Die Nachricht, die Karen McCarthy beinahe in den Bankrott getrieben hat, erreichte ihren elektronischen Eingangskorb im Februar 2010. Oder vielleicht ist es im Januar gewesen. Oder noch früher.
Es gehört zum Mysterium ihrer Geschichte, dass sich die New Yorker Unternehmerin nicht einmal daran erinnert, was in der verhängnisvollen E-Mail stand. Vielleicht wurde ihr ein brandneues Diätmittel angepriesen oder eine lukrative Verdienstmöglichkeit daheim am Computer. Vielleicht hat man sie dazu aufgefordert, auf die Bikinifotos kontaktfreudiger Nymphen aus dem Ostblock zu klicken oder sich für eine Penisverlängerung zu interessieren. Karen McCarthy, die langjährige Geschäftsführerin einer New Yorker Marketingfirma namens Little & King, war ganz bestimmt keine geeignete Empfängerin für so etwas. Doch den Sendern von Massen-E-Mails, unerwünschten »Spam«-Nachrichten, ist das egal.
Zu recht. Denn die Nachricht an Karen McCarthy erreichte so oder so ihr Ziel.
Irgendwer im Unternehmen muss die E-Mail geöffnet und dann auf die Anhänge oder Links in der Mail geklickt haben. »Mein Leben ist an diesem Tag auf den Kopf gestellt worden«, sagt die Geschäftsfrau. Denn unbemerkt aktivierte der unbedarfte Mausklick eine elektronische Wunderwaffe, die in der E-Mail an Karen McCarthy versteckt war. Ein Schadprogramm mit dem Namen »ZeuS«, von dem die Polizeibehörden vermuten, dass es irgendwann im Jahre 2007 in den russischen Republiken entwickelt wurde. McCarthys Datenverarbeitungschef Jarett Horehlad hat über die Aktion ziemlich rote Ohren bekommen. »Das Programm installiert sich so leicht und schnell, das kann von irgendwoher gekommen sein«, verteidigt er sich. »Wir haben so unsere Vermutungen, woher es kam, aber genau wissen wir es nicht.«
Jetzt ist es auch egal. ZeuS grub sich tief in den Computer ein, der bei der New Yorker Firma für Angelegenheiten wie das Onlinebanking verwendet wird.
»ZeuS« ist ein Computerprogramm. Computer sind dafür gebaut, Computerprogramme laufen zu lassen – ob sie nun Microsoft Word heißen, iTunes, Kalender oder ZeuS. ZeuS fällt zwischen den tausenden Programmen auf einem modernen Rechner nicht weiter auf: Es ist winzig, und es schlummert in einer wenig beachteten Nische. Irgendwo zwischen den Millionen Befehls- und Datenzeilen, die ein Microsoft-Windows-System funktionieren lassen. Zum Schutz gegen solche Eindringlinge hatte Little & King sogar ein Anti-Virenprogramm installiert; das war teuer bezahlt und brachte sich automatisch drei- bis viermal pro Tag auf den neuesten Stand. Doch dem fiel nichts Verdächtiges auf. Computerbenutzer bei Little & King merkten ebenfalls nichts. Wenn sie den Computer einschalteten und bedienten, hatte sich nichts Sichtbares verändert.
Doch »ZeuS« belauschte sie fortan Tag für Tag, Minute für Minute, Tastendruck um Tastendruck. An irgendwen draußen im Internet funkte der Spion, was die Leute bei Little & King so trieben: Was sie tippten, worauf sie klickten.
»ZeuS« fand manche Dinge interessanter als andere. Ganz oben auf seiner Hitliste standen Besuche auf den Webseiten von Banken. Eingaben von Kontonummern. Eingaben von Passwörtern und Benutzernamen.
Am 15. Februar 2010 überprüfte Karen McCarthy ihre Bankauszüge und stellte fest, dass sie zahlungsunfähig war. Dass sie ihre Firma vermutlich schließen und den Konkursrichter informieren müsse. Ihr Geschäftskonto war leergeräumt. Säuberlich wiesen ihre Bankauszüge von der TD Bank (»Amerikas praktischste Bank«) jede einzelne Überweisung aus: 27.800 Dollar und null Cent gingen beispielsweise an einen Jonare D. Randolph in Rocky Mount, North Carolina. Alle Überweisungen waren binnen zweier Tage ausgeführt worden, zwischen einigen lagen nur wenige Minuten, und sie summierten sich auf 165.225 Dollar. Der Kleinunternehmerin McCarthy hätte es das Genick gebrochen, sagt sie – wenn ein wohlhabender Bekannter ihr nicht kurzfristig 100.000 Dollar geliehen hätte. Am Ende überlebte Little & King die Attacke gerade so.
Die Täter? Die hat bisher noch keiner erwischt. Mitarbeiter der Polizei, Sicherheitsfirmen und Mitarbeiter des Heimatsicherheitsamtes haben Karen McCarthy seither erläutert, dass die Transaktionen offenbar von Computern »irgendwo in Osteuropa« ausgelöst worden seien. Dort verliert sich jede Spur.
Und die Bank? Das war der größte Schock für Karen McCarthy. Erst wurde sie gebeten, am kommenden Tag in einer Filiale der TD Bank zu erscheinen – und da waren alle nett zu ihr und entschuldigten sich. Dann teilte die TD Bank ihr mit, dass sie »keinen Fehler auf unserer Seite« feststellen könne und dass man sich weigere, irgendetwas zu erstatten. »Die haben mein Konto überhaupt erst am Mittag des folgenden Tages eingefroren«, schimpft McCarthy. »Die stehen auf dem Standpunkt, dass sie nicht verantwortlich sind. Der ZeuS-Virus war ja nicht auf deren Computern, sondern auf meinem. Aber ich hatte doch Antivirussoftware! Die hat nur nichts bemerkt! «
Karen McCarthy hat auf die harte Tour gelernt, wie anfällig die IT-Infrastruktur unserer Tage ist, obwohl sie doch viel getan hatte, um sich zu schützen. Niemand hat ihr den Verlust bis heute erstattet. In den USA ist das so geregelt: Bei Privatkonten muss die Bank in der Regel für Onlinebetrug geradestehen, aber für Geschäftskonten ist das nicht zwingend vorgeschrieben (in Deutschland ist das nicht sehr viel anders, da werden solche Fragen Einzelfall für Einzelfall von Richtern untersucht und entschieden). Und irgendwo im Kleingedruckten ihrer Kontoeröffnungsunterlagen hatte Karen McCarthy die volle Verantwortung für Cyberdiebstähle übernommen. »Gibt es denn irgendetwas, das ich noch hätte tun können?«, fragt sie. »Wir fühlten uns geschützt, weil wir den Empfehlungen unserer Bank gefolgt waren und eine Antivirussoftware installiert haben. Mehr kann ich doch nicht tun. Ich bin doch keine Datenverarbeitungs-Expertin!«
Karen McCarthy hat die Bank gewechselt. Und die Computer. Sicher fühlt sie sich trotzdem nicht: »Inzwischen weiß ich, dass mein Geld unter dem Kopfkissen sicherer wäre«, sagt sie. Sie würde jetzt nur gerne wissen, wer schuld an dieser Misere ist. Die Bank, weil sie zu lässig war? Die Polizei, weil sie die Cyberverbrecher nicht fängt? Die Hersteller der Antivirensoftware, die nichts gemerkt hat? Karen McCarthy selber, weil sie an die Sicherheit des Onlinebanking glaubte?
