Nur wenige Minuten ist der Chat verfügbar. Zugang über das verschlüsselte Netzwerk haben lediglich ausgewählte Teilnehmer. Die Internetadresse besteht aus einer ständig wechselnden Kombination von Zahlen und Buchstaben. Nur wer diesen Algorithmus richtig interpretieren kann, kennt Dauer und Zeitpunkt des Kommunikationsnetzwerks. Sobald der Chat offline geht, ist es als habe es ihn nie gegeben.
Hacker, Vermittler und Käufer nutzen solche Netzwerke als Marktplatz. Innerhalb von wenigen Minuten werden auf diesem Weg große Datenmengen und Schwachstellen von Systemen der Unternehmen, sogenannte Exploits, gehandelt.
Für eine Lücke im IOS-Betriebssystem der Apple-iPhones können schon einmal 250.0000 Dollar oder mehr veranschlagt werden. Potenzielle Käufer sind Hacker, Unternehmen oder gar Staaten.
Das US-amerikanische IT- und Beratungsunternehmen IBM Security stellt in seinem aktuellen Sicherheitsreport fest, dass sich die Anzahl schwerwiegender Cyberangriffe auf Unternehmen innerhalb von nur einem Jahr mehr als verdoppelt hat. Weltweit erleiden Unternehmen Schätzungen zufolge jährlich einen finanziellen Schaden in Höhe von 375 bis 575 Milliarden US-Dollar. Allein in Deutschland entstand dadurch ein geschätzter Gesamtschaden im zweistelligen Milliardenbereich.
Quer durch alle Branchen waren laut einer Umfrage der Wirtschaftsprüfungsgesellschaft KPMG aus dem Jahr 2014 rund 40 Prozent aller deutschen Firmen betroffen, doppelt so viele wie 2013. In den Medien liest man vom Diebstahl mehrerer Millionen Nutzerdaten – beispielsweise des Elektronikkonzerns Sony. Die richtig großen Raubzüge allerdings dringen meist gar nicht an die Öffentlichkeit. Dafür sorgen nicht nur die Unternehmen, sondern auch der digitale und anonyme Handelsplatz, auf dem sich all das im Verborgenen abspielt.
Der Begriff Darknet bezeichnet einen Teil des so genannten Deepwebs. Dieser Bereich ist tausend Mal größer als das für den normalen User sichtbare Internet – auch Surface-Web genannt. Das Deebweb macht den Teil des Internets sichtbar, den Suchmaschinen wie Google nicht finden.
Das Darknet geht jedoch noch darüber hinaus. Hier tritt man nicht über Internet Explorer, Firefox oder Chrome ein, sondern über eine spezielle Software, zum Beispiel den Tor-Browser.
In diesem System, das ursprünglich vom US-Militär zur verschlüsselten Kommunikation entwickelt worden ist, finden sich all jene, die auf Anonymität angewiesen sind: Whistleblower, Journalisten, Dissidenten. Zunehmend aber auch Kriminelle jeglicher Art. Immer mehr im Fokus der Cyberkriminellen ist der Handel mit Daten von Unternehmen. „Und der Markt wächst rasant“, sagt Oliver Achten, Cyber Security Experte der Wirtschaftsprüfungsgesellschaft EY.
Shoppen wie bei Amazon
Die Plattformen heißen „The Real Deal“, „Hansa“ oder „Dream Market“. Auf jedem dieser Darknet-Märkte finden sich tausende lukrative Angebote. Zum Beispiel bekommt man dort für 140 Dollar ein Paypal-Konto mit bis zu 1000 Dollar garantiertem Volumen, eine Kreditkarte der Firma Master Card für 17 Dollar oder Bankkonten mit einem Dispo von 70.000 Dollar zu einem Preis von 4200 Dollar.
