Internetkriminalität "Phishing ist der Bankraub des 21. Jahrhunderts"

Es geht längst nicht mehr um gefährliche E-Mails: Internetkriminelle nutzen inzwischen sehr viel perfidere Methoden, um geheime Daten auszuspähen. Noch erscheinen die Fallzahlen relativ niedrig. Doch selbst beim Chatten mit Freunden könnten bereits Cyberattacken lauern.

Von Michael Kieffer

Bundeskriminalamts-Chef Jörg Ziercke: Hinterhältige Verbrechermaschen
DDP

Bundeskriminalamts-Chef Jörg Ziercke: Hinterhältige Verbrechermaschen


Berlin - Im vergangenen Jahr sind in Deutschland insgesamt mehr als sechs Millionen Straftaten erfasst worden. Bei gut 207.000 Delikten, in denen ermittelt wurde, machten sich die Täter die Informations- und Kommunikationstechnik des Internets zunutze - man denke etwa an die Unzahl der Warenbetrugsdelikte im Umfeld von Online-Auktionen. Immerhin 50.254 Fälle aber zählt das BKA zur "IuK-Kriminalität im engeren Sinne". Gemeint sind Fälle, bei denen das Internet quasi Tatort und Tatwaffe darstellt. Auf den ersten Blick könnte man also sagen, dass Computerkriminalität bisher kein allzu großes Problem ist.

Doch die Ermittler schlagen Alarm. "Das Internet spielt heute eine maßgebliche Rolle bei der Begehung von Straftaten", sagt der Präsident des Bundeskriminalamts (BKA), Jörg Ziercke. Am Mittwoch präsentierte er in Berlin neue Zahlen.

Betrachtet man den Anstieg der Cyberkriminalität in den vergangenen Jahren, ergibt sich tatsächlich ein besorgniserregendes Bild. Von 2008 auf 2009 registrierten die Behörden einen Anstieg der Fallzahlen um mehr als 30 Prozent. Verglichen mit vor fünf Jahren habe sich die Zahl der Computerstraftaten sogar verdoppelt - im Jahr 2005 waren gerade einmal 26.650 solcher Delikte erfasst worden. "Diese Zahlen zeigen eindrucksvoll, mit welchem Phänomen, mit welchem Umfang wir es hier zu tun haben", sagt Ziercke. Er ist sich sicher: Cybercrime wird die Ermittler in Zukunft noch mehr beschäftigen.

Auch Michael Hange, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), sieht eine neue Gefährdungslage durch Cyberattacken - "in Qualität und Quantität". Ein bisschen resigniert sagt Hange: "Man kann gar nicht so viel ermitteln wie zurzeit passiert."

Ermittler hinken hinterher

Verstärkt sollen es die Täter nun auch auf die hippen Smartphones abgesehen haben. "Die Handy-Viren sind auf dem Vormarsch", lautet Zierckes Analyse. Angriffspotential böten vor allem die Apps, also die herunterladbaren Programme für moderne Mobiltelefone. Ziercke gibt an, von Apps zu wissen, die als offizielle Applikationen für Bankgeschäfte ausgegeben wurden, tatsächlich aber Trojaner waren: Vermeintlich nützliche Programme, in denen bösartige Software versteckt ist.

Das von Ziercke gemeinte Schadprogramm Droid09 hat allerdings keinerlei Schäden verursacht. Ob es wirklich je in Umlauf geriet, ist fraglich: Es soll im Dezember 2009 für kurze Zeit im Android-App-Store zum Download bereitgestanden haben. Es ist nicht bekannt, dass das Schadprogramm tatsächlich angewandt wurde. Was es tun sollte, ist dagegen klar: Die über Warez-Dienste noch immer abrufbare Software ist ein Keylogging-Trojaner, der Passwörter abfischen sollte. Damit war zumindest prinzipiell bewiesen, dass auf dem Smartphone-Markt nun ähnliche Probleme drohen könnten wie bei den PCs.

Im Kampf gegen Cybercrime hinken die Ermittler und IT-Sicherheitsexperten zwangsläufig hinterher: Sie versuchen zwar mitunter, neue Ansätze und Methoden zu antizipieren, sind ansonsten aber damit beschäftigt, Abwehrmaßnahmen gegen die jeweils neuesten Maschen zu entwickeln. "Die Täter zeigen sich höchst innovativ", erläutert Ziercke.

Zum Beispiel beim sogenannten Phishing, dem Bankraub des digitalen Zeitalters. Online-Kriminelle griffen inzwischen auch das iTan-Verfahren an, sagt Ziercke. Dabei müssen die Bankkunden für einen Online-Auftrag aus einer Liste einen nur einmalig gültigen Zahlencode eingeben, der von der Bank gezielt abgefragt wird - das soll sicherer sein. Zuvor reichte es aus, die Transaktionsnummer (TAN) willkürlich aus einer Liste auszuwählen.

