Cyberkriminalität: lukrative Geschäfte im Internet
26. Juli 2013 "Global verursachen Cyberkriminelle jährlich Schäden in Höhe von rund 400 Milliarden US-Dollar an", sagt Computerexperte Toralv Dirro im Gespräch mit der DW. Das sei die Hälfte von dem, was weltweit im Drogenhandel umgesetzt werde. "Die Summe setzt sich aus Angriffen in mehreren Bereichen zusammen. Das reicht von Diebstahl von intellektuellem Eigentum bis hin zu Kreditkartenmissbrauch", so Dirro, der für das US-Unternehmen McAfee arbeitet. Seine Firma, die Software für Computersicherheit verkauft, veröffentlichte jüngst eine Studie. Demnach ist Cyberkriminalität ein sehr lukratives und boomendes Geschäft.
Dirro zufolge liegt das daran, dass Cyberkriminalität mittlerweile für jedermann machbar sei: "Man muss nur wissen, wo man die entsprechenden Tools und Programme im Internet findet." Aber nicht alle Fachleute sind Dirros Meinung. "Es ist zwar schon seit einiger Zeit so, dass man kein IT-Experte mehr sein muss, um Cyberkrimineller zu werden", sagt Hauke Laging, Fachmann für Datensicherheit. "Aber ein Normalverbraucher kann so etwas nicht". Er stimmt Dirro aber zu, dass der Markt für Cyberkriminalität rasant wächst.
Boomender "Cybercrime Service Markt"
Steigende Frequenz und Komplexität der Cyberattacken sind laut der McAfee-Studie das Ergebnis eines weltweit wachsenden "Cybercrime Service Markts". Dort handeln Kriminelle mit Know-how und gestohlenen Daten.
Besonders begehrt ist Wissen um Schwachstellen weltweit häufig genutzter Software - wie etwa Microsoft Word. Wenn eine solche Programmlücke von einem Hacker entdeckt und ausgenutzt wird, sprechen Experten von einem "Exploit". Für das Wissen um eine solche Schwachstelle können schon bis zu 30.000 US-Dollar verlangt werden. Ein Exploit für eine Schwachstelle im Betriebssystem von Apple kann McAfee zufolge sogar bis zu 250.000 US Dollar kosten. Die Preise für Softwareschwachstellen sind deshalb hoch, weil die betroffenen Herstellerfirmen Zeit brauchen, ihre Programme nachzubessern - Zeit, die die Kriminellen für ihre Angriffe nutzen können. Auch können Hacker die betroffenen Firmen mit ihrem Wissen erpressen.
Datenklau als Ziel
Ziel der Attacken sind die Computer von Firmen oder Privatleuten. Die Angreifer brechen virtuell in die Rechner ein und stehlen beispielsweise sensible Daten wie Unternehmensinterna, E-Mail-Adressen oder Kreditkartennummern.
Während Unternehmensinterna etwa an die Konkurrenz verkauft oder zur Erpressung genutzt werden, ist der Diebstahl von E-Mail-Adressen meist eine Vorstufe für das eigentliche Verbrechen. Die Kriminellen sammeln die Daten und verkaufen sie dann wiederum in Blöcken auf dem Schwarzmarkt. McAfee gibt an, dass zehn Millionen E-Mail-Adressen für 900 Dollar gehandelt werden. Häufig werden an die Adressen dann Mails mit gefährlichem Anhang verschickt. Wer solche scheinbar harmlosen Dateien öffnet, lädt unbemerkt Schadsoftware auf seinen Computer, die Datendieben dann Tür und Tor öffnet.
"Bank- und Kreditkartendaten sind sehr beliebte Ziele bei Cyberangriffen", erklärt Datensicherheitsexperte Laging. Auch sie werden auf dem Schwarzmarkt gehandelt. Laut der Studie von McAfee kosten in den USA gestohlene Kreditkartennummern zwischen 15 bis 80 US-Dollar, deutsche Nummern bis zu 150 US-Dollar. Am Ende kaufen irgendwo auf der Welt Betrüger mit den geklauten Daten ein.
Nur vage Erkenntnisse über Cybercrime
Wie oft und in welcher Weise mit sensiblen Daten gehandelt werde, sei nicht genau bekannt, räumt McAfee Sicherheitsexperte Dirro ein. Es ließen sich aber viele Hinweise zur Häufigkeit und Preisen im Netz finden. So böten Hacker ihre Arbeit in sozialen Medien an und nennen auch Preise. Außerdem diskutiere die Szene auf einschlägigen Internetforen Cyberattacken. Viele Details kämen auch in Gerichtsverfahren ans Licht, so Dirro.
Laging: Studie mit Vorbehalt betrachten
Fachmann Laging warnt davor, alle Zahlen und Informationen der McAfee-Studie vorbehaltlos zu glauben. "Virenschutzanbieter bringen in einer gewissen Regelmäßigkeit Studien heraus. Das ist für sie Werbung. Die Frage, ob die Antivirenhersteller übertreiben und im welchem Maße, stellt sich immer." Auch McAfee-Mitarbeiter Dirro ist keine Ausnahme: Er betont, dass ein aktueller Virenscanner für Privatanwender ein Basisschutz sei.
Laging hingegen verlässt sich nicht ausschließlich auf Virenscanner. Denn diese schützen nur vor bekannter Schadsoftware oder Sicherheitslücken, sagt er. Gegen neue und somit gefährliche Cyberattacken nützten diese Programme nichts. Seiner Meinung nach gibt es Regeln, die auch einem Durchschnittsnutzer Schutz bieten: "Man sollte immer aktuelle Software nutzen, und Onlinebanking auf einem separaten Computer durchführen, den man nur zu diesem Zweck nutzt."