Der »Gott des Internet« hatte bereits im Einführungskapitel einen ersten kurzen Auftritt – aber von der beliebtesten Erfindung Jon Postels war noch gar nicht die Rede. Irgendwann in den Gründungsjahren des Internet hatte Postel in seiner Freizeit das »Simple Mail Protocol« entwickelt. Das waren ein paar Programmzeilen und eine Reihe technischer Konventionen, die es erlaubten, in dem gerade brandneuen weltweiten Netz elektronische Briefe zu verschicken. »Schlichtes Protokoll für den elektronischen Postversand« würde man seine Erfindung wörtlich übersetzen. »E-Mail« sagt man heute.
Schlicht und demokratisch ist an der Postel’schen Erfindung zum Beispiel, dass jedermann mit einem Computer und einer Datenleitung einen elektronischen Brief losschicken kann. Schlicht und praktisch ist, dass das ein einziger Brief an einen einzigen Empfänger sein kann – oder ein Brief an tausende und abertausende von Empfängern zugleich. Schlicht und unbürokratisch ist, dass der Absender nicht nachweisen muss, wer er eigentlich ist. Er kann seinen richtigen Namen angeben oder seine E-Mail-Adresse oder einen Fantasienamen wie »GodZilla«, »George W. Bush« oder »Kreissparkasse Köln«. Und warum auch nicht? Möglichkeiten des Missbrauchs, des Verbrechens gar – so etwas kam den technikbegeisterten, idealistischen, langbärtigen Gründervätern des Internet nicht in den Sinn.
So ungefähr funktioniert das auch heute noch. Bis heute stehen tausende von Rechenzentralen im Internet, über die man ganz nach der alten Postel’schen Schule ungeprüft seine Nachrichten weiterreichen kann. Im Lauf der Jahre haben Techniker bei Internetfirmen, in Konzernen und Universitäten versucht, den E-Mail-Versand ein wenig komplizierter zu gestalten. Sie fragen den Absender zum Beispiel nach seinem Passwort, sie greifen auf Verschlüsselungstechniken zurück, doch hundertprozentig zuverlässig gelingt die Identifikation des Absenders nie. Tief in den Eingeweiden des Internet steckt ja immer noch das alte, lückenhafte E-Mail-Protokoll – von der Hand des Internet-Gottes für eine Welt ohne Übel und Fehltritte programmiert.
Die ersten Sündenfälle traten ein, kaum dass das »Simple Mail Protocol« die Labors der Techniker und Akademiker verlassen hatte. E-Mail hatte die technische Grundlage für eine ökonomische Innovation gelegt: das völlig kostenlose und – bei Bedarf – sogar anonyme Massenrundschreiben. Werbepost war in den Augen vieler Menschen schon immer ein Übel: Lange bevor es das Internet gab, quollen die Briefkästen von Broschüren der Supermärkte, von angeblichen Lottogewinnen und den Verlockungen der Kreditkartenfirmen über, sodass die »Bitte keine Werbung«-Aufkleber eine Hochkonjunktur erlebten. Immerhin mussten Werbesender der alten Art noch eine Briefmarke pro Sendung kaufen oder einen Austräger für ihre Prospekte entlohnen. Nicht so die Versender von Werbe-E-Mails. Ihre Kosten betragen – selbst beim millionenfachen Versand – ziemlich genau null Cent.
Wozu das führte, weiß nahezu jeder, der ein E-Mail-Konto hat: zu einer Flut von Werberundsendungen, die noch dämlicher sind als die im Briefkasten an der Tür.
Lernen Sie, wie man $ 1.000.000 in sechs Monaten verdient – GARANTIERT! Kaufen Sie eine Familienpackung Potenzpillen zum Bruchteil des regulären Apothekenpreises! Brühen Sie täglich unsere geheime Kräutermischung auf und werden Sie schlank wie eine Gerte! Mischen Sie beim internationalen Geldwäschegeschäft einer afrikanischen Witwe mit, die Ihnen völlig unbekannt ist, aber etliche Millionen Dollar verspricht! Klicken Sie hier, um die devote Dame Ihres Lebens kennenzulernen, oder wenigstens, um ihr bei der Körperpflege zuzuschauen!
Schon klar, dass nur eine Minderheit der Empfänger auf solche E-Mails eingeht. Etwa 0,2 Prozent, hieß es lange, reagieren auf derartige Angebote. Nein, manchmal sind es noch viel weniger!, meldete 2008 eine Forschergruppe an der University of San Diego: Ein Team um den Hacker Chris Kanich war testweise in ein großes Zombie-Netzwerk eingedrungen, hatte die Onlineverbrecher beobachtet und sich ihre Geschäfte genauer angesehen. Eine typische Verkaufsaktion umfasste stolze 350 Millionen verschickter E-Mails für Medikamente – aber sie generierte bloß 28 Verkäufe. Eine Quote von 0,00001 Prozent.
Doch wer millionenfach Gratispost verschickt, kann offenbar auch mit 0,00001 Prozent Kundschaft ein auskömmliches Leben führen. Die Sicherheitsfirma SophosLabs dokumentierte 2009 auf einer Konferenz (Virus Bulletin) einen konkreten Fall, in dem eine einzige Kampagne für solche zweifelhaften Medikamente wegen der gigantischen Masse immerhin 16.000 Dollar Umsatz einbrachte – pro Tag. So geht das seit dem Beginn der neunziger Jahre. Eine neue Ökonomie der Massenpost wurde geboren. Distanzen spielten keine Rolle. Orte am Ende der Welt – Dörfer in Nigeria, Dörfer in Rumänien, Universitätsstädtchen in fernen Winkeln Russlands – wurden zu Hochburgen des E-Mail-Versands. Es war die große Zeit der Spam-Amateure, der Kleinstunternehmer, Glücksritter und kleinen Cybergauner, die ausgefallene bis zweifelhafte Produkte unters Volk brachten.