„Das sind die Kleinkriminellen der Cyberwelt“, sagt Achten. Leidtragende sind in solchen Fällen meist Privatpersonen, nicht das Unternehmen selbst. Geht man noch eine Stufe tiefer in die Welt der Cyberkriminalität, findet man Trojaner, Viren und Malware, die der Kunde sich einfach in seinen Warenkorb packen kann. Die Verkäufer legen viel Wert auf ein gutes Dienstleistungsverhältnis: Sie werben mit ihrer Erfahrung und den Berichten früherer Abnehmer. Kunden können ihre Verkäufer ähnlich wie bei Ebay oder Amazon bewerten.
Der Handel mit den Daten von Unternehmen
Ein Exploit ist ein Programm oder – fast noch öfter – eine Methode, mit der Angreifer bestehende Sicherheitslücken in Software und Hardware ausnutzen. Damit können Hacker aus der Ferne einen Code auf einem Computer auszuführen. So kann ein Angreifer dann schädliche Programme auf dem angegriffenen Computer ausführen, oder seine Zugriffsrechte erhöhen.
Ein Zero Day Exploit Attack (ZETA) ist ein Angriff, der am selben Tag erfolgt, an dem eine Schwachstelle in einer Software entdeckt wird. In diesem Fall wird die Schwachstelle ausgenutzt, bevor sie vom Softwarehersteller geschlossen werden kann.
In der Computerwelt handelt es sich bei einem Trojaner um ein Programm, in das bösartiger oder schädlicher Code eingebettet ist. Obwohl das Programm nach außen hin harmlos erscheint, kann es die Kontrolle über den Rechner übernehmen und schwere Schäden anrichten, beispielsweise an der Dateibelegungstabelle der Festplatte.
Ransomware ist eine Form von Malware, die Daten kidnappt. Der Angreifer verschlüsselt die Daten der Opfer und verlangt ein Lösegeld für den privaten Schlüssel. Ransomware wird unter anderem via E-Mail-Anhänge, infizierte Programme und kompromittierte Websites verteilt. Security-Experten bezeichnen ein Ransomware-Malware-Programm manchmal auch als Kryptovirus, Kryptotrojaner oder Kryptowurm.
Malware bezeichnet ein schädliches Programm (Schadsoftware). Dies sind Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte bzw. schädigende Funktionen auszuführen. Der Begriff bezeichnet keine schadhafte Software, obwohl auch diese Schaden anrichten kann.
Mittlerweile gibt es im Netz ganze Baukastensysteme zu kaufen, mit denen sich die Angreifer Werkzeuge einfach zusammenklicken. Poison Ivy oder DarkComet heißen Toolkits, mit denen sich auch ohne Programmierkenntnisse Trojaner basteln lassen.
Als Zusatzangebot kann man weitere Leistungen erwerben: Die Dienste eines Hackers mieten oder ab 15 Euro pro Monat einen Phishing-Service als Onlinedienst. Das Modell ist klar: Crime as a service, also Kriminalität als Dienstleistung. So sieht Shopping in der digitalen Unterwelt aus. Um ihre Anonymität zu wahren, wickeln die Beteiligten die Zahlungen über verschlüsselte Konten der digitalen Krypto-Währung Bitcoin ab.
„Das Geschäft mit Erpressungs-Trojanern ist zur Zeit besonders beliebt“, warnt Achten. Trojaner sind für Computer schädliche Programme. Erst im Februar dieses Jahres breitete sich die Schadsoftware Locky auf unzähligen PCs privater Nutzer aber auch auf Systemen von Unternehmen aus. Die Angreifer forderten Geld für die Entfernung des Virus.
Ein sogenannter Ransomware-Angriff kann einen ganzen Konzern lahmlegen und dessen Daten unwiderruflich löschen. Gefahren, die laut Achten leicht minimiert werden könnten. „Solche Trojaner werden häufig über erfundene Mails verbreitet. Eine Sensibilisierung der Mitarbeiter und eine zusätzliche Sicherung der Daten würde helfen etwaige Angriffe früh zu erkennen.“ Trotzdem sind unzählige Unternehmen bereits Opfer eines solchen Angriffs geworden.