Phishing ist auch ein Qualifikationsproblem

Nach einem deutlichen Rückgang explodierte die Zahl der Phishing-Delikte im vergangenen Jahr wieder - um 64 Prozent auf gut 2900 Taten. Die Schäden gehen bisher gemeinhin zu Lasten der Banken, nicht der Kunden.

Die Zeiten sind vorbei, als die Gefahr vor allem in E-Mails lauerte. Nur noch ein Drittel der Schadprogramme werde über Mails verteilt, sagt Ziercke. Dies sei Phishing aus dem Dinosaurier-Zeitalter. Mittlerweile fingen sich Internet-User die Phishing-Programme beim Besuch infizierter Webseiten ein (sogenannte Drive-by-Infektionen). Dabei müsse es sich nicht um Schmuddelseiten handeln, auch renommierte Seiten - etwa von Staaten - könnten betroffen sein.

Doch Internetnutzer sind dem Phishing längst nicht so wehrlos ausgeliefert, wie dies Ziercke darstellt: Nach wie vor ist Phishing nicht nur ein technisches, sondern vor allem ein Qualifikationsproblem. Das Gros der Fälle ließe sich durch Beherzigung einfacher Verhaltensregeln für das Internet vermeiden, wie das BSI sie auf seiner Webseite bereithält. Phishing ist nur eine Trickbetrugsmethode, bei der Betrüger versuchen, PC-Nutzer dazu zu verleiten, sich abweichend von den Regeln für das Online-Banking zu verhalten.

Wo aufwendigere Methoden wie Cross-Side-Scripting oder Man-in-the-middle-Attacken zum Unterlaufen der Banking-Sicherheit eingesetzt werden, geschieht dies entweder sehr gezielt, oder aber unter Ausnutzung von Sicherheitslücken in Programmen, meist in Browser-Software. Trojaner und Keylogger, die PC-Nutzer regelrecht ausforschen, ihr Schreiben protokollieren und weiterleiten, reichen dagegen allenfalls, um Passwörter und PIN-Nummern abzuschöpfen, die sich nicht bei jeder Nutzung verändern. Immerhin: Wer Kontodaten und PIN hat, muss durch Umleitung des Banking-Datenverkehrs nur noch eine einzige TAN abschöpfen, um zum Erfolg zu kommen.

Würden Sie bei Mails von Freunden Betrug vermuten?

Die Cyberverbrecher sind aber längst nicht nur an Bankdaten interessiert, wie Ziercke sagt. Die Täter hätten es auf alle Arten von Zugangsdaten abgesehen, mit denen sie zu Lasten Dritter vorgehen könnten - bei der Bestellung von Waren oder auch bei der Manipulation von Aktienkursen. "Nach wie vor gilt, dass erst Daten gesammelt und erst später Geschäftsmodelle entwickelt werden", sagt Ziercke.

Vorsicht ist auch in sozialen Netzwerken wie Facebook oder StudiVZ geboten. Und dabei sorgt sich BKA-Chef Ziercke weniger darum, dass Nutzer mit Party-Fotos im Profil bei potentiellen Arbeitgebern durchfallen könnten. Bei Facebook und Co. haben die Ermittler perfide Methoden zur systematischen Datenausspähung ausgemacht. "Accounts von Usern der sozialen Netzwerke werden übernommen, anschließend werden Nachrichten mit betrügerischen Absichten beziehungsweise Schadsoftware an die gesamte Freundesliste der übernommenen Accounts verschickt", erklärt Ziercke. "Würden Sie hinter einer E-Mail oder Chat-Nachricht, die augenscheinlich von einem Freund oder Familienmitglied stammt, einen hinterhältigen Betrug vermuten?"

Und die Lösung? Ziercke beschwört die Mitte der neunziger Jahre so beliebte, seitdem zurecht als reichlich schräg ausgemusterte Analogie von der "Datenautobahn" und vergleicht das Internet mit dem Straßenverkehr. So wie es für Autos Vorschriften gebe, brauche es auch im virtuellen Raum Verkehrsregeln. Die Fahnder brauchten mehr Befugnisse: Hier spannt Ziercke den Bogen zur Vorratsdatenspeicherung. "Niemand käme heute auf die Idee, die Kennzeichnung am Pkw mit einem Generalverdacht gegen unschuldige Kfz-Besitzer gleichzusetzen", sagt Ziercke. Bei den Vorratsdaten dürfe es nicht anders sein.