Es war nicht einmal so, dass hinter jeder Spam-E-Mail gleich jemand steckte, der etwas verkaufen wollte! Der amerikanische Journalist Brian McWilliams erzählt in seinem Buch »Spam Kings« von einer jungen Dame namens »Terri DiSisto«, die jahrelang mit ihren E-Mails das Netz überschwemmte – auf der Suche nach Männern im Alter von 18 bis 23 Jahren. Die sollten sich festbinden, kitzeln und dabei filmen lassen. »Ich will keinen Sex und keine nackte Haut sehen«, schrieb Terri, und sie wolle auch niemanden treffen. Kitzeln sei ihr Hobby. Im Gegenzug bot – und lieferte – sie Geld oder Stereo-Geräte. Richtig böse wurde »Terri« allerdings, wenn versprochene Videos nicht eintrafen: Einige solcher Opfer hat sie offenbar mit Zehntausenden von E-Mails bombardiert, so dass ihre elektronischen Postkörbe unbenutzbar wurden. Um unerkannt zu bleiben, benutzte Terri dafür unterschiedliche Mailkonten bei mindestens sechzehn verschiedenen Internetfirmen. Ihr Spiel war aus, als um die Jahrtausendwende neugierige Hacker in ihren Computer einbrachen und unter anderem herausfanden – und im Netz veröffentlichten –, dass Terri DiSisto ein Mann war und David hieß.
Dann gab es den Zeitreisen-Spammer. Millionen Internetnutzer erhielten Anfang 2003 geheimnisvolle Cyberpostwurfsendungen, in denen ihnen mehrere tausend Dollar geboten wurden – wenn sie dem Absender im Gegenzug ungewöhnliches elektronisches Zubehör beschaffen könnten wie einen »Acme 5X24 Zeitdurchführungskondensator mit eingebauter Zeitverschiebung«, einen »AMD Dimensionalen Warpgenerator mit einem GRC79 Induktionsmotor« und anderes Zubehör für Zeitmaschinen. Das Angebot richtete sich in der Hauptsache an außerirdische Touristen, intergalaktisches Servicepersonal und Kosmonauten auf der Durchreise – aber wenn ein gewöhnlicher Erdenmensch dem Absender namens »Bob White« verbogene Spulen aus alten Festplatten schickte, dann bezahlte der trotzdem und bedankte sich herzlich. »Bob White« ist in den Kreisen von Internetfans ziemlich berühmt geworden. Eine Rockband namens GrooveLily schrieb über ihn ein Lied (»Calling all Aliens«).
Später wurde bekannt, dass hinter »Bob White« ein 22-jähriger Mann aus Massachusetts steckte, der psychische Probleme hatte, aber eine Menge technisches Talent. Monatelang gelang es ihm, unerkannt von seinem Zimmer aus Spam-E-Mails im Cyberspace zu verbreiten. Und wenn er nicht gerade nach Motorteilen für seine Zeitmaschine suchte, verdiente er sich das Geld dafür. »Bob« strich eine Menge Geld mit Werbesendungen der gewöhnlichen Art ein, zum Beispiel mit Inseraten für zwielichtige Kreditangebote und Pornos.
So eroberten anonym versandte Massen-E-Mails das Internet, und die geniale Technik aus den Labors der Militärs und Universitäten hatte dem nichts entgegenzusetzen. Stattdessen stieß eine neue Branche in diese Lücke: Die Anti-Spam-Industrie. Das waren Unternehmen, die die Unterlassungen der Interneterfinder wiedergutmachen wollten, indem sie technische Waffen gegen Spam erfanden. Bis heute werden solche Dienste und Programme von E-Mail-Anbietern und einer Handvoll unabhängiger Dienstleistungsfirmen verkauft. Sie funktionieren so: Der Computer liest erstmal jede E-Mail, die im Eingangskorb landet, und sortiert die unerwünschten Sendungen aus. Wenn der Absender dem Empfänger unbekannt ist, wenn viele Leute gerade die gleiche E-Mail auf einmal zugestellt bekommen und wenn verdächtige Wörter wie »Viagra« oder »Monsterbilliger Kredit« darin stehen – dann muss es ja eine Werbesendung sein.
Der Microsoft-Gründer Bill Gates (»Ich bin die am meisten gespammte Person der Welt«) war zwischenzeitlich so sehr von den Anti-Spam-Techniken überzeugt, dass er beim Weltwirtschaftsforum 2004 in Davos erklärte: Binnen zweier Jahre werde es keine Spam-Post mehr geben. Es ist nicht ganz klar, inwiefern ihn damals Wunschdenken zu seiner mutigen Aussage getrieben hat. Die Flut von Spam drohte damals wie heute, die Kommunikationskanäle im Netz zu verstopfen. Sie machte damals wie heute die Produktivitätsgewinne bei der Arbeit mit E-Mails zunichte, sie unterwanderte auch damals schon mit Betrügereien das Vertrauen der Verbraucher. Sie blockierte damals wie heute legitime Werbekanäle.
»Wir haben den Kampf verloren«, sagt Guido Schryen, ein Spam-Experte an der Uni Kiel. »85 bis 90 Prozent aller weltweit verschickten E-Mails sind Spam. Daran hat sich nichts geändert. Und ich sehe auch keine praktisch umsetzbaren Mechanismen, die das Bild ändern könnten.« Die Eigenschaften und Protokolle, mit der der »Gott des Internets«, Jon Postel, die elektronische Post ausgestattet hatte, arbeitete mit aller Macht für die Spammer. Sie konnten experimentieren. Es kostete nichts. Sie konnten »Viagra« und »Monsterbilliger Kredit« mit so vielen Rechtschreibfehlern schreiben, dass die automatischen Filterprogramme nichts merkten. Sie konnten ihre E-Mails von einer unerschöpflichen Zahl erfundener Internetadressen versenden. Sie konnten immer mehr Spam verschicken und sicher sein, dass ein Teil davon bei arglosen Empfängern landen würde. Nie würden die Spamfilter wirklich alles finden, denn schließlich muss auch die legitime E-Mail noch ihre Empfänger erreichen: die elektronisch versandte Telefonrechnung. Das bei der Hausbank angeforderte Angebot für eine Hausratversicherung. Die Sonderangebote des örtlichen Kaufhauses. Und ja: Es gibt wirklich Menschen, die ganz legitim im Internet Viagra kaufen und monsterbillige Kredite in Anspruch nehmen wollen.
Eine absurde Situation ist entstanden. Große Unternehmen lassen sich heute von spezialisierten Marketingfirmen in Fragen der sogenannten »deliverability« beraten – in der Kunst, ihre E-Mails beim Empfänger ankommen zu lassen, ohne dass ein Spamfilter sie schluckt. Die Tipps dieser Berater sind ungefähr die gleichen, die auch die Dunkelmänner untereinander diskutieren. Und auch sie beschäftigen Dienstleister, die ihre Künste auf Webseiten offerieren und Tipps zur »deliverability« austauschen. Die Tricks sind ungefähr die gleichen. Wörter wie »Geld«, »Rabatt« und »$$$$$« vermeiden! Keine Großschrift! Keine Ausrufezeichen! Privatkunden am besten abends anmailen! Nicht zu viele Bilder! Möglichst den Empfänger persönlich mit Namen anschreiben!
