San Francisco Satya Nadella macht Nägel mit Köpfen. Am vergangenen Donnerstag stellte er eine komplette Reorganisation von Microsoft vor. Alle Kräfte werden jetzt auf das Internet, das Cloud-Computing und vernetzte Dienstleistungen konzentriert. Das Unternehmen verschreibt sich mit Haut und Haaren dem Internet. Windows ist nur noch das Rückgrat einer vernetzten Welt aus Apps und Services. Office365 ist eine internetbasierte Büroanwendung.
Doch was passiert, wenn die Menschen das Vertrauen in das Internet verlieren, wenn die Cybermafia ungestört Computer und Netzwerke verschlüsselt und zerstört, wenn Bankkonten geplündert und Identitäten gestohlen werden? Wenn niemand in seiner digitalen Welt mehr sicher ist? Gerade erst hat der Sicherheitsdienst Symantec ein neues „Geschäftsmodell“ der Internet-Banden entdeckt.
Das „Cryptojacking“ ist 2017 um 8500 Prozent gewachsen. Dabei übernehmen die Angreifer die PCs oder Firmenserver und setzen sie unbemerkt für das „Minen“ von Kryptowährungen wie Bitcoin oder Ripple ein. Das Interessante dabei: Die Betroffenen merken nur, dass ihre Server und Rechner langsamer sind und bleiben auf irrsinnigen Stromrechnungen sitzen, bis sie bemerken, was passiert. Die Gewinne aus dem „Mining im Vorbeigehen“ sind für die Gauner dagegen praktisch legal. Microsoft beschäftigt 3500 Menschen, deren Aufgabe es ist, so etwas zu verhindern. „Microsoft“, sagt CEO Nadella, „basiert auf Vertrauen.“ Da gibt es keine Alternative.
Akribische Kleinarbeit, um digitale Spuren zu verfolgen
Patti Chrzan ist Senior Director in Microsofts Digital Crimes Unit, der DCU, in einem unscheinbaren Gebäude des Redwest-Campus in Redmond, im Bundesstaat Washington. DCU, das hört sich so an wie die US-Serie NCIS mit Elite-Ermittler Jethro Gibbs, und es ist irgendwie auch so. Die DCU ist das Herz von Microsofts digitaler Gefahrenabwehr: Hier laufen alle Fäden der globalen Ermittlungen gegen das organisierte Verbrechen im Internet beim größten Softwareanbieter der Welt zusammen. „Fotografieren verboten“, ist der erste Satz, den man zu hören bekommt, wenn man die dicke Glastüre durchschritten hat. Die Rucksäcke soll man bitte auf den Bänken am Eingang des langen Ganges ablegen. „Keine Angst“, heißt es mit einem Augenzwinkern. „Hier kommt keiner rein.“
An Sicherheitssoftware wird an anderen Orten im Konzern gearbeitet. In der DCU werden die großen Aktionen geplant, hier hält man Kontakt zu den weltweiten Polizeibehörden, koordiniert internationale Schläge gegen die Cybermafia, geht in akribischer Kleinarbeit digitalen Spuren nach. Die Cybermafia ist professionell, gut organisiert und bestens ausgestattet. Die DCU nutzt alle Ressourcen Microsofts, von Software über Cloud-Computing, Big Data-Analyse und künstliche Intelligenz bis zu Maschinenlernen, um Angriffe zu verhindern, aufzudecken oder Täter zu identifizieren.
„Aber“, dämpft die Microsoft-Expertin Chrzan direkt zu großen Optimismus, „das alles nutzt die Gegenseite natürlich auch. Es ist ein ewiges Wettrennen.“ Aber es gibt gute Erfolge. In einem chinesischen Unternehmen wurden über 500.000 Windows-Lizenzen gestohlen. In mühseliger Kleinarbeit fand die DCU heraus, wo die meisten der Lizenzen aktiviert wurden. Die Polizei sprengte den Ring und bekam den Namen des Mittelsmanns in China. Als er einmal auf der Durchreise auf einem US-Flughafen zwischenlandete, klickten die Handschellen.
Nach einem langen Gang und einer Rechtsbiegung geht es in einen Konferenzraum, um den sich mehrere „Labs“ mit blickdichten Milchglasscheiben gruppieren. Auf einer wandhohen Projektionsfläche lässt sich für fast jeden Ort die momentane digitale Bedrohungssituation darstellen. Welche Botnetze sind aktiv, wie viele Rechner infiziert. Wo beginnt sich ein neuer Angriff auszubreiten.
Die Kosten der Cyberkriminalität steigen rasant
Die Analysten und Daten-Forensiker der DCU greifen auf alles zu, was an Informationen zur Verfügung steht. 400 Milliarden E-Mails pro Monat untersucht Microsoft auf Phishingversuche, 450 Milliarden Einlogvorgänge in Apps oder auf Services wie Office365 werden beobachtet, 18 Milliarden von der Suchmaschine Bing indexierte Webseiten auf hinterlistige Software gecheckt und vieles mehr. 1,2 Milliarden Endgeräte weltweit hätten aktiv zugestimmt, ihre Daten anonymisiert zur Verfügung zu stellen, sagt Johnnie Konstantas vom Bereich Unternehmenssicherheit.
Die Kosten der Cyberkriminalität weltweit steigen rasant und Unternehmen müssen mit immer größeren Schäden rechnen. Kostete eine Attacke aus dem Cyberspace 2013 im Schnitt noch 7,2 Millionen Dollar pro Unternehmen, waren es 2017 schon 11,7 Millionen. Insgesamt, so rechnet der Branchendienst Juniper Research vor, werden im Jahr 2020 Unternehmen weltweit acht Billionen Dollar Schaden durch Cyberattacken entstehen.
