WiWo App Jetzt gratis testen
Anzeigen

Hackerangriff „Datenklau ist lukrativer als der weltweite Drogenhandel“

Russische Hacker haben 1,2 Milliarden Internet-Passwörter gestohlen. Nur die Spitze des Eisberges, sagt Datensicherheitsexperte Thorsten Urbanski. Krimineller Datenhandel sei längst ein Riesengeschäft.

Techniken zur digitalen Selbstverteidigung
E-Mails verschlüsselnDie Technik für eine solche Verschlüsselung gibt es seit Jahren. Sie hat nur zwei Nachteile: Erstens macht es Mühe, sie zu benutzen, und zweitens muss der Empfänger dieselbe Technik einsetzen. Fakt ist, dass E-Mails grundsätzlich kein besonders sicheres Kommunikationsmedium sind, aber durch ihre weite Verbreitung unverzichtbar bleiben. Auch wenn es aufwendig klingt: Sie sollten darüber nachdenken, zumindest im Mailverkehr mit wichtigen Partnern beidseitige Verschlüsselung einzusetzen. Quelle: dpa
Verabschieden Sie sich aus sozialen NetzwerkenSoziale Netzwerke sind nicht sicher, können es nicht sein und wollen es wohl auch nicht. Deshalb muss sich jeder Nutzer darüber im Klaren sein, dass für die Nutzung von Facebook & Co. mit dem Verlust von Privatsphäre bezahlt wird. Viele Unternehmen fragen sich inzwischen: Brauchen wir das wirklich? Hier macht sich zunehmend Ernüchterung über den Nutzen sozialer Netzwerke breit. Quelle: dpa
Springen Sie aus der WolkeVermutlich sitzt die NSA zwar nicht in den Rechenzentren von Google oder Microsoft, aber sie könnte Internet-Service-Provider überwachen und damit auch Daten auf ihrem Weg in die Wolke beobachten. Unabhängig davon, was die NSA tatsächlich tut, wissen wir, dass Behörden auf Cloud-Server zugreifen können. Halten Sie Ihre Daten in einer Private Cloud oder gleich im eigenen Rechner. Zu aufwendig? Nicht zeitgemäß? Auf jeden Fall besser, als beklaut zu werden. Quelle: dpa
Schalten Sie alles Unnötige abWer Smartphones und Tablets benutzt, weiß, dass solche Geräte ständig im Hintergrund irgendwelche Kontakte und Kalender synchronisieren, Browser-Historien anlegen und viele mehr. Richtig gefährlich kann dieses ständige Sich-einwählen in Verbindung mit GPS-Daten sein. Google weiß nämlich, in welcher Bar Sie letzte Woche waren. Wichtig ist erstens, die GPS-Funktion immer wieder zu deaktivieren, zweitens in Google Maps sämtliche Funktionen, die Standorte melden und Standorte mit anderen teilen, zu deaktivieren. Quelle: dpa
Eine Methode, um Bewegungsprofile zu vermeiden, ist die Benutzung eines guten alten Navis statt eines Smartphones zur Orientierung. Navis lassen sich – anders als Telefone – auch vollkommen anonymisiert einsetzen. Quelle: REUTERS
Web-Browsing versteckenDer Einsatz eines Secure-socket layers (SSL) zur Datenverschlüsselung im Internet ist nicht völlig sicher, aber auf jeden Fall deutlich sicherer, als nichts zu tun. Eine Möglichkeit, SSL zu nutzen, ist die HTTPS Everywhere-Browsererweiterung der Electronic Frontier Foundation. Gibt es aber leider nur für Firefox und Chrome. Noch mehr Sicherheit bietet das Tor Browser Bundle, aber es kann das Surf-Erlebnis unter Umständen deutlich verlangsamen. Quelle: dpa
Keine Messages über externe ServerInstant Messaging über Google Hangouts, Skype und ähnliches landet zwangsläufig in den Händen Dritter, weil solche Nachrichten grundsätzlich nicht direkt, sondern über einen Server ausgeliefert werden. Quelle: REUTERS

 

Herr Urbanski, laut der US-Sicherheitsfirma Hold Security sind 1,2 Milliarden gestohlene Passwörter in Untergrundkanälen des Internets aufgetaucht. Wie muss man sich diese Cyber-Schwarzmärkte vorstellen?

