Hackerangriff: „Datenklau ist lukrativer als der weltweite Drogenhandel“

InterviewHackerangriff: „Datenklau ist lukrativer als der weltweite Drogenhandel“

von Andreas Menn

Russische Hacker haben 1,2 Milliarden Internet-Passwörter gestohlen. Nur die Spitze des Eisberges, sagt Datensicherheitsexperte Thorsten Urbanski. Krimineller Datenhandel sei längst ein Riesengeschäft.

 

Herr Urbanski, laut der US-Sicherheitsfirma Hold Security sind 1,2 Milliarden gestohlene Passwörter in Untergrundkanälen des Internets aufgetaucht. Wie muss man sich diese Cyber-Schwarzmärkte vorstellen?

Anzeige

Datendiebe nutzen seit vielen Jahren eigene Online-Foren und Internet-Shops – Ebays für Kriminelle. Sie können auf diesen Plattformen alle möglichen gesetzeswidrigen Online-Dienstleistungen und illegale Waren kaufen: Gestohlene E-Mail-Adressen, Passwörter, Kreditkartendaten, Computerschädlinge, gekaperte Rechner oder Geräte für die Manipulation von Bankautomaten.

Zur Person

  • Thorsten Urbanski

    Thorsten Urbanski ist Datensicherheitsexperte beim Bochumer Softwareanbieter G Data, der seit 1985 Antiviren-Programme entwickelt und vertreibt.

Wie leicht wird man in einen solchen Cyber-Schwarzmarkt hineingelassen?

Einfach so kommen Sie dort nicht hinein. Sie müssen sich in gewissen Kreisen einen Namen gemacht haben. Aber innerhalb der Foren läuft die Kommunikation völlig anonymisiert ab. Dafür sorgen eigene Anbieter, so genannte Bulletproof-Provider. Die bieten Online-Foren und Shops für Kriminelle an. Dort geht es zu wie im legalen Online-Handel, es gibt sogar eine Gewährleistung auf die angebotenen Güter: Wenn jemand dort 1000 Kreditkarten-Datensätze kauft, von denen aber viele nicht funktionieren, bekommt er sein Geld zurück. Andere Anbieter greifen auch auf Wunsch fünf Minuten lang die Server ausgewählter Industrie-Unternehmen an, um zu belegen, dass ihre Cyberattacken ihr Geld wert sind.

Über welche Kanäle werden die Verkäufer dieser Dienste bezahlt?

Bezahlt wird mit Cyber-Geld, etwa Bitcoins, oder über so genannte Geldesel: Zwischenhändler, die etwa ein Konto in Deutschland besitzen und das Geld über Dienste wie Western Union ins Ausland weiterleiten. Diese Leute werden oft nach wenigen Monaten von der Polizei gefasst – und gelten in der Szene dann als verbrannt.

Merkregeln für sichere Passwörter

  • Vorsicht

    Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.

    Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.

  • Abwechslung

    Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.

  • Komplexität

    Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.

  • Codes mit Gefühl

    Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzuleicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.

  • Passwörter mixen

    Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.

  • Codes verschlüsseln

    Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.

  • Länge hilft

    Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.

  • Kürze auch

    Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.

  • Sonderzeichen nutzen

    Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.

  • Übung macht den Meister

    Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.

Wie profitabel ist der Datenhandel?

Es ist ein sehr lukratives Profi-Geschäft. Für einen Datensatz erhalten Sie in den einschlägigen Foren mindestens einen Cent. Bei 1,2 Milliarden Datensätzen, die im aktuellen Fall der russischen Hacker aufgetaucht sind, macht das also mindestens 12 Millionen Euro. Falls die Anbieter alle Daten auf Echtheit geprüft haben, können sie sogar ein Vielfaches verlangen. Kurz: Es lohnt sich. Im klassischen kriminellen Bereich ist so viel Geld nur schwer zu ergaunern.

Handelt es sich bei dem bekannt gewordenen Milliarden-Datenklau um einen einzigartigen Coup?

Es gibt 2,7 Milliarden Internetnutzer – 1,2 Milliarden Datensätze sind also dicker Brocken. Aber sogar das kann nur die Spitze des Eisberges sein. Denn Datendiebstahl ist seit vielen Jahren ein alltägliches Geschäft. Internationale Ermittlungsbehörden gehen davon aus, dass Datendiebe und Hacker inzwischen mehr Geld umsetzen als der weltweite Drogenhandel.

Wie können Behörden die Täter dingfest machen?

Deutschlands Datenschutzgesetz ist das härteste der Welt – aber außerhalb Europas sind die hiesigen Behörden praktisch machtlos. Viele Hacker arbeiten in Ländern der ehemaligen Sowjetunion aus in der Karibik. Und sie sind Profis, die ihre Spuren zu verschleiern wissen. Sie zurückzuverfolgen, kann Jahre dauern.

Wie kommen die Täter überhaupt an meine Daten heran?

Es ist nicht ganz klar, woher die Daten im aktuellen Fall erbeutet wurden. Es gibt verschiedene Möglichkeiten: Vielleicht wurden die Daten direkt von den Servern von Online-Händlern oder E-Mail-Providern gestohlen. Vielleicht haben die Hacker aber auch viele private Computer mit Spionageprogrammen infiziert.

Wie funktioniert das?

Der Weg Nummer eins dafür sind manipulierte Internet-Seiten. Wir haben in den vergangenen Jahren verschiedenste gehackte Seiten gefunden, von Turnvereinen, Sportartikel-Marketingfirmen, Hallenbädern. Wer diese Webseite mit einem nicht ausreichend geschützten Rechner besucht, dem wird ein Schädling auf der Festplatte installiert. Der Nutzer bekommt davon nichts mit.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%