Hostettler/Cornelius Underground Economy - Wie Cyberkriminelle Wirtschaft und Staaten bedrohen

Page 1

Die Autoren berichten über Diskussionen in geschlossenen Foren und zeigen, vor welchen existenziellen Problemen gehackte Unternehmen stehen. Sie sprechen mit Cybercrime-Ermittlern und geben Hinweise, wie man Hackerangriffe erkennen und abwehren kann. Sie machen aber auch deutlich, wie einfach Cyberkriminelle im Untergrund ihre illegalen Infrastrukturen und Businessmodelle am Laufen halten können.

UNDERGROUND ECONOMY

Täglich erreichen uns Meldungen über Hackerbanden, die in Unter­ nehmen, Spitäler und staatliche Institutionen eindringen, deren Daten ­verschlüsseln und damit Millionenbeträge erpressen. Der S ­ chweizer Journalist Otto Hostettler und der deutsche Threat-Intelligence-­ Spezialist Abdelkader Cornelius zeichnen in Underground Economy das erschreckende Bild einer weltweit operierenden und bestens orga­ nisierten Industrie von Cyberkriminellen. Die Angriffe werden immer ­aggressiver, die Erpresser verlangen immer höhere Summen und ­schrecken nicht mehr davor zurück, Hardware und Produktionsprozesse von Unternehmen zu manipulieren, lahmzulegen oder gar zu zerstören.

Otto Hostettler · Abdelkader Cornelius

Underground Economy ist eine packende Schilderung der besorgnis­ erregenden Entwicklung der Hackerszene zu einer skrupellosen und hochprofitablen Industrie, die für Wirtschaftsunternehmen und Staaten zu einer ernsthaften Bedrohung geworden ist. Cyberkriminalität on demand.

Otto Hostettler Abdelkader Cornelius

UNDERGROUND

ECONOMY Wie Cyberkriminelle Wirtschaft und Staaten bedrohen

ISBN I S B N978-3-907291-67-2 978-3-907291-67-2 9

783907 291672

www.nzz-libro.ch www.nzz-libro.de

NZZ_Libro_Underground Economy_Bezug_CC21_final.indd Alle Seiten

14.04.22 11:50


4_Hostettler_Economy.indd 1

14.04.22 14:53


Otto Hostettler Abdelkader Cornelius

UNDERGROUND

ECONOMY Wie Cyberkriminelle Wirtschaft und Staaten bedrohen

4_Hostettler_Economy.indd 3

14.04.22 14:53


Der Verlag dankt für die finanzielle Unterstützung:

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

© 2022 NZZ Libro, Schwabe Verlagsgruppe AG, Basel Lektorat: Karin Schneuwly, Zürich Umschlaggestaltung: Weiß-Freiburg GmbH, Freiburg i. B. Infografiken: Andrea Klaiber, Zürich Gestaltung, Satz: Gaby Michel, Hamburg Druck, Einband: Offizin Scheufele Druck und Medien GmbH + Co. KG, Stuttgart www.scheufele.de

Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung dieses Werks oder von Teilen dieses Werks ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des ­Ur­heber­rechtsgesetzes in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich ver­ gütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechts. ISBN Print 978-3-907291-67-2 ISBN E-Book 978-3-907291-68-9

www.nzz-libro.ch NZZ Libro ist ein Imprint der Schwabe Verlagsgruppe AG.

4_Hostettler_Economy.indd 4

14.04.22 14:53


Inhaltsverzeichnis

Vorwort

7

1

Phreaking, Skript Kiddies, Cracker: wie Hacking zum Geschäft wurde 11 2 Ein Cyber-Tsunami – der unheimliche Raubzug auf die Wirtschaft 27 3 Erpressen und Zerstören: skrupellose Täter und hilflose Opfer 49 4 Dramatischer Anstieg der finanziellen Schäden 67 5 Die Kriminellen operieren wie internationale Konzerne 77 6 «Es ist keine Arbeit, es ist unser Hobby» 93 7 Anarchisten, Erpresserbanden und staatliche Akteure 101 8 Most wanted: Maksime Yakubets 123 9 Im Schatten von Ransomware – DDoS, Remote-Access-Trojaner, CEO-Fraud 131 10 Nach Jahren der Schockstarre: Die Abwehr rüstet auf 141 11 So schützen Sie sich vor Cyberangriffen 161 Anhang 173 Dank 187 Die Autoren 189

4_Hostettler_Economy.indd 5

14.04.22 14:53


4_Hostettler_Economy.indd 6

14.04.22 14:53


Vorwort

Beinahe täglich erreichen uns Nachrichten über digitale Angriffe gegen staatliche und private Stellen: Industriegeheimnisse werden gestohlen, Finanzdaten von Gemeinden gelöscht oder Lieferketten gestört. Neben den direkten wirtschaftlichen Konsequenzen – vom Betriebsausfall und von Lösegeldforderungen hin zu potenziellen Strafzahlungen – leiden auch der Ruf und das Vertrauen in Staat und Wirtschaft im digitalen Zeitalter unter dieser Entwicklung und – unsere persönlichen Daten können betroffen sein. Dies ist zwar nicht neu. Der Missbrauch von Sicherheitslücken und gezielte Angriffe gehören leider seit Beginn des Internets dazu, sei es aus kommerziellen oder politischen Motiven oder einfach aus Jux und zur Aufklärung. Doch die Angriffe erlangen eine neue Qualität. Einerseits bringt der technologische Fortschritt viele Vorteile und eröffnet uns – als Bürgerinnen und Bürger und als Konsumentinnen und Konsumenten – aber auch der Wirtschaft neue Möglichkeiten. Von der Geschäftsidee zum weltumspannenden Konzern ist es unter anderem dank digitaler Technologien oftmals kein grosser Schritt mehr. Umgekehrt können es sich auch «analoge» Firmen immer weniger leisten, auf die Vorteile der Digitalisierung zu verzichten. Kleine und mittlere Unternehmen in der Maschinenindustrie setzen auf Automatisierung in ihren Produktionsprozessen und erfassen die 7

