Dae 13.05.2010
>>"Niemand käme heute auf die Idee, die Kennzeichnung am Pkw mit einem Generalverdacht gegen unschuldige Kfz-Besitzer gleichzusetzen", sagt Ziercke. Ziemlich dümmliche Argumentation. Mal wieder eine Auto-Analogie, welche so gar nicht funktioniert. Passender wäre: "Man kam auf die Idee, jedes Be- und Entsteigen des Autos umgehend mit Orts- und Zeitangabe der Behörde zu melden." Das passt schon viel besser und verdeutlicht die Brisanz. Will DAS jemand, der Auto fährt?!
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potenziell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: