Cyberkriminelle kaufen Profi-Hacker zu Discounter-Preisen

Berlin. Cyberangriffe auf Atommeiler? „Möglich“, sagt Eugene Kaspersky. Auch andere Experten zeichnen ein düsteres Bild von der Netzzukunft.

So jemanden hatte die Personalabteilung eines Schweizer Krankenhauses gesucht: Ein vermeintlicher Physiotherapeut bewarb sich per E-Mail, versprach in bestem Deutsch Leistungsbereitschaft, bot ein Praktikum an und verwies auf seine Bewerbungsunterlagen hinter einem Link. Ein Traumkandidat. Doch als die Mitarbeiterin die Unterlagen herunterlädt, breitet sich ein Computervirus aus. Interne Daten von Patienten, Ärzten, der Zugriff auf Geräte – alles ist plötzlich verschlüsselt. Kurz darauf folgt eine Lösegeldforderung.

Krankenhäuser und Gerichte, Handwerksbetriebe und Konzerne: Angriffe mit Erpresser-Software, sogenannter Ransomware, treffen jeden. Und sie häufen sich. Dabei konzentrieren sich Internetkriminelle immer mehr auf eine bestimmte Schwachstelle in Unternehmen. „Personalabteilungen sind ein beliebtes Ziel“, sagt Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Weil in Stellenausschreibungen viele Details stehen, gehen Kriminelle leicht als glaubwürdige Bewerber durch. Zuletzt hatten sich Angreifer im Dezember an den öffentlich einsehbaren Daten des Jobportals der Bundesagentur für Arbeit bedient.

Krankenhaus eine Woche außer Gefecht

Wie hoch die Schäden durch Ransomware in Deutschland sind, lässt sich nur schwer beziffern. Die wenigsten Unternehmen sprechen darüber, weil sie einen Image-Verlust befürchten. Laut einem aktuellen BSI-Bericht sind manche Störungen nach wenigen Stunden behoben. Andere Betroffene wie das Neusser Lukaskrankenhaus können ihren Betrieb erst mehr als eine Woche später fortsetzen. „Wir erwarten, dass es 2017 noch wesentlich mehr Ransomware-Fälle geben wird“, schätzt Tim Berghoff, IT-Sicherheitsexperte bei G DATA Security in Bochum.

In den zwölf Monaten bis März 2016 waren laut der Internetsicherheitsfirma Kaspersky 718.000 Internetnutzer von Ransomware-Angriffen betroffen – mehr als fünf Mal so viel wie im Vorjahreszeitraum. Ein Drittel aller Betroffenen zahlte das geforderte Lösegeld. Internetsicherheitsexperten und Polizei raten davon ab. Eine Garantie, dass die Daten entschlüsselt werden und danach wieder nutzbar sind, gibt es nicht.

IT-Guru Kaspersky mag es locker

Eugene Kaspersky, der weltweit bekannte IT-Experte, kennt noch ganz andere Gefahren. Wer ihm begegnet, trifft dennoch auf einen eher heiteren und optimistisch gestimmten Menschen. Der Binder muss ab. Drüben, beim Termin im Reichstag, hatte er noch Krawatte getragen. Auf den Bildern vom Interview im Firmenbüro am Pariser Platz will er lockerer wirken. Als der Schlips entfernt ist und das Hemd offen, darf der Fotograf ran.

Eugene Kaspersky in seinem Büro am Brandenburger Tor. © Reto Klar | Reto Klar

„Besser so“, sagt der 51-Jährige, der sein Geld mit IT-Sicherheit verdient. Viel Geld. Das US-Magazin Forbes taxiert Eugene Kaspersky auf 1,27 Milliarden US-Dollar. Sein Vermögen hat er mit Anti-Viren-Programmen gemacht. Beim verkauften, kostenpflichtigen Virenschutz in Deutschland liegt seine Software vorne. Marktanteil: 60 Prozent. Kaspersky ist nicht nur reich. Er ist auch Russe, wie die berüchtigtsten Hacker.