4_Hostettler_Economy.indd 7

14.04.22 14:53


Bedürfnisse ihrer Kunden dank Digitalisierung noch besser, lokales Gewerbe kann sich dank Onlineshops Absatzkanäle weit über den oftmals kleinen Heimmarkt sichern usw. Diese Ausweitung der Digitalisierung hat nicht zuletzt im Zug der Corona-Pandemie nochmals Fahrt aufgenommen. Praktisch über Nacht haben Grosskonzerne und Kleinstbetriebe dank digitaler Technologien auf Homeoffice gewechselt, neue Interaktionsformate mit Lieferanten und Kunden eingeführt oder ihr Geschäftsmodell digital neu erfinden müssen. Vielen Menschen war es nur noch über digitale Kanäle möglich, zu kommunizieren und den Kontakt zu ihren Familien aufrechtzuerhalten. Andere mussten von zu Hause aus arbeiten. Die zunehmende Anbindung der Wirtschaft an die digitale Welt führt neben den ganzen Vorteilen aber auch zu einer gesteigerten Verletzlichkeit: Wer online ist, kann angegriffen werden. Diese Erkenntnis scheint sich mit Blick auf die hohe Zahl erfolgreicher Cyberattacken leider noch nicht überall durchgesetzt zu haben. Hinzu kommt, dass dies nur jene Attacken sind, von denen man weiss. Nicht umsonst sagte Keith Alexander, früherer Direktor der amerikanischen National Security Agency (NSA): Entweder wissen Sie schon, dass Sie gehackt wurden, oder Sie wissen es einfach noch nicht. Die immer grössere Zielscheibe von Organisationen im Netz wird begleitet von immer kompetenteren Angreifern. Denn die Cyberkriminellen haben, im Gegensatz zu manchen Firmen, in den letzten Jahren nicht geschlafen. Sie sind organisiert, bestens vernetzt, ausgebildet und ausgestattet für langfristige Kampagnen weltweit. Lukrative Geschäftsmodelle wie Ransomware sorgen dafür, dass dieses Problem nicht einfach verschwinden wird, im Gegenteil. Unsere steigende Abhängigkeit von digitalen Diensten macht Angriffe auf diese in Zukunft noch lukrativer. Wollen wir auf die Vorteile der Digitalisierung nicht verzichten, müssen wir Cybersicherheit endlich ernst nehmen und Cyberkriminellen entschieden entgegentreten. 8

4_Hostettler_Economy.indd 8

14.04.22 14:53


In ihrem Buch Underground Economy legen die Autoren Otto Hostettler und Abdelkader Cornelius klar und verständlich dar, wie es so weit kommen konnte. Sie erläutern ausserdem, wie Cyberkriminelle sich international vernetzen und Attacken koordinieren. Nicht zuletzt zeigen die Autoren auf, in welchen Handlungsfeldern Firmen nun aktiv werden müssen. Doris Leuthard alt Bundesrätin, Präsidentin der Stiftung Swiss Digital Initiative

9

4_Hostettler_Economy.indd 9

14.04.22 14:53


4_Hostettler_Economy.indd 10

14.04.22 14:53


1 Phreaking, Skript Kiddies, Cracker: wie Hacking zum Geschäft wurde

4_Hostettler_Economy.indd 11

14.04.22 14:53


4_Hostettler_Economy.indd 12

14.04.22 14:53


Ralph B. war noch keine 17 Jahre alt, als er an diesem Abend im elter­ lichen Haus gedankenverloren vor dem Kühlschrank stand. Seine Mutter mahnte ihn, nun endlich sein Zimmer aufzuräumen. Die Botschaft erreichte den Jugendlichen nicht. Geistesabwesend murmelte er: «Ich glaube, jetzt habe ich gerade etwas geschafft, das meine Zukunft verändern wird.» Allerdings: Ralph gelang es an diesem Tag, ins Netzwerk eines grossen Schweizer Providers einzudringen. Er war gerade auf die Namen aller Kundinnen und Kunden gestossen, auf ihre Adressen – und auch auf ihre Passwörter. Er war euphorisiert und perplex zugleich. Und doch wusste er nicht, wo ihm der Kopf stand. Kurz: Er war ziemlich durch den Wind. Seine Mutter erzählt die Episode bis heute. Doch damals, 1996, konnten weder Ralph noch seine Mutter die Folgen abschätzen. Heute sagt er: «Klar, das war jugendlicher Leichtsinn.» Aber er habe die Passwörter nie verwendet, versichert er. «Die Risiken waren mir viel zu hoch.» Stattdessen gründete er – noch während seiner kaufmännischen Ausbildung – sein erstes Unternehmen. Tagsüber arbeitete er in einem Reisebüro, abends erstellte er für Firmen Webseiten. Nebenher tummelte er sich stundenlang in IT-Foren und suchte jede erdenkliche Information zu IT-Sicherheitsfragen zusammen. Ralph B. saugte alles auf. Kein Wunder, blieb seine Ausbildung auf der Strecke. Während des Berufsschulunterrichts las er unter dem Tisch IT-Bücher, dicke Schunken. Jede Woche wälzte er mindestens ein solches Buch. Er war auch nicht wirklich erstaunt, als er die Abschlussprüfung vermasselte. Heute ist für Ralph B. klar: Mit diesem «Hack», von dem er damals seiner 13

4_Hostettler_Economy.indd 13

14.04.22 14:53


Mutter in der Küche beichtete und bei dem er Zehntausende von Nutzerdaten und Passwörtern aus dem Firmennetzwerk fischte, stellte er sich auf eine neue Ebene. «Mir ging an diesem Tag emotional der Knopf auf», sagt er 25 Jahre später. Was er damit ausdrücken will: Aus dem ­KV-Stift, der kurz darauf durch die Schlussprüfung fliegen sollte, war ein IT-Spezialist geworden. Bis zu diesem Tag war er eher ein Gamer, nicht untypisch für die damalige Zeit. 1992, mit zwölf Jahren, erhielt er seinen ersten Computer, einen IBM XT/AT, mit 1 Megabyte Arbeitsspeicher. Sein ganzer Stolz. Nach Abschluss der obligatorischen Schule besass er eine Reihe Spielkonsolen, einige neuere X86-Rechner. Aber schlechte Zeugnisnoten. Der Berufsberater sah für ihn keine Zukunft in der Informatik, die Informatikerlehre gab es noch nicht, ein Studium kam bei den konsequent abnehmenden schulischen Leistungen selbstredend nicht infrage. So landete er in einem Reisebüro. Wenn er von der Arbeit nach Hause kam, startete er den Computer auf und setzte sich vor den Bildschirm – bis er ins Bett ging. Abend für Abend. In seinem Zimmer hatte er mit seinen verschiedenen Geräten ein kleines Netzwerk aufgebaut. Das hausinterne Netzwerk war ihm bald zu klein. Mit dem ersten Modem, das grauenhafte Einwahlgeräusche erzeugte, kam Ralph B. ins Internet. Dafür musste er den Eltern das Telefon ausstecken. Er fand in amerikanischen Foren Informationen über den Aufbau des Internets, etwa über technische Erklärungen, wie Daten elektronisch übermittelt werden. Und dann waren da auch die Tipps und Tricks, wie man gratis telefonieren konnte. Klar versuchte auch Ralph B., mithilfe von Ton­ signalen die analogen Telefonverbindungen zu manipulieren. Diese Signale wurden von den Vermittlungsstellen benutzt, um die Verbindungen zweier Gesprächspartner herzustellen. Weil die Übertragung dieser Signale nicht vom analogen Telefongespräch abgeschirmt war, konnten sie beeinflusst werden.

14

4_Hostettler_Economy.indd 14

14.04.22 14:53


«Phone» und «Freak» Auf diese Weise konnte man schon seit den 1960er-Jahren gratis tele­ fonieren. Als in den 1980er-Jahren die ersten Akustikkoppler auf den Markt kamen, breitete sich diese Art von Telefonmanipulation weiter aus. Die Rede war von «Phreaking». Der Begriff setzt sich zusammen aus «Phone» und «Freak» (für verrückter Typ) und wurde unter der ersten Computergeneration bald zu einem Volkssport. Allerdings waren in der Schweiz die technischen Normen anders als in den USA, und phreaking funktionierte ziemlich zufällig. Hier waren Wählscheiben verbreitet, die einen stakkatoähnlichen Impuls erzeugten und damit die Verbindung herstellten. Doch auch diese liessen sich manipulieren. Dazu musste man lediglich in einem bestimmten Rhythmus auf die Gabel schlagen und damit den Rhythmus der Impulse simulieren, und schon wählte das Gerät eine Nummer – wenn auch eine ziemlich zufällige. Ralph B. betrieb ebenfalls Phone Hacking, etwa zwei Jahre bevor er beim Provider die Passwörter fand. Zufälligerweise lernte er in einem amerikanischen Forum einen Jungen aus dem Nachbardorf kennen. Gemeinsam haben sie ausprobiert, was sie in den Foren gelernt hatten. «Eigentlich war es unsinnig, aber es machte Spass», sagt er heute. Immerhin schafften sie es, gratis nach Ägypten zu telefonieren. Zu Schaden kam niemand, von der damaligen PTT mal abgesehen. Auf der deutschen Seite des Bodensees machte sich in dieser Zeit Roland Brecht in seinem Kinderzimmer daran, seine Computer zu vernetzen. Auch er war ein mittelmässiger Schüler gewesen, auch er ab­ solvierte gerade eine kaufmännische Ausbildung und auch er steckte jeden Abend das elterliche Telefon aus – und sein Modem ein. Beide durchpflügten das Internet auf der Suche nach technischem Wissen. «Plötzlich konnte man sich vernetzen, das war neu und aufregend», sagt er fast 30 Jahre später. Wie Ralph B. durchsuchte auch Roland Brecht die damaligen Newsgroups, schrieb sich in Gruppen ein, um sich über technische Belange der neuen faszinierenden Internetwelt auszutauschen. 15

4_Hostettler_Economy.indd 15

14.04.22 14:53


Der Drang, das Internet zu verstehen In einem dieser Foren trafen sich die beiden, bald fand sich ein halbes Dutzend Schweizer und Deutsche zusammen. Die meisten von ihnen – wenn überhaupt – waren nur knapp volljährig. Einige kannten sich bereits gut aus im Umgang mit Netzwerken, andere mit der Webseitenpro­ grammierung HTML oder mit Schwachstellen von Programmen und Systemen. Alle hatten eines gemeinsam: einen unglaublichen Drang, alles über dieses neue Internetding zu verstehen. Und plötzlich waren die ersten Viren und Trojaner im Umlauf. Sie wollten auch dieses neue Phänomen verstehen. Die Jugendlichen teilten nicht nur ihre Leidenschaft für die neue Welt des Internets, sie teilten ihr Wissen miteinander und lernten voneinander. Kommuniziert wurde über Vorläufer heutiger Chatdienste, den Internet Relay Chat (IRC). Abend für Abend traf man sich, meist war auch tagsüber irgendjemand der Gruppe online. Solche IRC, eigentliche virtuelle Treffpunkte, bilden bis heute eine relativ abhörsichere Alternative zu sozialen Netzwerken wie Facebook und gängigen Messengerdiensten wie WhatsApp. Sie werden bis heute von Computernerds geschätzt und genutzt. Irgendwann um 1994 nannte sich die Gruppe «Kryptocrew», Roland Brecht registrierte den Domainnamen. «Nun hatten wir eine Plattform, um das zu verwirklichen, was uns wichtig erschien: Informationen und Wissen über Sicherheitsfragen im Internet zu verbreiten.» Das Forum fand bald im gesamten deutschsprachigen Raum Beachtung. Roland Brecht wurde Seitenadministrator, Ralph B. und andere lieferten Texte. Innerhalb von rund zehn Jahren übersetzten sie Tausende von Texten aus englischsprachigen Foren, trugen Wissen und Erkenntnisse zusammen und beantworteten Fragen anderer interessierter Internetnut­ zer. Analysen zu den Übertragungsprotokollen TCP/IP beispielsweise, über Netzwerke – und bald auch über Sicherheitslücken. Sie bauten die Lücken nach und versuchten sie zu schliessen. Einer der «Krypto­crew» 16

4_Hostettler_Economy.indd 16

14.04.22 14:53


hatte hier besonderes Talent. Er schrieb ein «Trojan-First-Aid-Kit», ein Programm, das infizierte Computer säubern konnte. Die Software war beliebt und wurde damals sogar als CD einer Computerzeitschrift beigelegt. «Auch ich erlebte, wie mein CD-Laufwerk wie von Geisterhand aufund zuging», erzählt Roland Brecht. Es war die Zeit, als sich viele Computernutzer nicht bewusst waren, dass bei ihrem Gerät die Netz­werk­ einstellungen sperrangelweit offen waren und aussenstehende Dritte sich Zutritt verschaffen konnten. Doch die Leute der «Kryptocrew» wussten bald bestens Bescheid. Mit einem einfachen Tool suchten sie in einem festgelegten IP-Adressbereich nach offenen Netzwerken. «Wir fanden immer ein paar Dutzend zugängliche Computer.» Und so schaute man halt, was die Leute so alles auf ihrem C-Laufwerk gespeichert hatten, Briefe, Unterlagen, das private Bilderarchiv. «Aber wir waren nie kriminell», beteuert Brecht, der bis heute beruflich Websites eines Grossunternehmens programmiert. Herumschauen und Spass haben war das Motto. Meist trafen sie sich online, immer mal wieder aber auch offline. Es war die Zeit der LANPartys, bei denen die Teilnehmenden ihre Computer untereinander zu sogenannten Local Area Networks zusammenschlossen. Dazu mietete die Gruppe für ein Wochenende eine Fabrikhalle, jeder brachte einen netzwerkfähigen Computer und Unmengen Netzwerkkabel mit. In der Regel trafen sich zwischen 20 und 40 Personen. Mal in einem Indus­ triegebiet im Aargau, mal im Grossraum Zürichs. Jeder bezahlte 5 bis 20 Franken, brachte sein eigenes Essen mit – und spielte dann «Counterstrike» und «Quake». Auf einer Einladung von 2002 steht: «Alkohol ist erlaubt, sollte aber mit Bedacht genossen werden.» Es dürfte an einem dieser Treffen gewesen sein, als sich vier der «Kryptocrew»-Gruppe in einen Kleinwagen zwängten, jeder mit einem Laptop ausgerüstet. So fuhren sie durch ein Zürcher Industriegebiet und suchten nach offenen Netzwerken. «Plötzlich waren wir mit dem kom17

4_Hostettler_Economy.indd 17

14.04.22 14:53


pletten Netzwerk eines bekannten Schweizer Konzerns verbunden – vollständig unverschlüsselt», erinnert sich Roland Brecht. Sie hinterliessen dem Administrator eine Notiz, er solle doch das Firmennetz etwas besser schützen. Der Administrator fand diese Nachricht am nächsten Morgen auf einem der Drucker – in 1000-facher Ausführung.