Das Verfassungsgericht sah das bekanntlich anders und kippte die heftig umstrittene Protokollierung des kommunikativen Verhaltens aller Bürger. Die war als Umsetzung einer EU-Richtlinie eingeführt worden, die inzwischen selbst wieder auf dem Prüfstand steht. Wie Ziercke glaubt, die Urheber von Phishing-Mails, aus einer "Cloud" verseuchter Rechner agierende Botherder oder in Kasachstan sitzende Hacker, die einem deutschen Bank-Kunden per Cross-Site-Scripting die Kontrolle über das eigene Konto entreißen, durch eine Observation aller potentiellen Opfer identifizieren zu können, erklärte er nicht.

mit Frank Patalong

Mehr zum Thema


Forum - Diskussion über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
christoph. 12.05.2010
1. Expertise?
Wenn ich den Ausführungen von Herrn Ziercke lausche, werde ich den Eindruck nicht los, dass es um seine Expertise zu den Themen, über die er sich ausläßt, nicht zum besten bestellt ist. Klingt vieles angelesen, wenig kompetent und auf der Höhe, siehe z.B. der Begriff "Datenautobahn". Außerdem ist es anscheinend so, dass die Äußerungen in erster Linie eine Argumentation zur Ausweitung der eigenen Befugnisse und Wichtigkeit liefern sollen, erst in zweiter Linie irgendwen informieren oder warnen.
Wilder Eber 12.05.2010
2. Banken sind die Räuber des 21. Jahrhunderts
Zitat von sysopEs geht längst nicht mehr um gefährliche E-Mails: Internet-Kriminelle nutzen inzwischen sehr viel perfidere Methoden, um geheime Daten auszuspähen. Noch erscheinen die Fallzahlen relativ niedrig. Doch selbst beim Chatten mit Freunden könnten bereits Cyberattacken lauern. http://www.spiegel.de/netzwelt/netzpolitik/0,1518,694588,00.html
Angesichts der Milliarden Eur, die in jüngster Vergangenheit zur Stützung der Banken aufgebracht wurden, scheint mir das Hauptproblem weniger das Phishing sondern vielmehr die Banken selbst zu sein.
Georg Schneider, 12.05.2010
3. ...und wie kann man das verhindern?
Zitat von Wilder EberAngesichts der Milliarden Eur, die in jüngster Vergangenheit zur Stützung der Banken aufgebracht wurden, scheint mir das Hauptproblem weniger das Phishing sondern vielmehr die Banken selbst zu sein.
...durch eine natürliche Entwertung des Geldes. Verwesung oder Verwelkung wäre vielleicht eine Alternative.
pilucopilu 13.05.2010
4. Bankraub
Obwohl Diebstahl in meinen Augen nicht hinnehmbar ist, muss ich sagen und zugeben, wer es schafft die hochkompexen Abwehrsysteme einer Bank online zu knacken, Hut ab.Da waere eine Stelle bei Microschrott oder einer IT Firma wohl eh der auf laengere Zeit bessere Verdienst. Das hoert sich immer so einfach an, gehackt und fertig, dabei ist der Erfolg einer solchen Aktion eine echte Leistung, die sehr viel Hintergrundwissen verlangt, auch wenn ich hier die Illegalitaet nicht verteidigen moechte. Und in gerade nsolchen Zeiten in denen diese legalen Diebe mit Miliarden gestuetzt werden, kommt doch ein bissschen so ein Robin Hood Gefuehl in mir hoch, das muss ich zugeben, Mein Beitrag hier zielt auch nicht ab auf den Hack des kleinen Mannes, das ist eine Schweinerei, allerdings wenn es sich um ein Geldhaus handelt, ist eh die Rede von einem vorest virtuellen Wert, der sowieso ersattet wird. So und jetzt bitte verurteilt mich... PS ....die damit betrauten Fahnder werden diesen Leuten immer nachhaengen, auch ich bin der meinung da ist eine Menge Unwissen und Inkompetenz in deren Aeusserungen, deswegen wird ja auch eine Generalueberwachung proklamiert...um ueber die eigenen Maengel hinwegzutaeuschen...
Ronald Dae 13.05.2010
5. Dämliche Analogie
>>"Niemand käme heute auf die Idee, die Kennzeichnung am Pkw mit einem Generalverdacht gegen unschuldige Kfz-Besitzer gleichzusetzen", sagt Ziercke. Ziemlich dümmliche Argumentation. Mal wieder eine Auto-Analogie, welche so gar nicht funktioniert. Passender wäre: "Man kam auf die Idee, jedes Be- und Entsteigen des Autos umgehend mit Orts- und Zeitangabe der Behörde zu melden." Das passt schon viel besser und verdeutlicht die Brisanz. Will DAS jemand, der Auto fährt?!
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.