Wenn er über die Landsleute unter seinen natürlichen Feinden spricht, dann mit Respekt. „Russische Softwareingenieure sind die besten, und russische Cyberkriminelle sind die schlimmsten. Sie entwickeln neue Ideen, sie schaffen neue Technologien. Sie finden oft einzigartige Angriffsmöglichkeiten. Und oft ist es schwer, die Angriffe überhaupt zu erkennen.“

100 Milliarden US-Dollar von Bankkonten abgezogen

Wie damals bei „Carbanak“ – jenem Schädling, mit dem eine internationale Hacker-Bande die Computersysteme von 100 Banken in 30 Ländern knackte, sie mit Trojanern infizierte und rund 1 Milliarde US-Dollar von den Kundenkonten abzog, 2,5 bis 10 Millionen Dollar pro Bank. Die Täter griffen auf die Überwachungskameras der Banken und die Masteraccounts der Angestellten zu, programmierten Bankautomaten um, die auf Wunsch höher notierte Geldscheine ausgaben als von der Software registriert wurden. Zwei Jahre lang blieb der Milliardenraub unentdeckt. Zusammen mit Interpol und Europol deckte Kaspersky den bisher größten Cyber-Coup 2014 auf.

Kein Grund zur Freude, meint der Virenjäger. Andere Raubzüge würden viel später entdeckt. Oder gar nicht. Das sei „eine schlechte Nachricht“. Die andere: Die russische Hacker-Schule verbreitet sich immer mehr. „Sie handeln jetzt mit ihren Technologien, sind in Kontakt mit Kriminellen anderer Nationen“, sagt Kaspersky.

Russische Angriffsstrategien weltweit gefragt

Neue Angriffsstrategien würden erst in Russland oder im russischsprachigen Raum getestet. „Dann sehen wir dieselben Attacken, dieselben Ideen, sogar dieselben Softwaremodule ganz woanders.“ Die Ausführung werde immer perfekter. „Früher arbeiteten allgemeine Netzkriminelle eher einfach, während die Geheimdienste in einer ganz anderen, viel komplexeren Liga spielten. Heute befinden sich Geheimdienste und Kriminelle auf demselben technologischen Level.“

Ein Trend: Traditionelle Verbrechen finden immer häufiger im Cyberspace statt. Zu Hackern gesellen sich dann Insider einer Branche. Etwa wenn Benzin aus einer Ölraffinerie gestohlen wird: „Das Volumen von Benzin hängt von der Temperatur ab“, erklärt Kaspersky. „Also hacken sie das System, manipulieren die Sensoren und heben unbemerkt die Benzin-Temperatur an. Das Benzin dehnt sich beim Anstieg der Temperatur aus, der Pegel steigt also. Die gehackten Sensoren aber zeigen eine niedrigere Temperatur, sodass das System auch einen niedrigeren Pegelstand erwartet – der Benzindiebstahl fällt also niemandem auf. Das ist sehr schwer aufzuspüren und sehr schwer zu ermitteln.“

Eine Milliarde Schädlinge in der Datenbank

Die Angriffswelle wächst. Die aktuelle Kaspersky-Datenbank enthält eine Milliarde schädlicher Objekte – Viren, Trojaner, Backdoors, Ransomware, Werbe-Apps. Von 70.000 täglich entdeckten Schädlingen in 2011 wuchs die Bedrohungsmasse auf 323.000 pro Tag in 2016. 36 Prozent der Online-Banking-Attacken weltweit greifen mittlerweile Android-Geräte an, im Jahr 2015 waren es noch acht Prozent.

Aus Deutschland kommen die drittmeisten Netz-Angriffe: 2016 wurden 262 Millionen URL-Adressen von Kaspersky-Schutzprogrammen als schädlich gemeldet. Acht neue Schadsoftware-Arten für Verkaufskassen und Geldautomaten wurden entdeckt, 20 Prozent mehr als im Vorjahr. Längst schleusen Hacker auch Viren in den Google Play Store ein – über infizierte Apps, die hunderttausende Male heruntergeladen werden. Dreiviertel aller Erpressungs-Software stammt aus Russland.

Twitter, Paypal, Netflix, Spotify – und demnächst?

Global aufgestellte Finanzdienstleister wie die großen Kreditkartenanbieter werden fast permanent angegriffen. Oft lassen Hacker nur die Muskeln spielen, um anzudeuten, was sie können. Im Oktober 2016 gingen die Webseiten von Twitter, Paypal, Netflix und Spotify nach Netzattacken in die Knie.