Guido Schryen von der Uni Kiel hat noch eine nüchterne Sicht auf die Dinge: »Man muss sich klar machen, dass beide Seiten damit Geld verdienen«, sagt der IT-Experte, der sich seit Jahren mit dem Thema unerwünschter Werbesendungen befasst. Die Spammer – und die Anti-Spammer und die Anti-Anti-Spammer. »Für sie alle ist es eine Geschäftsgrundlage, dass es überhaupt erstmal Spam gibt«, sagt Schryen. Ein ökonomischer Anreiz, nichts Grundlegendes dagegen zu unternehmen? Oder, wie manche Kommentatoren es behaupten, ein Beweis dafür, dass manche Anti-Spam-Firmen mit den Spammern unter einer Decke stecken – oder dass man sich zumindest wohlwollend gegenseitig toleriert?
Es gibt noch eine andere Front gegen die Werbemüll-Flut im Netz. Schon in den frühesten Tagen der Spam-E-Mails entstand eine spontane Gegenbewegung im Internet: Sie nannten sich »Cyber Vigilantes«. Selbsternannte Aufpasser im Netz wollten sie sein, eine Art digitale Bürgerwehr. Sie blieben anonym wie die Spammer selbst, zumeist jedenfalls, trafen sich auf Internetseiten wie Nanae.org und tauschten dort Informationen über neueste Betrugsfälle und ihre Bekämpfung aus. Aus ihren Reihen sind Organisationen wie »Spamhaus« erwachsen, das lange von einem exzentrischen Londoner Hausbootbewohner namens Steve Linford verwaltet wurde. Spamhaus führt bis heute eine wachsende Liste von Internetadressen und Internetfirmen, von denen aus Spams versandt werden – und wer es will, kann solche Absender fortan einfach blockieren. Spamhaus legte außerdem eine Liste der penetrantesten Spammer der Welt an, zum Teil mit Fotos.
Frühe Soziologen des Internet reagierten auf solche Entwicklungen ganz aufgeregt: Das Internet werde sich selber regulieren! Es werde zu einer Utopiegesellschaft voller verantwortungsbewusster Bürger heranwachsen, die keine sozialschädlichen Spammer und Betrüger in ihren Reihen dulden!
Doch so bezeichnend wie die Entstehung der Cyber Vigilantes war ihr Versagen bei der Bekämpfung von Spam. Die Kriege der Cyber-Vigilanten gegen die Spammer wurden schmutzig. Wohlmeinende Hacker gesellten sich dazu, ermittelten die wahre Identität mancher Spammer, und je nach Temperament zeigten sie sie an oder nahmen ihre Computer unter elektronischen Beschuss mit Schadsoftware oder gewaltigen Massen von E-Mails. Beide Seiten beschimpften sich aufs Gröbste und – im Schatten der Anonymität – unter der Gürtellinie. Die Grenzen zwischen Gut und Böse sind ein wenig verwischt.
Vor allem aber ist es den Dunkelmännern hinter Spam vor einigen Jahren gelungen, den »Vigilanten« ihre wichtigste Waffe aus den Händen zu nehmen: Ihre penibel gepflegten Listen verdächtiger Großrechner im Internet, die Internetfirmen und Privatnutzer dann bloß noch blockieren müssen, sind nutzlos geworden. Seit ungefähr 2003 haben kriminelle Spammer eine neue Technik entdeckt: Sie können Privatcomputer unter ihre Kontrolle bringen. Sie können heimlich eine Schadsoftware auf Rechnern installieren, die die Computer in sogenannte »Zombies« verwandelt. Das war ein gewaltiger technischer Satz nach vorne und zugleich ein wirklich schweres Verbrechen. Manche Spammer kontrollieren jetzt Armeen privater Rechner, die auf Befehle von irgendwo draußen im Internet lauschen und bereit sind, blindlings zu gehorchen.
Zum Beispiel auf den Befehl, mal schnell ein paar zehntausend Spam-E-Mails zu verschicken.
Im Büro von Dr.-Ing. Felix Freiling sitzt man ziemlich eng. Das hat damit zu tun, dass überall Papier und Bücher herumliegen, vor allen Dingen aber damit, dass der Informatikprofessor sein sportliches Fahrrad bis ins Obergeschoss geschleppt und neben dem Besprechungstisch an die Wand gelehnt hat. Da nimmt es jetzt ziemlich viel Platz ein, aber Freiling lässt sich nicht gerne beklauen. Er ist ein vorsichtiger Typ.
Der Inhaber des Lehrstuhls Praktische Informatik I an der Universität Mannheim ist stolz darauf, dass man nirgendwo im Internet seine private Anschrift findet. Nicht einmal sein Foto wollte er ins Netz stellen, eigentlich, aber dann bestand die Uni doch darauf. Freiling hat dann gleich neben sein elektronisches Abbild noch Aufnahmen von Helmut Kohl, Tom Selleck und Will Smith gestellt, denn »das verwirrt die Bildersuchmaschinen«, freut sich der Professor. Also findet man sein Foto jetzt nicht ganz so leicht auf Google. »Seit ich mit angewandter Computersicherheit arbeite, versuche ich dauernd, meine Spuren zu verwischen«, sagt Freiling und setzt ein jungenhaftes Grinsen auf. Bei ihm weiß man nicht immer genau, wann er etwas ernst meint und wann er scherzt. »Zwischen 2002 und 2005 habe ich an vier verschiedenen Universitäten unter zwei verschiedenen Namen gearbeitet.«
Es ist ein bisschen unerwartet, dass auf dem Flur von Professor Freiling – im gepflegten Atombunker-Ambiente mit Linoleumboden, dunkelgrauen Wänden und Deko-Elementen in Warnfarben-Orange – die Fäden des internationalen Computerverbrechens zusammenlaufen. Stimmt aber. Unter Freilings Leitung betreibt die Universität Mannheim einen der wichtigsten sogenannten »Honeypots« der Welt. Einen »Honigtopf«. Eine elektronische Falle im Internet, die verdächtige und schädliche Programme anlocken und unter Kontrolle bringen soll. Ein Honigtopf-Netzwerk besteht aus Computern, die sich scheinbar wie die ganz normalen Rechner benehmen, vor denen ein unbedarfter Internetbesucher sitzt: Sie surfen im Netz, sie empfangen E-Mails, sie sind einfach da – angeschlossen ans World Wide Web. Manchmal dauert es nur Sekunden, bis die ersten Angriffsversuche passieren. E-Mails mit Computerviren gehen ein. Verseuchte Webseiten versuchen, schädliche Codes zu laden. Unbekannte Bösewichte tasten den Computer auf Möglichkeiten zum Eindringen ab.
Zum Glück sind das keine normalen Computer. Freiling und seine Kollegen haben sie so programmiert, dass sie jeden Schritt der Bösewichte aufzeichnen, jeden Kontaktversuch der Schadsoftware nach draußen. Sie wollen lernen, was die Bösewichte treiben – um über Abwehrmöglichkeiten nachzudenken.
