Datendiebstahl in den USA So lief der Millionen-Hack

Es war der bisher erfolgreichste digitale Raubzug überhaupt: Monatelang belauschte eine Gruppe von Hackern die Kommunikationskanäle mehrerer US-Unternehmen, erbeutete die Daten von mehr als 130 Millionen Kreditkarten. Der Attacke gingen aufwendige Vorbereitungen voraus.


Dass sich Straftaten wie die von Albert Gonzalez und seinen Komplizen häufen könnten, hält Erez Liebermann von der Staatsanwaltschaft von New Jersey für unwahrscheinlich. "Wir glauben nicht, dass es viele Hacker gibt, die dazu fähig sind", sagte Liebermann dem US-Magazin "Wired". Vielmehr gebe es wohl nur wenige "hochkarätige Experten", die derart gut geplante Aktionen durchführen könnten.

Der nun angeklagte Hacker Albert Gonzalez scheint einer dieser Experten zu sein. Das erkannte der US-Geheimdienst offenbar schon 2003, als der Mann zum ersten Mal wegen Datendiebstahls angeklagt wurde. Dem " Wall Street Journal" zufolge wurde Gonzalez daraufhin vom Secret Service zeitweise als Informant und freier Mitarbeiter engagiert, sollte helfen, Hacker und andere Internet-Kriminelle aufzuspüren. Offenbar nutzte der Mann aus Miami die Informationen aus diesem Nebenjob allerdings auch, um Verdächtige und Kriminelle über polizeiliche Ermittlungen zu informieren und liebte einen aufwendigen Lebensstil. Für eine Geburtstagsparty soll der 75.000 Dollar bezahlt haben. Sein Motto mit dem er in der Szene protzte: "Get rich or die trying", also "Reich werden oder bei dem Versuch sterben".

Seit August sitzt der 28-Jährige, der sich im Netz unter Pseudonymen wie "soupnazi", "Segvec" und "j4guar17" präsentiert, nun erneut in Untersuchungshaft. Dort wartet er auf seine für September angesetzte Verhandlung wegen eines ganz anderen Falles. Im Mai 2008 soll er in das Datennetz einer Restaurantkette und in die Netze mehrerer Einzelhändler eingedrungen sein und dort die Daten von 40 Millionen Kreditkarten gestohlen haben. Peanuts im Vergleich zu dem jetzt bekanntgewordenen Fall, dessen Vorgeschichte offenbar viel früher begann.

Recherche vor Ort

Den Gonzalez nun vorgeworfenen Angriffen gingen offenbar bereits 2006 eingehende Recherchen voraus. Ihre potentiellen Angriffsziele suchte Gonzalez gemeinsam mit zwei offenbar aus Russland stammenden Komplizen aus der Fortune-500-Liste der erfolgreichsten US-Unternehmen heraus. Nach welchen Kriterien sie ihre Ziele auswählten, ist unklar. Sicher ist jedoch, dass sie die Ladengeschäfte der jeweiligen Unternehmen aufsuchten, um den jeweiligen Bezahlprozess vor Ort zu studieren und die verwendeten Systeme zu identifizieren. Ebenso durchforschten sie die Websites der ausgewählten Unternehmen, um sich auch dort über deren Bezahlsysteme und -abläufe zu informieren.

Im Anschluss begannen sie damit, ihre Angriffe vorzubereiten, Schadsoftware zu schreiben. Um sicher zu gehen, dass ihre Software unentdeckt bleibt, sollen die Hacker ihre Schnüffelprogramme gegen insgesamt 20 Antivirenprogrammen getestet haben. Erst als diese die Hackersoftware als unbedenklich einstuften, wurden die eigentlichen Angriffe eingeleitet, bei denen die Software sich nach getaner Arbeit selbst löschte, um ihre Entdeckung weiter zu erschweren.

Ab dem September 2007 begannen die Hacker dann, die Netzwerke ihrer Opfer zu infiltrieren. Die Methode war offenbar immer gleich: Über eine Sicherheitslücke schleusten sie eigene Software in die Datenbanken der Unternehmen ein. Die erweiterte die von den Opfern genutzte Datenbanksprache SQL (Structured Query Language) um einige eigene Befehle. Derart in das System integriert konnten die Diebe automatisch Kreditkartennummern, Prüfziffern und Kundendaten abfragen und auf ihre eigenen Server überspielen lassen.

Hundert Millionen Buchungen pro Monat

Experten zufolge sind derartige Schwachstellen in SQL-Datenbanken durchaus vermeidbar. Heise Security etwa beschreibt Möglichkeiten, mit Hilfe von Filtern fremde Befehle auszuschließen oder gar nur bestimmte Befehlsfolgen zuzulassen. Derartige Abwehrmethoden sind allerdings teilweise schwierig umzusetzen, können die Flexibilität einer Datenbank möglicherweise einschränken. Einfacher wäre es, die Datenbank mit einem sogenannten Datenbank-Intrusion-Protection-System (DB-IPS) zu schützen. Solche Schutzsoftware erkennt nicht nur unerlaubte Befehle, sondern kann sogar feststellen, wenn plötzlich Befehle an die Datenbank übergeben werden, die zwar den Regularien entsprechen, zuvor aber noch nie verwendet worden sind.

Wären solche Schutzmechanismen in den von Gonzalez und seinen Komplizen attackierten Systemen eingesetzt worden, wäre der Datenklau wohl sehr schnell aufgefallen. So aber konnten die Hacker monatelang unentdeckt Daten abgreifen. Erst im Januar 2009 wurde das Leck bei der größten der drei angegriffenen Firmen, dem Finanzdienstleister Heartland Payment Systems, entdeckt. Nun bewahrheiten sich die Befürchtungen von Experten, die schon damals glaubten, es könnte sich dabei um den größten Fall von Kreditkarten-Datenmissbrauch in den USA handeln. Schließlich wickelt Heartland die Kreditkartenabrechnungen für 175.000 Firmen ab, führt rund hundert Millionen Buchungen pro Monat durch.

Der finanzielle Schaden hält sich trotzdem noch in Grenzen. Heartland Payment Systems zufolge sind dem Unternehmen durch den Kreditkartendiebstahl bisher Kosten in Höhe von 12,6 Millionen Dollar entstanden. Die sind allerdings nicht auf Kreditkartenmissbrauch, also Einkäufe mit den gestohlenen Kreditkartendaten, zurückzuführen. Stattdessen wurden damit Anwälte und vor allem Strafzahlungen an die Kreditkartenunternehmen Visa und Mastercard beglichen, die verständlicherweise unglücklich über den massiven Datendiebstahl sind.

mak

Mehr zum Thema


© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.