Wie die Ergebnisse einer Ransomware-Umfrage des Bundesamtes für Sicherheit und Informationstechnik (BSI) zeigen, waren mehr als ein Drittel der 592 befragten Institutionen aus der deutschen Wirtschaft, in den vergangenen sechs Monaten von Verschlüsselungs-Trojanern betroffen.
Bei 75 Prozent der Betroffenen hat sich der Schädling über infizierte E-Mail-Anhänge auf Computer geschlichen. Damit hat sich eine Schattenwirtschaft etabliert wie sie in Bereichen Waffen- und Drogenhandel seit Jahrzehnten existiert.
Profis zapfen Pharmadaten an
Neben den einzeln handelnden Hackern machen organisierte Banden das richtig große Geld mit dem Handel von Unternehmensdaten. Sandro Gaycken, Leiter des Digital Society Institute an der European School of Management and Technology in Berlin, sagt: „Hier geht der Schaden für Unternehmen teilweise in die Milliarden.“ Dabei sei allerdings zu unterscheiden, wer welche Daten kauft, beziehungsweise den Erwerb in Auftrag gibt.
„Der Markt lässt sich in drei Bereiche gliedern. Personenbezogene Daten, zum Beispiel von einzelnen Nutzern, Produktions- und Entwicklungsdaten und Geschäftsdaten“, erklärt Gaycken, der neben der Bundesregierung unter anderem mittelständische und größere Unternehmen im Bereich der IT-Sicherheit berät.
Personenbezogene Daten sind Adressen, Kreditkartendaten, Passwörter und ähnliches. Mehrere Millionen Daten von Adobe-Kunden gerieten beispielsweise vor drei Jahren in die Hände Krimineller. Auf dem Schwarzmarkt im Internet sind solche Daten Hunderttausende Euro wert. „In diesem Bereich finden sich viele Kleinkriminelle“, sagt Gaycken.
An das Geschäft mit Produktions- und Entwicklungsdaten hingegen, etwa aus dem Pharmabereich, würden sich nur organisierte Banden wagen. „An diese Strukturen kommt man natürlich nicht einfach über einen offen zugänglichen Marktplatz im Darknet ran“, sagt Gaycken. Die Kommunikation der Bandenmitglieder laufe ausschließlich über geschlossene Foren. „Diese kleineren Vertrauensnetzwerke tauchen auf und verschwinden dann wieder.“ Eine kurze Zwischenkommunikation unter Kriminellen, die sich meist kennen. Namen von betroffenen Unternehmen darf er nicht nennen.
Oft werden Schwachstellen im System genutzt, um Späh-Programme zu installieren, die dann die gewünschten Daten liefern. Wie groß genau die Schäden sind, lässt sich nur schätzen. Zumal viele Firmen den Diebstahl gar nicht oder erst einige Zeit später bemerken, etwa wenn ein Konkurrent ihr neues Produkt vor ihnen auf den Markt bringt. Der Handel mit Schwachstellen (Exploits) ist nach Einschätzung von Experten wie Gaycken in den vergangenen Jahren exponentiell gewachsen.
Angeboten werden die Daten fast in der Hälfte aller Fälle von Mitarbeitern der betroffenen Unternehmen selbst, Käufer sind vermehrt Geheimdienste von Staaten und Konkurrenzunternehmen: „Entweder die Unternehmen kaufen Exploits, um die Konkurrenz auszuspionieren, oder um die eigenen Schwachstellen vom Markt zu nehmen“, erklärt Gaycken.