Die Mannheimer Forscher tun also etwas gegen die Bösewichte im Netz. Sie tauschen sich weltweit mit anderen »Honigtopf«-Betreibern aus, mit Antivirenfirmen, mit Herstellern wie Microsoft. Sie führen einen ehrbaren Kampf. Trotzdem gibt es Anzeichen, dass sie ihn verlieren werden. Es werden mehr und mehr Programme wie »ZeuS« entdeckt: Das räuberische Programm, das beim Diebstahl in der Firma von Karen McCarthy half – und bis heute vielen Anti-Virenscannern nicht auffällt. Das hat etliche technische Gründe, aber einer ist ganz simpel: »ZeuS« ist nicht nur einfach ein Programm, es ist ein Bausatz. Ein Baukasten der Unterwelt.
»Jedermann mit schlichter Computererfahrung ist in der Lage, ein solches Zombie-Netzwerk laufen zu lassen«, befanden kürzlich Forscher im Auftrag der kalifornischen Computerhardware-Firma Cisco. »Man muss weder den Programmcode verstehen noch sich mit Netzwerken auskennen.« Wenn man den ZeuS-Baukasten startet, sind es bloß noch ein paar Mausklicks und ein paar Eingaben bis zur ganz persönlichen Spionage- und Diebstahlsoftware. Man gibt ein oder wählt aus, welche Webseiten denn besonders interessant sind – will man Daten von der Kreissparkasse Köln klauen oder lieber welche von Facebook oder die von Amazon? Wohin sollen die Passwörter und sonstigen Informationen geschickt werden, die ZeuS gefunden hat? Soll ZeuS ab und zu im Internet nachsehen, ob sein Herr neue Befehle hinterlassen hat?
Weil jeder das Programm so maßschneidern kann, wie er will, gibt es inzwischen tausende Versionen der schädlichen Software »ZeuS«, und jede neue Variante sieht reichlich anders aus als ihre Vorgänger. »Eine Konsequenz ist, dass Antivirensoftware früher die Mehrzahl schädlicher Programme entdeckt hat, jetzt aber nur noch eine Minderheit«, schreibt der Sicherheitsexperte Ross Anderson von der Universität Cambridge. Nach allem, was bekannt ist, hat ZeuS bisher die größte Armee von »Computer-Zombies« auf der Welt geschaffen. Millionen willenloser Computer, die im Internet auf Befehle ihrer Herren warten.
»Die Möglichkeiten sind im Prinzip unendlich«, erläutert ein Mitarbeiter der amerikanischen Antivirenfirma Symantec, der den Programmcode von ZeuS für seinen Arbeitgeber eingehend untersucht hat. Computer-Zombies können Benutzer belauschen und überwachen. Sie können andere Computer attackieren. Sie können fast sämtliche Sicherheitsvorkehrungen der Onlinebanken aushebeln – auch TAN-Listen mit Einmal-Passwörtern, »virtuelle« Tastaturen, die nur auf dem Computerbildschirm erscheinen, und sogar diese kleinen Schlüssel mit ständig veränderlichen Geheimzahlen, die manche Banken ihren Kunden zum Schutz mit nach Hause geben. Zombies können im Internet mit geklauten Kreditkartendaten einkaufen, und hinterher sieht es so aus, als sei der arglose Benutzer des gehackten Computers der Schuldige. Irgendwann steht dann die Polizei vor der Tür.
Und Zombie-Computer können Spam verschicken – der Teufelskreis der Schadsoftware schließt sich.
Im Obergeschoss der Mannheimer Informatik-Fakultät, nur ein paar Türen vom Büro des vorsichtigen Professor Freiling entfernt, surren Computer in zwei riesigen Kühlschränken. Lämpchen blinken. Etwa fünfundzwanzig Rechner in grau und schwarz sind ringsherum im Raum verteilt, ein Bildschirm thront auf einem provisorischen Aufbau, ein bisschen schief. Das Zimmer, in dem die Mannheimer »Honeypots« bösen Bären im Internet auflauern, ist kaum größer als eine Besenkammer. Irgendwer hat auch noch paar Kisten Sprudel hinter die Tür geschoben. Und ein paar Flaschen Sekt.
Honeypots sehen auf der ganzen Welt so aus wie dieser, egal ob sie in einer Universität stehen, bei einer Antivirenfirma oder bei einem Computergiganten wie Microsoft. Doch sie haben ein gemeinsames Problem: Sie sind überlastet. Allein mit den tausendfachen Varianten von ZeuS zu kämpfen, kann solche Honigtopf-Netzwerke und die Schadsoftware-Analysten tagelang in Atem halten. Und ZeuS ist nur eine Schadsoftware von vielen! Die Antivirus-Firma Symantec erklärte, dass sie allein im vergangenen Jahr mehr Schadsoftware untersuchen musste als in sämtlichen Jahren zuvor – zusammengenommen.
Die Sicherheitsfirma Kaspersky Labs gab an, dass 6,29 Prozent aller von Kaspersky Lab analysierten E-Mails schädliche Dateien enthielten, doppelt so viele wie im Vorjahr. Die Sicherheitsfirma Panda Labs gab im September 2010 bekannt, dass nach ihren Schätzungen die Botnetze der Unterwelt jede Woche 57.000 neue Betrugswebseiten anlegten, auf die sie unbedarfte Computerbenutzer locken, um ihre Daten und ihr Geld zu erbeuten. Die größten dieser Botnetze haben Millionen von Computern in ihrer Gewalt.
Die Honigtöpfe der Forscher und Verbrechensbekämpfer sind von der Flut neuer Widersacher häufig überwältigt. »Allein die Analyse all dieser neuen Varianten erzeugt einen immer höheren Aufwand«, sagt Professor Freiling.
Technikexperten graut schon davor, dass im Augenblick so viele Rechner in Schwellenländern in Lateinamerika und in Afrika ans Netz gehen – dort benutzen nur vergleichsweise wenige Menschen überhaupt Antivirensoftware, sodass mit der Verbreitung riesiger Zombie-Netzwerke zu rechnen ist. Sie fürchten sich vor der rapiden weiteren Verbreitung von Smartphones, die ja ebenfalls ständig am Netz hängen – aber selten gegen schädliche Software geschützt sind. Im Herbst 2010 berichteten chinesische Medien, dass ein »Zombie-Netzwerk« von einer Million infizierter Smartphones herangewachsen sei – und sich aus der Ferne durch SMS-Nachrichten kontrollieren lasse.
Doch wer steckt wirklich hinter dieser Explosion von Angriffen und Schadprogrammen? Professor Freiling hat versucht, der Sache auf den Grund zu gehen. »Wir hatten ein Programm untersucht, das unbemerkt die Tastatureingaben eines Computers aufzeichnete und ins Internet verschickte«, erzählt er. »Wir sind der Spur einmal nachgegangen und haben den Computer ermittelt, an den diese Tastatureingaben verschickt wurden.« Freiling hat sich damals gewundert. Die Daten der Täter waren gar nicht weiter abgesichert. Er konnte einiges über ihre Identität und ihre Aktivitäten herausfinden.