Datendiebe nutzen seit vielen Jahren eigene Online-Foren und Internet-Shops – Ebays für Kriminelle. Sie können auf diesen Plattformen alle möglichen gesetzeswidrigen Online-Dienstleistungen und illegale Waren kaufen: Gestohlene E-Mail-Adressen, Passwörter, Kreditkartendaten, Computerschädlinge, gekaperte Rechner oder Geräte für die Manipulation von Bankautomaten.

Zur Person

Wie leicht wird man in einen solchen Cyber-Schwarzmarkt hineingelassen?

Einfach so kommen Sie dort nicht hinein. Sie müssen sich in gewissen Kreisen einen Namen gemacht haben. Aber innerhalb der Foren läuft die Kommunikation völlig anonymisiert ab. Dafür sorgen eigene Anbieter, so genannte Bulletproof-Provider. Die bieten Online-Foren und Shops für Kriminelle an. Dort geht es zu wie im legalen Online-Handel, es gibt sogar eine Gewährleistung auf die angebotenen Güter: Wenn jemand dort 1000 Kreditkarten-Datensätze kauft, von denen aber viele nicht funktionieren, bekommt er sein Geld zurück. Andere Anbieter greifen auch auf Wunsch fünf Minuten lang die Server ausgewählter Industrie-Unternehmen an, um zu belegen, dass ihre Cyberattacken ihr Geld wert sind.

Über welche Kanäle werden die Verkäufer dieser Dienste bezahlt?

Bezahlt wird mit Cyber-Geld, etwa Bitcoins, oder über so genannte Geldesel: Zwischenhändler, die etwa ein Konto in Deutschland besitzen und das Geld über Dienste wie Western Union ins Ausland weiterleiten. Diese Leute werden oft nach wenigen Monaten von der Polizei gefasst – und gelten in der Szene dann als verbrannt.

Merkregeln für sichere Passwörter

Wie profitabel ist der Datenhandel?

Es ist ein sehr lukratives Profi-Geschäft. Für einen Datensatz erhalten Sie in den einschlägigen Foren mindestens einen Cent. Bei 1,2 Milliarden Datensätzen, die im aktuellen Fall der russischen Hacker aufgetaucht sind, macht das also mindestens 12 Millionen Euro. Falls die Anbieter alle Daten auf Echtheit geprüft haben, können sie sogar ein Vielfaches verlangen. Kurz: Es lohnt sich. Im klassischen kriminellen Bereich ist so viel Geld nur schwer zu ergaunern.

Handelt es sich bei dem bekannt gewordenen Milliarden-Datenklau um einen einzigartigen Coup?

Es gibt 2,7 Milliarden Internetnutzer – 1,2 Milliarden Datensätze sind also dicker Brocken. Aber sogar das kann nur die Spitze des Eisberges sein. Denn Datendiebstahl ist seit vielen Jahren ein alltägliches Geschäft. Internationale Ermittlungsbehörden gehen davon aus, dass Datendiebe und Hacker inzwischen mehr Geld umsetzen als der weltweite Drogenhandel.

Wie können Behörden die Täter dingfest machen?

Deutschlands Datenschutzgesetz ist das härteste der Welt – aber außerhalb Europas sind die hiesigen Behörden praktisch machtlos. Viele Hacker arbeiten in Ländern der ehemaligen Sowjetunion aus in der Karibik. Und sie sind Profis, die ihre Spuren zu verschleiern wissen. Sie zurückzuverfolgen, kann Jahre dauern.

Wie kommen die Täter überhaupt an meine Daten heran?

Es ist nicht ganz klar, woher die Daten im aktuellen Fall erbeutet wurden. Es gibt verschiedene Möglichkeiten: Vielleicht wurden die Daten direkt von den Servern von Online-Händlern oder E-Mail-Providern gestohlen. Vielleicht haben die Hacker aber auch viele private Computer mit Spionageprogrammen infiziert.

Wie funktioniert das?

Der Weg Nummer eins dafür sind manipulierte Internet-Seiten. Wir haben in den vergangenen Jahren verschiedenste gehackte Seiten gefunden, von Turnvereinen, Sportartikel-Marketingfirmen, Hallenbädern. Wer diese Webseite mit einem nicht ausreichend geschützten Rechner besucht, dem wird ein Schädling auf der Festplatte installiert. Der Nutzer bekommt davon nichts mit.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%