Die Täter kann man kaufen. „So eine Art Söldner“ seien sie, sagt Eugene Kaspersky. „Sie sind jederzeit verfügbar, man kann sie buchen.“ Es laufe ganz einfach: „Du zahlst. Sie arbeiten.“ Angebote gebe es im Netz. „Preise für gezielte bösartige Attacken liegen da so bei ein-, zweitausend Euro. Und manche von ihnen geben sogar einen Nachlass, wenn man zwei kauft. Das ist Business!“

Mensch als letzte Bastion gegen die Technik

Offenbar ein Geschäft ohne Grenzen. Hacker könnten auch die Kontrolle über ein Kernkraftwerk übernehmen, glaubt Kaspersky. „Ich fürchte, das ist möglich.“ Es sei „nicht das Worst-Case-Szenario“. Bei den eher langsamen Prozessen in einem Atommeiler könne der Mensch meist noch reagieren. Anders als etwa in einem Gaskraftwerk. Dort hätten Ingenieure „vielleicht nicht die Zeit, um zu erkennen, dass etwas schief läuft“. Die entscheidende Frage bei allen Cyberattacken sei: „Gibt es eine manuelle Eingriffsmöglichkeit oder nicht? Und: Bleibt genug Zeit, um gegenzusteuern?“

Die Industrie ist alarmiert. Siemens beobachtet, „dass sich Angreifer zunehmend mit industriellen Steuerungsanlagen beschäftigen“, vor allem mit „kritischen Infrastrukturen“. Da seien „unterschiedliche Gruppen mit unterschiedlichen Motiven unterwegs“, sagt ein Sprecher auf Anfrage. „Das Spektrum reicht von Spionage über Sabotage bis hin zu Cyberkriminalität“. Doch wer Siemens da so naherückt, weiß der Technologiekonzern nicht. „Zur Identität der Angreifer liegen uns keine Informationen vor.“ Und das, obwohl „ein eigenes Hacking-Team“ dafür bezahlt wird, die Stabilität des Siemens-Gebildes „aus der Perspektive der Angreifer zu testen“.

Energieriesen in erhöhter Alarmbereitschaft

Klassische Zielscheiben sind auch die großen Energiekonzerne. Der Stromriese E.ON und die Uniper-Gruppe besitzen Kraftwerke, die mit Kernenergie, Gas, Kohle und Erdöl laufen. Es sind potenzielle Einfallstore für Hacker. „Aufgrund der aktuellen Bedrohungslage ist unsere interne Cyberabwehr in erhöhter Alarmbereitschaft und beobachtet die Lage und die eigenen Systeme sehr intensiv“, sagt ein Uniper-Sprecher auf Anfrage. Man arbeite „sehr eng“ mit dem Bundesinnenministerium und dem BSI zusammen. Auch bei E.ON hat die IT-Sicherheit „hohe Priorität“. Der Konzern verfüge über „eine Cyber-Defense-Einheit, die die Sicherheit unserer Systeme ständig überwacht und sich mit anderen Unternehmen austauscht“.

Ob das reicht? Eugene Kaspersky zuckt mit den Schultern. „Schwer vorherzusagen.“ Sein Blick fällt aus dem Fenster, raus aufs Brandenburger Tor. Seine letzte Prognose war falsch. „Ich dachte, das nächste Gerät, das massenhaft angegriffen wird, ist das Smart-TV.“ Es kam anders. „Das nächste Gerät war die Überwachungskamera.“

Berater der Bundesregierung warnt vor „Blutbad“

Wie das endet? „Mit einem Blutbad, wenn es so weitergeht wie bisher“, befürchtet Sandro Gaycken. Früher war er ein Aktivist im Chaos Computer Club, heute berät er die Bundesregierung in Cyberwar-Fragen. Der öffentlich betonte hohe Stand der IT-Sicherheit sei reine Legende, sagt er. „Viele sogenannte Sicherheitsprodukte funktionieren gar nicht.“ Untersuchungen an der FU Berlin hätten „große Lücken bei fast allen Schutzsystemen“ gezeigt. „Wir sind verwundbar und offen“, warnt der Experte.

Die IT-Branche habe nur nicht den Mut, das auch so zu sagen. „Der Markt versagt. Deshalb sind Politik und Staat gefordert“, sagt Gaycken. „Wir brauchen mehr Transparenz bei den Problemen und mehr Effektivität bei den Lösungen“. Mit letzterem täten sich vor allem staatliche Sicherheitsbehörden schwer. „Die haben zu wenig Expertise, um das erfolgreich anzugehen.“