Es dauerte aber nicht lange, da erhielt Professor Freiling eine Nachricht in seiner E-Mail-Box. Wenn er sich so für das Geschäft mit den geklauten Tastatureingaben interessiere, dann könne man ihm da noch weiterhelfen. Ein Unbekannter schlug ihm ein Treffen vor. In Basel. Als Freiling mit der Polizei und mit der Presse Kontakt aufgenommen hatte und versuchte, den Termin in Basel zu bestätigen, gab es die Mail-adresse seines unbekannten Korrespondenzpartners schon nicht mehr.
»Ich gehe davon aus, dass das möglicherweise als Drohung gemeint war«, sagt Freiling heute. »Die Kriminellen waren sauer. Und auch die Polizei war sauer, weil sie gerade eine eigene Untersuchung laufen hatte.« Beim BKA warnten sie ihn, er solle sich lieber heraushalten, die Sache sei gefährlich. Freiling vermutet heute, dass er in einen Krimi hineingetappt ist.
Und ehrlich gesagt: Im Vergleich zu einigen anderen Leuten, die den Spam-Erzeugern quer kamen, ist Freiling ganz schön glimpflich davongekommen.
Es begann am späten Nachmittag des 2. Mai 2006. Techniker der israelischen Internetfirma Blue Security merkten, dass etwas Ungewöhnliches im Gange war. Mit einem Schlag konnten nur noch Internetbenutzer aus Israel ihre Webseite www.bluesecurity.com erreichen. Der Rest der Welt starrte auf einen leeren Bildschirm. Ein technischer Fehler? Ein Angriff? Damals wussten die Techniker noch nicht, dass sie den Anfang eines regelrechten Cyberkrieges erlebten. Einen der ersten seiner Art und Größenordnung. Er würde in den kommenden Wochen an den Fundamenten des Internet rütteln, die kleine Firma in den Ruin treiben und ein für allemal beweisen, dass das organisierte Verbrechen die Kontrolle über die dunklen Geschäfte im Internet übernommen hatte. Erst recht konnten Zehntausende Blue-Security-Kunden in aller Welt nicht ahnen, dass sie zu Teilnehmern einer Geschichte voller Geheimagenten, Mafiosi, Meister-Hacker und Verschwörer geworden waren, die genauso gut einem Roman von John le Carré hätten entspringen können.
Blue Security war keine alltägliche Internetfirma. Der Unternehmer Eran Reshef, ein ehemaliger Geheimagent der israelischen Armee, hatte sich in den neunziger Jahren als Experte für Computersicherheit selbstständig gemacht. Als er im Jahr 2004 in Herzliya seine Firma ins Leben rief, glaubte er, endlich ein wirksames System gegen Spam-E-Mail gefunden zu haben. Blue Security, so lautete Reshefs Plan, würde das Problem an seiner Wurzel packen. Blue Security würde die Spammer außer Gefecht setzen.
Die Kunden der Firma luden ein kleines, kostenloses Programm auf ihre Computer. Wenn sie fortan eine Spam-E-Mail erhielten, wurden die Spammer ihrerseits mit Bitten um Unterlass belästigt. Erst sanft, dann am Ende mit einer ganzen Flut. Die E-Mails von Blue Security wurden natürlich nicht an die – meist gefälschten – Absenderadressen geschickt, die in den Werbe-E-Mails für Rolex-Uhren, raubkopierte Software oder Beruhigungsmitteln angegeben waren. Das hätte kaum etwas bewirkt. Sie gingen auch nicht an die Zombie-Computer, die die E-Mails womöglich verschickt hatten. Hinter denen saßen ja nur arglose, ausgetrickste Computerbenutzer. Nein, Blue Security machte sich die Arbeit, echte E-Mail-Adressen herauszufinden, hinter denen die Cybergauner lauerten und auf Auftragseingänge warteten. Deren Eingangskörbe flossen bald über und waren schnell verstopft.
Manche Internetexperten geißelten dieses Verfahren als »Lynchjustiz« und fanden es so unethisch wie die Werbesendungen selbst. Doch Blue Security fand namhafte Investoren aus dem Silicon Valley – und konnte Erfolge verbuchen. Sechs der etwa zehn größten Spam-Organisationen der Welt erklärten sich genervt bereit, Blue-Security-Kunden künftig nicht mehr zu belästigen. Blue Security half ihnen dabei und stellte eine (verschlüsselte) Liste ihrer 450.000 Kunden bereit, mit denen die Spammer ihre eigenen Versandlisten nun berichtigen konnten. Doch nicht alle Spammer mochten sich dem Waffenstillstand anschließen. Einer kündigte Vergeltung an.
Anfang Mai 2006 meldete sich ein wohlbekannter russischer Spammer bei Blue Security – ein Mann namens PharmaMaster, der in Computer-Sicherheitskreisen als Mitglied oder als der Tarnname für mehrere Mitglieder einer russischen Mafiaorganisation eingestuft wird. So ganz genau weiß man das nie. Die Diskussion darüber, wer wirklich hinter den Attacken auf das Programm BlueFrog steckte, dauert bis heute an.
PharmaMaster gab sich jedenfalls einigermaßen wortkarg: Er werde die Firma lahmlegen. »Gott, ich liebe diesen Krieg«, schrieb er. Das war am 2. Mai um 13:42 Uhr Londoner Zeit. Von nun an ging alles Schlag auf Schlag.
Die Blue-Security-Server, die in guten Zeiten elektronische Protestschreiben an Spammer verschickten, standen nun selber unter Beschuss. Zehntausende infizierte Computer-Zombies in aller Welt, die von den Spammern sonst für ihren E-Mail-Versand benutzt wurden, waren offenbar für eine tagelange Attacke umgerüstet worden. Sie bombardierten Blue Security. Als die Firma schließlich etwas ungeschickt die Besucher ihrer blockierten Webseite auf das schwarze Brett einer anderen Firma umlenkte und dort eine »Mitteilung an unsere Kunden« veröffentlichte, ließ PharmaMaster auch deren Webseiten untergehen. Die Blue-Security-Kundschaft erhielt derweil Drohbriefe aus Russland. Sie würden »zwanzig- bis vierzigmal soviel Spam bekommen« wie normal. Die Spammer hatten einen Weg gefunden, die Hunderttausend E-Mail-Adressen der Blue-Security-Kunden zu entschlüsseln, die angeblich »bombensicher« abgelegt waren. Eine offensichtliche Racheaktion.