Viele Grüsse von Donald Duck Waren die Mitglieder der «Kryptocrew» Hacker? Kaum. Heute würde man von Nerds sprechen, allenfalls von Ethical Hackern oder von White Hat Hackern. Das sind Hacker ohne kriminelle Motivation, die aus ­eigenem Antrieb bei Behörden nach Schwachstellen suchen oder für Firmen Sicherheitstest durchführen (sogenannte Penetrationtests oder Pentests). Damals waren es schlicht Computerfreaks oder Angefressene. Roland Brecht sagt: «Wir waren eine Art Boy Group des frühen Internets.» Es entstanden Freundschaften, bis heute stehen die meisten der Gruppe in losem Kontakt miteinander. «Wir waren eine coole Truppe», meint Brecht. Der Thrill war da, sie suchten nach Lücken, fanden sie und informierten die Betroffenen. An ein Dankeschön von Firmen, die sie auf Schwachstellen hingewiesen haben, können sich beide nicht erinnern. Heute sagt Ralph B., er habe sich immer zum Ziel gesetzt, in eine amerikanische Behörde einzudringen, um dann mit seinen elektronischen Spähversuchen aufzuhören. Roland Brecht erinnert sich gut, wie er mit seinem Kumpel auf dem Weg nach Berlin war – zu einem Treffen mit Gleichgesinnten. Am Karlsruher Bahnhof hatten sie etwas Zeit und besuchten ein Internetcafé. Die beiden klickten sich durch verschiedene Behördenseiten, landeten bei einer «wichtigen nationalen ameri­ka­ni­ schen Behörde», experimentierten und veränderten aufs Geratewohl die Internetadresse (url) und konnten plötzlich wider Erwarten eine ungeschützte Unterseite öffnen. Sie landeten in einem behördeninternen 18

4_Hostettler_Economy.indd 18

14.04.22 14:53


Verzeichnis hochrangiger Mitarbeiter – mit unzähligen Privatadressen, Telefonnummern und weiteren Informationen. Auch hier hinterliessen die beiden dem Administrator eine Nachricht. Wie genau sie lautete, wissen die beiden nicht mehr. In einem anderen Fall schrieben sie dem Administrator: «Viele Grüsse von Donald Duck». Um 2003 oder 2004 war die «Kryptocrew» am Ende. Mehrere Mitglieder der Gruppe hatten inzwischen eine eigene Familie, die Zeit abends vor dem Bildschirm war vorbei. Zudem hatte sich Google als Suchmaschine durchgesetzt und die Informationsseite der IT-Freaks erübrigte sich mehr und mehr. Einige der Gruppe etablierten sich zudem hauptberuflich im Bereich der Security Research, so auch Ralph B. Er ist Partner einer Firma, die längst zu den führenden Schweizer Anbietern von Cybersecurity-Dienstleistungen gehört. Noch bis vor einem Jahr betrieb er nebenbei eine eigene Informationsseite zu IT-Sicherheitsthemen – optisch aufgebaut wie die Verzeichnisse der 1990er-Jahre. Gruppen wie die «Kryptocrew» gab es überall auf der Welt. Von ­lokalen Vereinigungen Gleichgesinnter bis zu international agierenden Netzwerken, meist ohne kommerziellen Hintergrund. Die wohl bekannteste und grösste Hackervereinigung dürfte der Chaos Computer Club (CCC) sein. Die Anfänge gehen in der Schweiz zurück auf Ende der 1980er-Jahre. Im Raum Basel treffen sich Interessierte etwa seit dem Jahr 2000. In Zürich besteht seit 2005 ein Verein. Seit einigen Jahren treffen sich Mitglieder des Chaos Computer Clubs auch in Bern und St. Gallen. Zusammengeschlossen haben sich diese lokalen Treffs im Chaos Computer Club Schweiz. Heute sieht sich der CCC als Anlaufstelle der alternativen IT-Szene. Die Exponenten setzen sich ein gegen Vorratsdatenspeicherung, Zensur, Kontrolle im Netz und für andere gesellschaftliche Fragen im digitalen Raum. Ein zentrales Anliegen des CCC: die Förderung der Kryptografie als Mittel zur digitalen Selbstverteidigung. Sein Kredo: öffentliche Daten nützen, private Daten schützen – und grundsätzlich allen Auto­ri­tä­ 19

4_Hostettler_Economy.indd 19

14.04.22 14:53


ten misstrauen. Von sich reden machte der Chaos Computer Club unter anderem bei der Diskussion um biometrische Ausweise oder das Sicherheitsprojekt der Postcard von Postfinance. Die Exponenten wiesen auf technologische Gefahren hin und legten bei der Schweizer Debitkarte auch Sicherheitslücken offen.1 In Deutschland dürfte der Chaos Computer Club mit rund 8000 Mitgliedern die grösste Hackervereinigung in Europa bilden. Seit 1984 organisiert der CCC Deutschland jährlich den Chaos Communication Congress. Exponenten des CCC haben sich einen Namen gemacht mit Expertengutachten, Vorträgen und Demonstrationen, mit denen sie soziale Auswirkungen technischer Entwicklungen offenlegen. Immer wieder tritt der CCC Deutschland öffentlichkeitswirksam in Erscheinung. So etwa wenn es um technische Fragwürdigkeiten geht bei Wahlcomputern oder die staatliche Überwachungssoftware (Staatstrojaner). Letztes Jahr legte eine CCC-Aktivistin Schwachstellen der Wahlkampf-Kommunikations-App der CDU offen. Ungeschützt und frei übers Netz zugänglich waren die persönlichen Daten von 18 500 Wahlkampfhelferinnen und Wahlkampfhelfern, dazu persönliche Daten von 1350 Parteiunterstützern sowie eine halbe Million Datensätze über politische Einstellungen. Die ehrenamtliche Sicherheitsforscherin meldete die Panne der CDU und den zuständigen staatlichen Stellen. Die Partei schaltete die App ab und reichte gegen die Aktivistin eine Strafanzeige ein.2 Den Begriff Hacker verwenden bis heute sowohl Exponenten, die sich dem Ethical Hacking verschrieben haben, als auch IT-Sicherheitsfachleute. In der Bevölkerung verbindet man hingegen mit dem Begriff primär eine kriminelle Tätigkeit. Die kriminelle Motivation reicht bis in die Anfänge des Internets zurück. Einer der ersten kriminellen Hacker war der Amerikaner Bill Landreth, der Anfang der 1980er-Jahre als Teenager unter dem Begriff «cracking» einen Club mit dem Namen The In­ ner Circle anführte. 1984 wurde er als gerademal 20-Jähriger verurteilt, 20

4_Hostettler_Economy.indd 20

14.04.22 14:53


weil er verschiedene Computersysteme gehackt hatte. Unter anderem griff er auf Daten der NASA und des Departement of Defense zu.

