Internetkriminalität "Phishing ist der Bankraub des 21. Jahrhunderts"
Bundeskriminalamts-Chef Jörg Ziercke: Hinterhältige Verbrechermaschen
Foto: DDPBerlin - Im vergangenen Jahr sind in Deutschland insgesamt mehr als sechs Millionen Straftaten erfasst worden. Bei gut 207.000 Delikten, in denen ermittelt wurde, machten sich die Täter die Informations- und Kommunikationstechnik des Internets zunutze - man denke etwa an die Unzahl der Warenbetrugsdelikte im Umfeld von Online-Auktionen. Immerhin 50.254 Fälle aber zählt das BKA zur "IuK-Kriminalität im engeren Sinne". Gemeint sind Fälle, bei denen das Internet quasi Tatort und Tatwaffe darstellt. Auf den ersten Blick könnte man also sagen, dass Computerkriminalität bisher kein allzu großes Problem ist.
Doch die Ermittler schlagen Alarm. "Das Internet spielt heute eine maßgebliche Rolle bei der Begehung von Straftaten", sagt der Präsident des Bundeskriminalamts (BKA), . Am Mittwoch präsentierte er in Berlin neue Zahlen.
Betrachtet man den Anstieg der Cyberkriminalität in den vergangenen Jahren, ergibt sich tatsächlich ein besorgniserregendes Bild. Von 2008 auf 2009 registrierten die Behörden einen Anstieg der Fallzahlen um mehr als 30 Prozent. Verglichen mit vor fünf Jahren habe sich die Zahl der Computerstraftaten sogar verdoppelt - im Jahr 2005 waren gerade einmal 26.650 solcher Delikte erfasst worden. "Diese Zahlen zeigen eindrucksvoll, mit welchem Phänomen, mit welchem Umfang wir es hier zu tun haben", sagt Ziercke. Er ist sich sicher: Cybercrime wird die Ermittler in Zukunft noch mehr beschäftigen.
Auch Michael Hange, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), sieht eine neue Gefährdungslage durch Cyberattacken - "in Qualität und Quantität". Ein bisschen resigniert sagt Hange: "Man kann gar nicht so viel ermitteln wie zurzeit passiert."
Ermittler hinken hinterher
Verstärkt sollen es die Täter nun auch auf die hippen Smartphones abgesehen haben. "Die Handy-Viren sind auf dem Vormarsch", lautet Zierckes Analyse. Angriffspotential böten vor allem die Apps, also die herunterladbaren Programme für moderne Mobiltelefone. Ziercke gibt an, von Apps zu wissen, die als offizielle Applikationen für Bankgeschäfte ausgegeben wurden, tatsächlich aber Trojaner waren: Vermeintlich nützliche Programme, in denen bösartige Software versteckt ist.
Das von Ziercke gemeinte Schadprogramm Droid09 hat allerdings keinerlei Schäden verursacht. Ob es wirklich je in Umlauf geriet, ist fraglich: Es soll im Dezember 2009 für kurze Zeit im Android-App-Store zum Download bereitgestanden haben. Es ist nicht bekannt, dass das Schadprogramm tatsächlich angewandt wurde. Was es tun sollte, ist dagegen klar: Die über Warez-Dienste noch immer abrufbare Software ist ein Keylogging-Trojaner, der Passwörter abfischen sollte. Damit war zumindest prinzipiell bewiesen, dass auf dem Smartphone-Markt nun ähnliche Probleme drohen könnten wie bei den PCs.
Im Kampf gegen Cybercrime hinken die Ermittler und IT-Sicherheitsexperten zwangsläufig hinterher: Sie versuchen zwar mitunter, neue Ansätze und Methoden zu antizipieren, sind ansonsten aber damit beschäftigt, Abwehrmaßnahmen gegen die jeweils neuesten Maschen zu entwickeln. "Die Täter zeigen sich höchst innovativ", erläutert Ziercke.
Zum Beispiel beim sogenannten Phishing, dem Bankraub des digitalen Zeitalters. Online-Kriminelle griffen inzwischen auch das iTan-Verfahren an, sagt Ziercke. Dabei müssen die Bankkunden für einen Online-Auftrag aus einer Liste einen nur einmalig gültigen Zahlencode eingeben, der von der Bank gezielt abgefragt wird - das soll sicherer sein. Zuvor reichte es aus, die Transaktionsnummer (TAN) willkürlich aus einer Liste auszuwählen.
Phishing ist auch ein Qualifikationsproblem
Nach einem deutlichen Rückgang explodierte die Zahl der Phishing-Delikte im vergangenen Jahr wieder - um 64 Prozent auf gut 2900 Taten. Die Schäden gehen bisher gemeinhin zu Lasten der Banken, nicht der Kunden.