Gut 3500 Mitarbeiter arbeiten bei Microsoft in Bereichen wie dem „Windows Defender Team“, dem „Microsoft Threat Intelligence Center”, dem „Microsoft Malware Protection Team“ oder der DCU. Dort arbeiten auch die meisten Anwälte. Eine Milliarde Dollar pro Jahr ist der Etat der Microsoft-Sicherheitssparte groß. Zum Vergleich: Symantec, einer der größten eigenständigen Spieler im Cybersecuritymarkt, setzt 4,7 Milliarden Dollar im Jahr um.
Besonders stolz ist die DCU auf Gamaroo. 2014 wurde beschlossen, eines der größten Botnetze, das die Welt je gesehen hatte, aus dem Verkehr zu ziehen. 44.000 verschiedene Schadprogramme wurden in enger Zusammenarbeit mit einem weiteren Sicherheitsunternehmen untersucht. Nach drei Jahren Ermittlungen erfolgte die Weitergabe von 1200 Domains und IP-Adressen, quasi die Kontroll-Infrastruktur des Syndikats, an weltweite Strafverfolger wie FBI, Interpol und nationale Polizeistellen. 484 Botnetze waren identifiziert und 80 Malware-Familien konnten so ausgehoben werden.
Das Risiko soll so groß wie möglich werden
Die Polizei ermittelt die oft ahnungslosen Besitzer der IP-Adressen. Microsoft übernimmt dann, nach richterlicher Genehmigung, viele dieser Webadressen. Millionen von infizierten Rechnern kontaktieren von da an Microsoft statt ihre Auftraggeber. Interpol schätzt, dass 50 Prozent der infizierten PCs noch immer die Malware nicht entfernt haben. Aber sie sind nun ungefährlich, weil sie nicht mehr auf Befehl der Zentrale losschlagen oder „DDOS“-Angriffe starten können. Bei DDOS-Angriffen richten Millionen von Computern per Internet zeitgleich Anfragen an die selbe Webadresse, das können Unternehmen oder staatliche Organisationen sein, selbst Militärinfrastruktur und ähnliches. Die Netze kollabieren dann regelmäßig unter der Last.
In der DCU wird ein sogenanntes „Sinkhole“ betrieben, auf der die Anfragen der Zombierechner zusammenlaufen, die nach neuen Aufgaben fragen. Der Erfolg der Gamaroo-Aktion war direkt messbar. Kamen im Dezember noch 17 Millionen Anfragen, die in der digitalen Sickergrube versandeten, waren es im Januar 14 und jetzt nur noch knapp 12 Millionen. Welche Dimensionen globale Botnetze erreichen, zeigt „Dorkbot“. Die Schadsoftware ist mittlerweile stillgelegt – aber alleine in den letzten Tagen kamen in den Sinkholes eine Milliarde Anfragen von infizierten Rechnern an, wen sie als nächstes angreifen sollen.
Die DCU will das Risiko für die Gangster so groß wie möglich machen. Noch ist das nicht wirklich der Fall. Begeisterte Anwender schreiben im „Darknet“, dem unsichtbaren Teil des Internets, für Neulinge Testberichte für Computerschadprogramme, sogenannte „Malware“. Ein „Bot“, dessen vollen Namen Microsoft auf der Präsentation ausgeschwärzt hat, wird dabei als „stabil und unsichtbar“ gepriesen, mit „super Möglichkeiten“. Er sei für den PC-Nutzer praktisch nicht mehr zu entfernen, schwärmt er, und funktioniere auf allen Windows-Versionen bis hinauf zu Windows 7. Die angehängte Preisliste ist einfach und überschaubar.
Das Rundum-Komplettpaket kostet 400 Dollar, ein einzelnes Modul, um zum Beispiel Passwörter aus dem Firefox-Browser mitzuschneiden, gerade mal 25 Dollar. Im Sonderangebot für 60 Dollar ist das Bündel aus Firefox- und Internet-Explorer-Spion, zusammen mit E-Mail-Schnüffler und einem Passwort-Räuber für FTP-Logins. FTP ist ein beliebtes Profi-Protokoll, um große Dateien zu versenden. Fertig konfiguriert, wird die Software auf so vielen Endgeräte wie möglich verbreitet. Wie, da ist alleine die Phantasie des Digital-Einbrechers gefragt. Phishing-E-Mails sind immer noch die erste Wahl. 90 Prozent aller Dateneinbrüche werden immer noch durch unbedarfte Klicks von Angestellten oder Internetnutzern auf gefälschte E-Mails ausgelöst.
Der Einstieg als Cyberkrimineller oder Cyberkriminelle ist also sehr preisgünstig und verlockend. Und im Zweifel sogar extrem profitabel. Das Citadel-Botnetz hat bis zu seiner Zerstörung in 2015 rund 500 Millionen Dollar weltweit von vielen tausend Computern ergaunert, indem Zugangsdaten ausgespäht und danach Bankkonten ausgeräumt wurden. Verglichen mit anderen Straftaten wie Drogenhandel ist das Chance-Risiko-Profil sogar gar nicht so schlecht, merkt Patti Chrzan mit leicht sarkastischem Unterton an. Der Hauptverantwortliche wurde geschnappt – und zu fünfeinhalb Jahren verurteilt. Da gibt es noch viel zu arbeiten.