Von «Brian» über «Aids-Trojaner» zu «Melissa» Als die erste unkontrolliert verbreitete Schadsoftware (sogenannte Malware) für das damals häufigste Betriebssystem MS-DOS gilt das Virus «Brian». Das war im September 1986. Das Virus infizierte nicht die Festplatte, sondern sogenannte Boot-Sektoren der damals gebräuchlichen Floppy-Disk. Diese Sektoren wurden vom Virus als defekt bezeichnet und konnten folglich nicht mehr überschrieben werden. So wurde das Laufwerk langsamer oder die Floppy-Disks wurden unbrauchbar. Die beiden pakistanischen Brüder Amjad und Basit Farouk Alvi beteuerten später in einem Interview mit dem finnischen Security-Spezialisten Mikko Hyppönen, «Brain» sei «ein sehr freundliches Virus» gewesen. «Als wir das Virus schrieben, hatten wir keine Absicht, irgendetwas zu zerstören», sagte Amjad Farouk Alvi dem finnischen Sicherheitsexperten. Es sei darum gegangen, das damals neue MS-DOS-Betriebssystem auf Schwachstellen zu prüfen und auszuprobieren, ob es mit einem Code manipulierbar sei. Doch mit den redlichen Absichten der Hacker war es bald vorbei. Der Code von «Brian» wurde abgeändert und kursierte bald darauf in zig Varianten weiter. Spätere Versionen nisteten sich auch auf Festplatten ein – und führten zu Schäden. Als das allererste Computervirus, das nicht zu experimentellen Zwecken kreiert wurde, gilt der «Elk Cloner». Der damals 15-jährige amerikanische Schüler Rich Skrenta hatte es für den Apple II geschrieben. Das Virus infizierte lediglich Disketten. Wur­de der Computer einer infizierten Diskette gestartet, nistete sich das Virus im Systemspeicher ein. Sobald eine noch nicht infizierte Diskette ins Laufwerk geschoben wurde, speicherte sich der «Elk Cloner» in einem speziellen Sektor der Diskette ab. Bei jeder 50. Diskette, die ins 21

4_Hostettler_Economy.indd 21

14.04.22 14:53


Laufwerk des Apple II geschoben wurde, erschien auf dem Bildschirm folgender Inhalt: ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES IT’S A CLONER! IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER ! (Elk Cloner: Das Programm mit einer Persönlichkeit. Es wird auf alle deine Disketten gelangen. Es wird deine Chips infiltrieren. Ja, es ist ein Cloner! Es wird wie Leim an dir kleben. Es wird auch den Arbeitsspeicher modifizieren. Schick den Cloner!)

Weil sich Computernutzer der Problematik von schädigenden Programmen noch überhaupt nicht bewusst waren und auch noch keine Virenscanner oder Antivirusprogramme existierten, verbreitete sich der «Elk Cloner» über den damals üblichen Austausch von Disketten innerhalb von Computer-Kreisen weiter. Die Verbreitung hielt sich zwar in Grenzen, aber das Virus sorgte in Fachkreisen für viel Gesprächsstoff, und sogar das Time-Magazin berichtete darüber. Die erste dokumentierte Erpressung – also die Geburtsstunde von Ransomware – geht auf 1989 zurück. Damals verschickte der Evolutions­ biologe Joseph Popp 20 000 mit einem Virus infizierte Disketten an Personen, die an der Aids-Konferenz der Weltgesundheitsorganisation WHO in Stockholm teilgenommen hatten. Waren die Daten einmal auf dem Computer, verbarg das Virus Dateiverzeichnisse und sperrte Da22

4_Hostettler_Economy.indd 22

14.04.22 14:53


teien. Dazu erschien die Meldung, man müsse 189 Dollar an ein Postfach in Panama schicken, um wieder Zugriff zu den Dateien zu haben. Dieser Fall ging als «Aids-Trojaner» in die Geschichte ein. In den 1990er-Jahren, als sich das Internet mehr und mehr über die ganze Welt spannte, kam es zu ersten kriminell motivierten Angriffen auf Webseiten und Computernetzwerke und bald löste ein Virus das andere ab. Noch waren der Verbreitung Grenzen gesetzt. Kurz vor der Jahrtausendwende änderte sich dies schlagartig. 1999 verbreitete sich das «Melissa-Virus», eine infizierte Word-Datei, die über E-Mail verschickt wurde. Sobald jemand auf die Datei klickte, verschickte das Virus selbstständig neue E-Mails an das gesamte Adressbuch des Computernutzers. «Melissa» war nicht nur eine Spassaktion wie frühere Vi­ren. Das Virus schrieb Kommentare von «The Simpsons» in Dokumente und zeigte damit erstmals das schädigende Potenzial von Malware.

Loveletter Weltweit für Schlagzeilen sorgte schliesslich ein Computerwurm, der sich in den Tagen nach dem 4. Mai 2000 explosionsartig verteilte. E-Mail-­ Nutzer weltweit erhielten innerhalb weniger Stunden eine Nachricht mit dem Betreff: «ILOVEYOU». In der Nachricht hiess es: «Bitte überprüfen Sie den angehängten LOVELETTER, der von mir stammt.» Wer auf den Anhang klickte, löste ein Skript aus, das auf dem infizier­ten Computer Dateien beschädigte und das Adressbuch von Microsoft Windows nutzte, um sich weiterzuverbreiten. Ein Wendepunkt war das Jahr 2000 auch für Aktionen mit frag­wür­ diger Motivation. Ein jugendlicher kanadischer Hacker namens «Mafiaboy» startete eine Denial-of-Service-Attacke auf die Webseiten von Yahoo, eBay, Amazon und CNN. Er sendete derart viele Daten­pakete an die Server, dass diese unter der Angriffswelle kollabierten. Der Täter wurde später zu acht Monaten in einem Jugendgefängnis ver­urteilt. 23

4_Hostettler_Economy.indd 23

14.04.22 14:53


Bereits vor der Jahrtausenderwende machte der Begriff der «Cracker» die Runde. Damit waren jene gemeint, die widerrechtlich Software­ registrierungen entschlüsselten und sich so Zugang zu teuren Programm-Vollversionen oder Spielen verschafften. Anschliessend verteilten und verkauften sie gecrackte Seriennummern in Foren oder über eigene Webseiten. Einige dieser Cracker waren der Meinung, Software sollte frei zugängliches Allgemeingut und damit gratis verfügbar sein. Damit stellten sie sich in die Nähe der ideologisch motivierten Hacker eines Chaos Computer Clubs. Allerdings war die finanzielle Motivation bei Crackern keine Seltenheit. Um 2010 kamen die «Script-Kiddies» auf. Der Begriff setzt sich zusammen aus «scripting» (gemeint ist Softwarecode schreiben) und Kids (Kinder). Während sich Interessierte in den 1990er-Jahren wie die «Kryp­to­crew» ihr Wissen selber aneigneten, nutzten die teils sehr jungen Skript-Kiddies bereits bestehende Tools. Skript-Kiddies gibt es bis heute. Im Gegensatz zu technisch versierten Hackern verfügen sie meist nur über rudimentäre IT-Kenntnisse. Sie finden aber in einschlägigen Foren und Plattformen Skripte, Programme und Anleitungen anderer und versuchen diese abzuändern oder zu optimieren, um damit in Computersysteme einzudringen. Viele wollen damit nur Aufmerksamkeit er­ ha­schen und ihre Freunde, Kollegen oder Mitschüler beeindrucken. Mal mit harmlosen digitalen Streichen, mal mit durchaus folgenreichen DDoS-­­Angriffen. Einige sind nur darauf aus, Schaden anzurichten. Trotz der unsystematischen Angriffe und Hacks der Script-Kiddies stellen sie für Webseiten und Systeme eine Gefahr dar. Sie agieren zufällig und sind damit unberechenbar. Anfang der Nullerjahre etablierte sich jener Hackertypus, den man bis heute landläufig mit dem Begriff «Hacker» verbindet: Kriminelle, die das Internet als Tatwerkzeug nutzen, also Online-Betrüger. Sie über­ tragen klassische kriminelle Taten wie Betrug, Nötigung, Diebstahl und Raub in die digitale Welt. Ihre Motivation ist der monetäre Gewinn, die 24