Am Ende wurde der Angriff so massiv, dass der Chef des großen Server-Betreibers Tucows mitten in der Nacht in Israel anrief und berichtete, dass »dieser russische Spammer« inzwischen »das halbe Netz in Kanada außer Betrieb gesetzt« habe. Tucows setzte seinen Kunden Blue Security auf die Straße. Einige der größten Internetfirmen der Welt winkten ebenfalls dankend ab. Spezialisierte Sicherheitsfirmen nahmen den Kampf auf, doch auch sie mussten sich angesichts der Übermacht der Zombies geschlagen geben – obwohl ihre Sprecher heute nach wie vor behaupten, mit etwas längerem Atem hätten sie die Sache in den Griff bekommen. Zwei Wochen lang ging das Spiel noch. »Tut mir leid, dass neuntausend Computer-Server wegen Ihrer Firma außer Betrieb sind«, kam eine neue Textnachricht aus Russland. »Und weiter viel Glück.«
»Die Situation drohte einen Bürgerkrieg im Cyberspace auszulösen«, sagte Peter Swire, ein Jurist und Internetexperte an der Ohio State University und Berater von Blue Security. Bis Blue Security aufgab. Das Unternehmen teilte mit, dass es seinen Krieg gegen Spam einstellen werde – und dabei ist es geblieben. »Es ist das einzig Verantwortliche, das wir tun können«, sagte der zerknirschte Firmengründer Eran Reshef. In seinem Umfeld wurde spekuliert, dass Reshef Todesdrohungen gegen sich selber und seine Familie erhalten habe. Reshef bestätigt nichts dergleichen. Am Ende ließ er bloß eine von seinen Beratern abgestimmte Erklärung zurück: »Dieser Gegner hatte zu viel Geld im Rücken und keine moralischen oder rechtlichen Grenzen. Hätten wir weitergekämpft, hätte er womöglich jeden einzelnen unserer Kunden attackiert und das Internet zum Zusammenbruch gebracht.«
Eran Reshef hatte ein wirksames Mittel gegen Spam gefunden. Doch er hatte unterschätzt, wie sehr sich die Kräfteverhältnisse in der neuen Welt der organisierten Cyberkriminalität verändert hatten.
Etliche Antispam-Aktivisten – bis hin zu den Chefs einiger großer Antivirenfirmen – halten ihren Aufenthaltsort seither geheim. Viele in der Branche halten den französischen Fahnder David Bizeul hinter vorgehaltener Hand für einen selbstmörderischen Draufgänger: Bizeul hat über große Zeiträume das Russian Business Network (RBN), jahrelang eine der größten Spam- und Cybercrime-Organisationen der Welt, ausgeforscht, zahlreiche Namen und Adressen aus ihrem Umfeld veröffentlicht und seine Verbindungen in die digitale Unterwelt dokumentiert. Joseph Menn, ein Internetkorrespondent für die Financial Times, greift in seinem Buch Fatal System Error auf zahlreiche Quellen amerikanischer und britischer Strafverfolger zurück und deutet an, dass das RBN offenbar nicht nur beste Kontakte zur Mafia unterhält, sondern auch in die Polizeiorganisation und in die hohe Politik. Und Menn erzählt die traurige Geschichte eines westlichen Aufklärers, der zusammen mit der russischen Polizei in St. Petersburg auf der Spur einer großen Cybercrime-Organisation war – bis »die Tochter des Mannes für immer aus dem gemeinsamen Haus in einem westlichen Land verschwand. Ihm wurde mitgeteilt, dass er die Sache vergessen solle, dann würden seine anderen Kinder in Ruhe gelassen«.
Es gibt noch mehr solcher Geschichten. Die meisten werden hinter vorgehaltener Hand erzählt, verbunden mit der Bitte, nicht über sie zu berichten oder zumindest die damit verbundenen Personen nicht zu identifizieren. »Die monetären Profite aus Cyberverbrechen sind immens«, urteilte die Computer-Sicherheitsfirma Sophos kürzlich in ihrem regelmäßig erhobenen »Security Threat Report«. Allein in Russland, schätzte die russische Sicherheitsfirma LETA im September 2010, sei der Umsatz der Cyberverbrecher auf eine Milliarde Dollar pro Jahr gewachsen. Es gebe etwa 20.000 Kriminelle in diesem Segment, aber höchstens fünf bis sieben Verhaftungen im Jahr. Hohe Profite und das vergleichsweise geringe Risiko, geschnappt zu werden, hätten die finstersten Sektoren des internationalen Verbrechens auf Cybercrime aufmerksam gemacht. Cyberverbrechen ist Big Business geworden: Professionell organisiert, mit gewaltigen Finanzmitteln ausgestattet, mit einigen der besten Hacker der Welt besetzt.
Nun ist es nicht so, dass man gleich einen Geigenkasten durch die Straßen schleppen und Siegelringe küssen muss, um beim Cyberverbrechen mitzumischen. Eher im Gegenteil: Diese brandneue Branche der internationalen Unterwelt bietet jede Menge Einstiegsjobs für Gelegenheitstäter und kleine Ganoven, Heimarbeitsplätze zudem. Die Zugangsbarrieren sind gering und die Hemmschwellen niedrig.
Um loszulegen, betritt man eines der zahlreichen, kaum geheim gehaltenen Kommunikationsforen der digitalen Unterwelt und hält nach Angeboten Ausschau. E-Mail-Versand? Ein paar Millionen täglich? Mit Extra-Durchschlagskraft gegen Spamfilter? Frisch versandt von gekaperten Zombie-Rechnern in aller Welt? Solche Angebote finden sich dort zuhauf von Kriminellen in den USA oder Russland, Brasilien oder China. Der Konkurrenzdruck ist groß, die Preise sind zuletzt gepurzelt. Schließlich kann ja schon ein einziger gekaperter Computer am Tag bis zu 600.000 E-Mails verschicken.
Wer ein bisschen mehr kriminelle Energie und ein paar Riesen Startkapital mitbringt, kann sich auf den gleichen Foren auch das berüchtigte Gaunerprogramm ZeuS besorgen. Jene Universal-Software für Kriminelle, die die New Yorker Marketingunternehmerin Karen McCarthy an den Rand des Bankrotts trieb. »Ich verkaufe ZeuS Version 1.2.7.7 für 550 Dollar« lauten Anzeigen in den Foren, oder sogar: »ZeuS-Baukasten – Gratisversion zum Runterladen!« Unterwelt-Profis sind da übrigens auf der Hut: Den Gratisversionen ist nicht zu trauen. Oft sind heimliche Hintertürchen eingebaut, die die Computer der sparsamen Möchtegern-Gauner für viel ruchlosere Verbrecher öffnen – um ihnen dann auf frischer Tat das Diebesgut abzujagen. Ganovenehre zählt im Internet nicht viel.
Besser also, man lässt sich die Sache etwas kosten. Neuere Versionen wie 1.3 oder 1.4 werden für etwa 3000 bis 4000 Dollar gehandelt. Für Extras muss man extra bezahlen: 2000 Dollar, um die neuesten Sicherheitsvorrichtungen in Windows 7 zu überwinden. 2000 Dollar, um den Firefox-Browser aus der Ferne für Datendiebstahl zu missbrauchen. 1500 Dollar für die unerhört praktische Programmoption, von einem ferngesteuerten Zombie-Computer aus gleich ein paar Homebanking-Überweisungen zu tätigen. 10.000 Dollar für ein Modul, das die komplette Kontrolle eines fremden Rechners erlaubt – so, als sitze man selber mit Maus und Tastatur davor.