Nicht nur Chinas Geheimdienste sind aktiv
Geheimdienste nutzen den Schwarzmarkt nicht nur, um die Sicherheit der eigenen Bevölkerung zu gewährleisten. „Manche Staaten betreiben offen Industriespionage zum Vorteil des eigenen Landes“, sagt Gaycken. Zum Beispiel China. Um Wachstum zu gewährleisten, bediene sich China zum Teil „illegaler Wege“.
Das zeigt nach Ansicht von Sicherheitsspezialisten der Fall des kanadischen Netzausrüsters Nortel. 2000 begannen chinesische Hacker in den IT-Systemen des Unternehmens ein- und auszugehen und erlangten wichtige Firmeninterna und –geheimnisse erlangen, darunter technische Dokumentationen, Entwicklungsprojekte und Geschäftspläne. Damals war Nortel ein kanadisches Vorzeigeunternehmen mit einem Börsenwert von 225 Milliarden Euro. Insider meinen, es sei kein Zufall, dass mit dem Abstieg von Nortel der Aufstieg des chinesischen Konkurrenten Huawei begann. 2009 meldete Nortel Insolvenz an und wurde in seine Einzelteile zerschlagen und an mehrere Konkurrenten verkauft.
Doch nicht nur China mischt mit. Auch der Bundesnachrichtendienst (BND) plant, in den Handel mit Exploits einzusteigen, wie 2014 bekannt wurde. Dafür erntete er harsche Kritik aus den Reihen der Computerexperten. Dirk Engling, Pressesprecher des Chaos Computer Club, verweist darauf, dass der Einstieg des BND in den dubiosen Markt der Exploits die deutsche Wirtschaft schädigen werde: „Wenn deutsche Geheimdienste diesen Schwarzmarkt mit unseren Steuergeldern noch anheizen, würde das erhebliche Folgekosten für die Wirtschaft haben, die schon heute kaum hinterherkommt, ihre technische Infrastruktur gegen Angriffe zu verteidigen.“
Michael Meier, Leiter der Abteilung Cyber Security beim Fraunhofer Institut (FKIE), sieht die Entwicklung der illegalen Darknet-Märkte ebenfalls mit Sorge. Die Täter zu ermitteln sei nahezu unmöglich, da sei das Darknet wie eine permanente Maskierung. „Deswegen müssen die Unternehmen sich besser schützen“, anders werde sich an der pikanten Situation der Wirtschaft nichts ändern.
„Das Problem ist, dass IT-Sicherheit kein messbares Gut ist“, sagt Meier. Sicherheitsvorkehrungen liefern keinen Gewinn, der sich in der Bilanz ausweisen lässt – deswegen investieren viele Unternehmen nur ungern in diesem Bereich. Wenn ein Unternehmen allerdings einem Cyberangriff ausgesetzt ist, seien die Schäden enorm. Ein durchschnittlicher Datendiebstahl, ermittelte IBM in seinem jüngsten Sicherheitsreport, verursacht in Deutschland einen Schaden von 3,5 Millionen US-Dollar.
Deswegen investieren große Unternehmen zum Teil in Feuerwehreinheiten. Dort sind entweder intern oder extern beschäftigte IT-Profis zur Stelle, wenn es einen Sicherheitsnotfall gibt. Oder sie schreiben Preise dafür aus, dass Hacker gefundene Schwachstellen dem Unternehmen melden, anstatt sie auf dem Schwarzmarkt zu versteigern. Dafür bekommt der Hacker von manchen Firmen 10.000 Euro, von anderen nur ein T-Shirt. Dabei sind Unternehmen wie Apple, AOL, Blackberry und Telekom.
„Das muss sich ein Unternehmen aber auch erst einmal leisten können“, sagt Meier. Das Problem sei jedoch, dass die Technik sich rasend schnell weiter entwickelt. „Da werden Unternehmen einen Schritt hintendran sein. Sie können nur Sicherheitsvorkehrungen treffen und gute Experten für den Fall bereit haben, wenn es passiert“, sagt Meier. Hundertprozentigen Schutz gebe es eben nie.