4_Hostettler_Economy.indd 24

14.04.22 14:53


Triebfeder ist ihre kriminelle Energie. Sie betrügen auf Auktionsplattformen, versprechen Kleinkredite, gaukeln die grosse Liebe vor (Lovescam), locken mit nicht existierenden Anlageprodukten oder kreieren dubiose Pseudokryptowährungen.

Mit Bitcoin zum Durchbruch Während sich Online-Betrüger lange auf herkömmliche Währungen des etablierten Finanzsystems stützten, baute die nächste Generation der Internetkriminellen ihre Geschäftsmodelle vorwiegend auf Kryptowährungen auf. Mehr noch: Bitcoin wurde zum Brandbeschleuniger des neuen kriminellen Feuers. Weil Kryptowährungen nach 2012 zunehmend populärer wurden, konnten Internetkriminelle ihre Transaktionen bequem in diesem halbanonymen Währungsystem abwickeln – und ihre Einnahmen aus betrügerischen Aktivitäten dank der Blockchain verschleiern. Um 2013 tauchte schliesslich der erste Verschlüsselungs-Trojaner der modernen Art auf, der «CryptoLocker». Das Programm verschlüsselte Dokumente wie Tabellenkalkulationen, Bilder und andere Dateien. Dazu erschien bei Opfern die Meldung, man müsse innerhalb von 72 Stunden 300 Dollar Lösegeld bezahlen – in Bitcoin. Diese Crypto­ Locker-Erpressungen waren der Anfang einer neuen Epoche. Das Zeitalter der Ramsomware startete fulminant, deren folgenreiche Entwicklung war aber nicht absehbar. Der Übergang vom Massengeschäft zur digitalen Grosswildjagd, also wenn Kriminelle gezielt zahlungskräftige Unternehmen angreifen, eta­ blierte sich erst um 2018, die Double Extortion erst mit dem Auf­ kommen der Erpresserbande Maze um 2019 (s. Seite 52 / Kapitel 3). Doch diese Phase war nur ein Vorgeschmack dessen, was noch alles auf die Computer- und Internetnutzer weltweit zukommen sollte.

25

4_Hostettler_Economy.indd 25

14.04.22 14:53


4_Hostettler_Economy.indd 26

14.04.22 14:53


2 Ein Cyber-Tsunami – der unheimliche Raubzug auf die Wirtschaft

4_Hostettler_Economy.indd 27

14.04.22 14:53


4_Hostettler_Economy.indd 28

14.04.22 14:53


Auf die Viren folgten die Würmer. Im Gegensatz zu Viren muss bei Würmern ein Computernutzer nicht einmal auf eine Datei klicken. Sie verbreiten sich von selbst. Sie fressen sich durch Computer und Netzwerke, um sich auf das nächste Gerät fortzupflanzen. Diese Art Schadsoftware nutzt Schwachstellen in Netzwerken aus oder S­ icherheitslücken in E-Mail-Programmen und kann innerhalb kürzester Zeit Tausende Kopien von sich selbst versenden – und sich so in immer neue Systeme einschleusen. Früher absorbierten Würmer lediglich Unmengen an Systemressourcen, wodurch sich die Leistung der befallenen Computer redu­zierte. Bald enthielten Würmer aber auch sogenannte Payloads. ­Damit konnten sie beträchtlichen Schaden auslösen. Solche Würmer können Dateien herunterladen (also stehlen) oder sie löschen. Ein bekannter Computerwurm war «Zotob». Er wurde Mitte August 2005 in Umlauf gebracht, nutzte eine Schwachstelle im Microsoft-Betriebssystem Windows und konnte auch Sicherheitseinstellungen ändern und sich sogar wieder aus dem System entfernen. Der Wurm nistete sich mit einer exe-Datei auf den Geräten ein, startete sich von selbst und schickte den Schadcode an neue Systeme weiter. Betroffen waren über 100 US-Unternehmen.3 Die Online-Plattform «The Virus Ency­ clopedia» spricht von gesamthaft rund 700 betroffenen Unternehmen und einem summierten Schaden von fast 68 Millionen Dollar.4 Unter den betroffenen Firmen waren beispielsweise die Fernsehsender CNN und ABC, aber auch der Autokonzern Daimler Chrisler. Hinter dem «Zotob»-Code stand der damals 18-jährige Farid Essebar, ein Marokkaner mit russischen Wurzeln, der sich in der Hackerszene 29

4_Hostettler_Economy.indd 29

14.04.22 14:53


«Diab10» (Diablo, Teufel) nannte. Die amerikanische Bundespolizei FBI kam ihm und zwei Mittätern innerhalb weniger Tage auf die Schliche – dank enger Zusammenarbeit mit Spezialisten von Microsoft. In einer koordinierten Aktion konnten die Ermittler Essebar am 25. August 2005 in seiner Wohnung in der marokkanischen Hauptstadt Rabat verhaften. Den einen Mittäter schnappten sie ebenfalls in Marokko, der Dritte wurde fast zeitgleich in der Türkei verhaftet. Für das FBI war klar, Essebar schrieb den Schadcode, und zwar «aus finanziellen Motiven». Er wurde 2006 zu zwei Jahren Haft verurteilt. Gemäss der lokalen Zeitung Aujourd’hui soll der Sohn einer russischen Mutter und eines marokkanischen Vaters zeitweilig in Russland gelebt und dort eine einschlägige Ausbildung absolviert haben. «Diab10» soll als Grundlage angeblich den Code des Vorgängerwurms «Mydoom» verwendet haben, den er von einem britischen Hacker erhalten haben soll, berichtete die marokkanische Zeitung gestützt auf Ermittlerkreise.5

Tauschgeschäft: Wurm gegen Kreditkarten «Diab10» stand damals am Anfang seiner Hackerkarriere. Sie sollte ihn in einem aufsehenerregenden Fall fast zehn Jahre später in ein Schweizer Gefängnis führen, aus dem er zur Schmach der Ermittler schliesslich mit einer finanziellen Genugtuung entlassen werden musste (s. Seite 143 / Kapitel 10). Mit dem Wurm «Zotob» zeigte Farid Essebar alias «Diab10» bereits 2005, dass sich Hacker international organisieren können. Und noch wichtiger: dass sich mit Würmern Geld verdienen lässt. Essebar hatte die Schadsoftware offenbar seinem in der Türkei verhafteten 21-jäh­rigen Kumpel weitergegeben, der sie in Umlauf brachte. Dieser, so lässt sich aus Unterlagen des FBI herauslesen, bezahlte Essebar für seine Dienstleistung mit gestohlenen Kreditkarten. Farid Essebar wiederum, der gemäss der Zeitung Aujourd’hui für seine Hackertätigkeit ein Internetcafé nutzte, bestellte nebenbei über diesen Computer Kleider und 30