Die Zeiten sind vorbei, als die Gefahr vor allem in E-Mails lauerte. Nur noch ein Drittel der Schadprogramme werde über Mails verteilt, sagt Ziercke. Dies sei Phishing aus dem Dinosaurier-Zeitalter. Mittlerweile fingen sich Internet-User die Phishing-Programme beim Besuch infizierter Webseiten ein (sogenannte Drive-by-Infektionen). Dabei müsse es sich nicht um Schmuddelseiten handeln, auch renommierte Seiten - etwa von Staaten - könnten betroffen sein.
Doch Internetnutzer sind dem Phishing längst nicht so wehrlos ausgeliefert, wie dies Ziercke darstellt: Nach wie vor ist Phishing nicht nur ein technisches, sondern vor allem ein Qualifikationsproblem. Das Gros der Fälle ließe sich durch Beherzigung einfacher Verhaltensregeln für das Internet vermeiden, wie das BSI sie auf seiner Webseite bereithält. Phishing ist nur eine Trickbetrugsmethode, bei der Betrüger versuchen, PC-Nutzer dazu zu verleiten, sich abweichend von den Regeln für das Online-Banking zu verhalten.
Wo aufwendigere Methoden wie Cross-Side-Scripting oder Man-in-the-middle-Attacken zum Unterlaufen der Banking-Sicherheit eingesetzt werden, geschieht dies entweder sehr gezielt, oder aber unter Ausnutzung von Sicherheitslücken in Programmen, meist in Browser-Software. Trojaner und Keylogger, die PC-Nutzer regelrecht ausforschen, ihr Schreiben protokollieren und weiterleiten, reichen dagegen allenfalls, um Passwörter und PIN-Nummern abzuschöpfen, die sich nicht bei jeder Nutzung verändern. Immerhin: Wer Kontodaten und PIN hat, muss durch Umleitung des Banking-Datenverkehrs nur noch eine einzige TAN abschöpfen, um zum Erfolg zu kommen.
Würden Sie bei Mails von Freunden Betrug vermuten?
Die Cyberverbrecher sind aber längst nicht nur an Bankdaten interessiert, wie Ziercke sagt. Die Täter hätten es auf alle Arten von Zugangsdaten abgesehen, mit denen sie zu Lasten Dritter vorgehen könnten - bei der Bestellung von Waren oder auch bei der Manipulation von Aktienkursen. "Nach wie vor gilt, dass erst Daten gesammelt und erst später Geschäftsmodelle entwickelt werden", sagt Ziercke.
Vorsicht ist auch in sozialen Netzwerken wie Facebook oder StudiVZ geboten. Und dabei sorgt sich BKA-Chef Ziercke weniger darum, dass Nutzer mit Party-Fotos im Profil bei potentiellen Arbeitgebern durchfallen könnten. Bei Facebook und Co. haben die Ermittler perfide Methoden zur systematischen Datenausspähung ausgemacht. "Accounts von Usern der sozialen Netzwerke werden übernommen, anschließend werden Nachrichten mit betrügerischen Absichten beziehungsweise Schadsoftware an die gesamte Freundesliste der übernommenen Accounts verschickt", erklärt Ziercke. "Würden Sie hinter einer E-Mail oder Chat-Nachricht, die augenscheinlich von einem Freund oder Familienmitglied stammt, einen hinterhältigen Betrug vermuten?"
Und die Lösung? Ziercke beschwört die Mitte der neunziger Jahre so beliebte, seitdem zurecht als reichlich schräg ausgemusterte Analogie von der "Datenautobahn" und vergleicht das Internet mit dem Straßenverkehr. So wie es für Autos Vorschriften gebe, brauche es auch im virtuellen Raum Verkehrsregeln. Die Fahnder brauchten mehr Befugnisse: Hier spannt Ziercke den Bogen zur . "Niemand käme heute auf die Idee, die Kennzeichnung am Pkw mit einem Generalverdacht gegen unschuldige Kfz-Besitzer gleichzusetzen", sagt Ziercke. Bei den Vorratsdaten dürfe es nicht anders sein.
Das Verfassungsgericht sah das bekanntlich anders und kippte die heftig umstrittene Protokollierung des kommunikativen Verhaltens aller Bürger. Die war als Umsetzung einer EU-Richtlinie eingeführt worden, die inzwischen selbst wieder auf dem Prüfstand steht. Wie Ziercke glaubt, die Urheber von Phishing-Mails, aus einer "Cloud" verseuchter Rechner agierende Botherder oder in Kasachstan sitzende Hacker, die einem deutschen Bank-Kunden per Cross-Site-Scripting die Kontrolle über das eigene Konto entreißen, durch eine Observation aller potentiellen Opfer identifizieren zu können, erklärte er nicht.