4_Hostettler_Economy.indd 30

14.04.22 14:53


Musikplatten – alles im Namen amerikanischer Staatsbürger, deren Kreditkarten er benutzte. Verhaftungen und Verurteilungen wie jene des Marokkaners Essebar gab es in der zweiten Hälfte der Nullerjahre immer wieder. Aber sie konnten der Hackerszene nichts anhaben, im Gegenteil. Die kriminelle Szene wuchs, die Hacker waren den Ermittlern immer einen Schritt voraus. Auf die Phase des Kreditkarten-Phishing folgten die E-Banking-Trojaner. Diese Schadprogramme kursierten ab etwa 2008 und konnten erst nach 2012 stark eingedämmt werden – worauf die Cyberkriminellen auf Ransomware setzten. Der amerikanische Universitätsprofessor Nir Kshetri, Autor mehrerer Publikationen zu Problemstellungen von Cybercrime, warnte schon 2010 eindringlich: «Innerhalb weniger Jahre hat Cybercrime dramatisch zugenommen – in Quantität, Vielfältigkeit und Raffinesse.» In seinem Buch The Global Cybercrime Industry schilderte er damals die ernüchternde Erkenntnis: «Die Cyberkriminalität ist ein relativ junges Gebiet der Ermittlungsarbeit. Es besteht zwar Einigkeit darüber, dass die globale Branche der Cyberkriminalität riesig ist. Über ihre genaue Grösse und Struktur ist aber wenig bekannt.»

Aus 500 Millionen wurde drei Milliarden Was damals als «riesig» betrachtet wurde, stellt sich aus heutiger Sicht als geradezu verschwindend klein heraus. In den Jahren nach 2010 stieg die Zahl der Hackerangriffe auf Unternehmen und Plattformen stetig an. Dazu kam die beängstigende Tatsache, dass die Hacker nicht nur riesige Mengen von Personendaten klauten, sondern dass die betroffenen Unternehmen das Ausmass der Angriffe teils erst Jahre später entdeckten. So wurde im Juni 2012 das Berufsnetzwerk LinkedIn gehackt und dabei wurden 6,5 Millionen E-Mail-Adressen und Passwörter gestohlen, wie 31

4_Hostettler_Economy.indd 31

14.04.22 14:53


die Firma damals bestätigte.6 Vier Jahre später zeigte sich das tatsächliche Ausmass des Hacks: Entwendet wurden 117 Millionen Login-Daten. Publik wur­de dies nur, weil das Online-Techmagazin Motherboard berichtete, die E-Mail-Adressen und Passwörter seien auf der Darknetplattform «The Real Deal» für 5 Bitcoin (damals rund 2200 Dollar) angeboten worden. Noch schlimmer traf es 2013 den Internetdienstleister Yahoo – nur wussten dies die Verantwortlichen damals nicht einmal im Ansatz. 2014 war die Rede, dass rund 500 Millionen Nutzerdaten gestohlen worden seien. Im Dezember 2016 – drei Jahre nach dem Hack – gestand Yahoo ein, dass eine Milliarde Kunden betroffen waren. Fast ein Jahr später machte die neue Besitzergesellschaft von Yahoo, der Telekom-Konzern Verizon, publik, was vor über vier Jahren tatsächlich passiert war: Die Hacker erbeuteten Namen, E-Mail-Adressen, Telefonnummern von allen drei Milliarden Yahoo-Nutzern. Verizon betonte, unter den gestohlenen Daten würden sich keine Kreditkarteninformationen und keine Klartext-Passwörter befinden.7 Bis heute gilt der Datenklau bei Yahoo als der grösste Databreach aller Zeiten. Solche Breaches sind heute an der Tagesordnung. Die Webseite www. haveibeenpwned.com, die die in den letzten zehn Jahren publik gewordenen Datensätze sammelt und für Internetnutzer durchsuchbar macht, listet inzwischen 11 600 Milliarden – 11 600 337 976 – E-Mail-Adressen auf.8 Jedermann kann dort nachschlagen, ob seine E-Mail-Adresse oder seine Telefonnummer in den letzten Jahren in einem geklauten Datensatz enthalten war – und damit einer potenziellen Gefahr ausgesetzt ist. Auch wenn jeder Ratgeber zu Sicherheitsfragen eindringlich davon abrät: Erstaunlich viele Internetnutzer verwenden auf unterschiedlichen Webseiten und Plattformen das immer gleiche Passwort. Die Sorglosigkeit kennt ohnehin keine Grenzen: Immer wieder registrieren sich Internetnutzer auf privaten Plattformen mit ihrer GeschäftsE-Mail-Adresse – und verwenden womöglich auch noch das gleiche 32

4_Hostettler_Economy.indd 32

14.04.22 14:53


Pass­wort. Das amerikanische Seitensprungportal Ashley-Madison, bei dem im Sommer 2015 Hacker 31 Millionen Nutzerdaten entwendeten – darunter Namen, Privatadressen und Kreditkartenverbindungen –, ist ein gutes Beispiel. Die beiden Sicherheitsspezialisten Stefan Frei und Christof Jungo analysierten daraufhin die im Internet verfügbaren E-Mail-­Adressen und filterten Schweizer Personen heraus. Weil sich auffal­lend viele Schweizer mit ihrer Geschäftsadresse auf dem Seitensprungportal registriert hatten, konnten die beiden Sicherheitsspezialisten die Adressen nach Branchen sortieren. Das Resultat: Aus der Schweiz registrierten sich 53 Banker, 44 Mitarbeiter von Versicherungen, 28 Personen der Bundesverwaltung, 45 von kantonalen Verwaltungen und 153 aus dem Umfeld der Universitäten und der Eidgenössisch Technischen Hochschule ETH.9 Basierend auf solchen Databreaches entwickelte sich unter Kriminellen ein gigantischer Adresshandel. Diese gestohlenen Daten bilden quasi die Basis für eine Vielzahl weiterer Betrugsvarianten: Kriminelle verwenden solche Nutzerdaten entweder selber, um sich finanziell zu bereichern. Etwa indem sie – im Idealfall – E-Mail-Adresse, Passwort und Kreditkartennummer kennen und auch gleich ausnutzen können. Oft werden solche Daten aber auch neu gebündelt (z. B. nach Ländern oder nach Art der Kreditkarte) und so auf einschlägigen Plattformen verkauft. Solche «veredelte» Listen werden wiederum in kleinere Pakete aufgeteilt – und auf einschlägigen Plattformen zum Kauf angeboten. Andere Betrüger kaufen sich solche Zugangsdaten und loggen sich beispielsweise auf Auktionsplattformen wie eBay oder Ricardo ein, um ihre eigenen Betrugsaktionen zu starten. Sie agieren vom anderen Ende der Welt und verkaufen ein paar Wochen lang nicht existierende Waren, ohne dass man sie strafrechtlich zur Rechenschaft ziehen könnte. Auf dem Betrügermarktplatz «Russian Market» sind solche Datensätze – E-Mail-Adressen mit Passwörtern – zu Billigstpreisen zu haben. Eine Liste mit 50 verschiedenen Logins von Schweizer Personen zu ­deren 33

4_Hostettler_Economy.indd 33

14.04.22 14:53


Nutzerkonten bei Auktionsplattformen, Telekomdienstleistern, Streamingportalen und Musikanbietern kostet gerademal 10 Dollar. Eine Stich­probe zeigt: Ein grosser Teil solcher Zugänge funktioniert tadellos. Ein Eldorado für Betrüger.

Aus Phishing wird Erpressung Können Cyberkriminelle erbeutete E-Mail-Adressen keinem Passwort zuordnen, dienen diese immerhin noch als Massenware für das SpamGeschäft. Kriminelle, die sich auf Phishing spezialisiert haben, können auch daraus noch Gewinn generieren. Eine erfolgreiche Phishing-Aktion ermöglicht ihnen neue Perspektiven. Ein Computernutzer muss nur auf den manipulierten Link oder eine präparierte Datei im Anhang klicken, und schon können Kriminelle auf den Account dieser Personen zugreifen – oder vielleicht auch gleich auf das ganze Firmennetzwerk. Diese Zugänge nutzen sie aber nicht selber, sondern sie verkaufen sie anderen Kriminellen, sogenannten Initial Access Brokern (s. Seite 83 / Kapitel 5). Wenn dann andere Betrüger in der kriminellen Kaskade einmal im System sind, stehlen sie diese Daten, verschlüsseln sie (VerschlüsselungsTrojaner) und hinterlassen eine Nachricht: Gegen eine bestimmte Sum­me in einer Kryptowährung erhalten die Privatpersonen oder Firmen einen Schlüssel, um die Daten wiederherzustellen. Bezahlen die Opfer nicht, veröffentlichen die Erpresser die Daten auf ihren Leak-­Seiten. Solche Ransomware-Angriffe nehmen seit 2015 stark zu. Fachleute gehen davon aus, dass das Erpressungsgeschäft nicht zuletzt deshalb zu blühen begann, weil sich Kryptowährungen wie Bitcoin und Monero breit etabliert hatten. Ein denkwürdiger Meilenstein dürfte die Angriffswelle von «WannaCry» und «NotPetya» gewesen sein. In beiden Fällen handelte es sich um Erpressersoftware, die 2017 weltweit kursierte und für riesige Schäden sorgte. 34

4_Hostettler_Economy.indd 34

14.04.22 14:53


«WannaCry» verschlüsselte im Mai 2017 innerhalb von drei Tagen in über 150 Ländern Daten auf mehr als 200 000 Windows-Computern. Insgesamt befiel das Schadprogram vermutlich mehrere Millionen Computer.10 Die Malware breitete sich als Wurm aus, ohne Zutun der Nutzer. Nur dank der schnellen Reaktion von Analysten hielt sich der Schaden in Grenzen. Für die Lücke, die «WannaCry» damals bei Windows-­Rechnern ausnützte, hatte Microsoft schon acht Wochen zuvor einen Software-Patch veröffentlicht. Doch offensichtlich vernachlässigten IT-Administratoren weltweit dieses Sicherheitsupdate – und die Hacker hatten ein leichtes Spiel. «NotPetya» ist eine modifizierte Version des 2016 entdeckten Verschlüsselungstrojaners «Petya». Der Wurm nistete sich im System ein, ­verteilte sich, las Passwörter heraus – und verschlüsselte zu guter Letzt das gesamte Netzwerk. Unter Experten herrscht heute Konsens, dass es sich um einen hochqualifizierten Angriff gehandelt hat, der gegen die ­Ukraine gerichtet war und deshalb höchstwahrscheinlich politisch motiviert war.

Der unheimliche Raubzug auf die Wirtschaft Die Zahl der Schweizer Firmen, die jährlich von Hackern erpresst werden, lässt sich nur schwer schätzen. Denn im Gegensatz zu Deutschland und der EU gibt es in der Schweiz keine generelle Meldepflicht, sie ist erst in Vorbereitung – allerdings ist sie nur für die kritische Infrastruktur geplant. Die bisher freiwilligen Meldungen beim Nationalen Zentrum für Cybersicherheit (NCSC) zeigen jedoch eine steigende Tendenz an: In den ersten zehn Monaten 2021 wurden knapp 130 Erpressungen mit Ransomware registriert – doppelt so viele wie im gesamten Vorjahr.11 Eine Analyse des amerikanischen Cyber-Threat-Intelligence-Unternehmens Recorded Future zeigt: Das Ausmass der Hackerangriffe auf Unternehmen in der Schweiz ist um ein Vielfaches grösser: Recorded 35

4_Hostettler_Economy.indd 35

14.04.22 14:53


Die Autoren berichten über Diskussionen in geschlossenen Foren und zeigen, vor welchen existenziellen Problemen gehackte Unternehmen stehen. Sie sprechen mit Cybercrime-Ermittlern und geben Hinweise, wie man Hackerangriffe erkennen und abwehren kann. Sie machen aber auch deutlich, wie einfach Cyberkriminelle im Untergrund ihre illegalen Infrastrukturen und Businessmodelle am Laufen halten können.

UNDERGROUND ECONOMY

Täglich erreichen uns Meldungen über Hackerbanden, die in Unter­ nehmen, Spitäler und staatliche Institutionen eindringen, deren Daten ­verschlüsseln und damit Millionenbeträge erpressen. Der S ­ chweizer Journalist Otto Hostettler und der deutsche Threat-Intelligence-­ Spezialist Abdelkader Cornelius zeichnen in Underground Economy das erschreckende Bild einer weltweit operierenden und bestens orga­ nisierten Industrie von Cyberkriminellen. Die Angriffe werden immer ­aggressiver, die Erpresser verlangen immer höhere Summen und ­schrecken nicht mehr davor zurück, Hardware und Produktionsprozesse von Unternehmen zu manipulieren, lahmzulegen oder gar zu zerstören.

Otto Hostettler · Abdelkader Cornelius

Underground Economy ist eine packende Schilderung der besorgnis­ erregenden Entwicklung der Hackerszene zu einer skrupellosen und hochprofitablen Industrie, die für Wirtschaftsunternehmen und Staaten zu einer ernsthaften Bedrohung geworden ist. Cyberkriminalität on demand.

Otto Hostettler Abdelkader Cornelius

UNDERGROUND

ECONOMY Wie Cyberkriminelle Wirtschaft und Staaten bedrohen

ISBN I S B N978-3-907291-67-2 978-3-907291-67-2 9

783907 291672

www.nzz-libro.ch www.nzz-libro.de

NZZ_Libro_Underground Economy_Bezug_CC21_final.indd Alle Seiten

14.04.22 11:50


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.