Die optionalen 100 Dollar pro Monat für den »technischen Kundendienst« sind fast geschenkt, zumal Stammkunden einen Rabatt erhalten. Der technische Kundendienst für ZeuS beinhaltet alle möglichen Dienstleistungen, damit die Software zuverlässig ihren Dienst tut. Kevin Steven, ein Virenfachmann bei der Sicherheitsfirma Secure Works, war nach einer umfangreichen Analyse des ZeuS-Programms ganz beeindruckt: »Die Autoren haben einen hardware-basierten Kopierschutz eingebaut«, staunt er. Sie stellen also sicher, dass das einmal verkaufte Programm auch wirklich nur auf dem Computer des Käufers läuft; eine Kopierschutzfunktion, die auch in der Welt der legalen Software bei sehr teuren, hochwertigen Spezialprogrammen eingebaut ist. Sonst könnte ja jedermann die Betrugssoftware von den Betrügern stehlen!
Die paar Tausender sind wohl nicht zu viel verlangt für ein Programm, das so vielseitig seinen Dienst tut. Manche Betrüger benutzen ZeuS, um Computer bei Firmen unter ihre Kontrolle zu bringen und sie dann zur Erpressung zu nutzen (»Wenn Sie uns nicht 100.000 Euro überweisen, bombardiere ich die Server Ihrer Firma so lange mit meinem Zombie-Netzwerk, bis kein Kunde Sie mehr erreichen kann«). Datendiebstahl, das Ausräumen der Onlinekonten, Kreditkartendiebstahl, sogar Spionage im Auftrag interessierter Firmen – das ist alltägliches Geschäft. Neuere Versionen der ZeuS-Software teilen ihren Betreibern hilfreich per Sondermeldung mit, wenn ein besonders dicker Fisch ins Netz gegangen ist: ein Onlinekonto, von dem man 100.000 Dollar oder mehr abräumen kann. Damit der Gauner keine Zeit verschwendet.
Professionelle Betreiber von Zombie-Netzen mieten vorzugsweise auch Rechner in Ländern an, in denen Cyberverbrechen nicht geahndet werden: In China, in Französisch-Guyana, in Kasachstan oder auf Haiti gibt es etliche solcher Anbieter. Von dort aus können sie ihre Angriffe starten, ohne dass ihnen die Polizei auf die Pelle rückt, und sie können ihre »Zombies« unerkannt mit neuen Aufträgen versorgen. Auch diese Rechner werden von Profis installiert und gepflegt, gegen eine erkleckliche Provision. Andere Dienstleister haben sich darauf spezialisiert, Computer an Universitäten oder in Unternehmen in möglichst vielen Ländern in ihre Gewalt zu bringen und sie dann zu vermieten – was für Cyberverbrecher sehr vorteilhaft sein kann. Wenn man gerade ein Bankkonto in Düsseldorf leerräumen möchte, fällt es bei den Sicherheitschecks vielleicht unangenehm auf, wenn der Überweisungsauftrag aus Odessa in der Ukraine kommt. Viel unauffälliger ist es, wenn er vom gekaperten Computer eines städtischen Amtes irgendwo im Rheinland kommt. Auf einschlägigen Hackerwebseiten sind tausende solcher Computer zu mieten, fein unterschieden nach geografischen Regionen.
Eine der wichtigsten Rollen in diesem dunklen Geschäft spielen spezialisierte Geldwäscherbanden, die das viele gestohlene Geld zu den Dieben bringen, ohne dass die Polizei ihrer Spur folgen kann. Das ist gar nicht so leicht. Heute wird fast jede Geldspur auf der Welt von Computern erfasst und gleichzeitig an zahlreiche Behörden gemeldet. Aber eben nur fast jede Geldspur. In Mafiakreisen kennt man eine Reihe Methoden für den Geldtransport, die auch schon beim Drogenhandel, bei der Menschenverschleppung oder bei Auftragsmorden verlässliche Dienste tun. »Diese Leute streichen üblicherweise einen ansehnlichen Profit ein«, sagt Chenxi Wang, eine ehemalige Sicherheitsexpertin beim amerikanischen Finanzriesen Citibank.
Es gibt die wohlerprobten, simplen Methoden: Das Diebesgut wird an ein Konto überwiesen, das ein Geldwäscher zuvor mit gefälschten oder gestohlenen Papieren eröffnet hat, und dann hebt er es einfach ab und bringt es als Bargeld an sein Ziel. Gestohlene Kreditkarteninformationen werden an sogenannte »Carder« weitergegeben, die aus diesen Daten brandneue und echt wirkende, gefälschte Karten pressen. Manche Gauner kaufen einfach hochwertige Güter wie Uhren und Smartphones auf fremde Kosten im Internet ein und lassen sie dann an eine gekaperte Post-Packstation liefern. Oder an ein leerstehendes Haus, wo sie nur abgeholt werden müssen.
Als die Polizei den Fall von Karen McCarthy untersuchte, der bestohlenen Kleinunternehmerin aus New York, stellte sie fest, dass unter anderem 14.875 Dollar und null Cent an eine Pamela Biagi in Kennesaw, Georgia, verschickt worden waren. Diese Pamela Biagi gab es wirklich. Die Polizei klopfte an ihre Tür und fand eine 59-jährige Hausfrau vor, die einen »Heimarbeitsjob« angenommen hatte. Der war ihr im Internet angetragen worden war. Der »Heimarbeitsjob« bestand darin, dass Unbekannte Geld auf ihr Konto überwiesen und dass sie das Geld abhob und abzüglich einer Kommissionsgebühr weiter verschickte. »Dass ich an einer solch schrecklichen Sache mitgemacht habe, ist furchtbar«, erklärte Biagi im Gespräch mit einem Sicherheitsberater, den McCarthy zu Hilfe bat.
Und es gibt fantasievolle Methoden. Einige Geldwäscher arbeiten mit Glücksspielfirmen in einem fernen Land zusammen, vorzugsweise in einem ohne allzu strenge Aufsicht. Dort kauft man mit dem gestohlenen Geld Glücksspieltickets und landet irgendwann in den kommenden Wochen einen riesengroßen Glücksspielgewinn.
Was für ein Job: der oberste Verbrechensbekämpfer bei Microsoft! Thomas J. Campana ist sichtlich in seinem Element, als er auf dicken Gummisohlen durch einen Gang des Gebäudes 27 federt, eine Art Kreditkarte aus der Hosentasche zieht und ein besonders komplex aussehendes Schloss an einer Tür aufspringen lässt. »Diesen Schlüssel hat hier kaum einer«, sagt Campana. Drinnen: Wieder ein Honigtopf-Netzwerk. Aber diesmal bei Microsoft, dem größten Bürosoftware-Hersteller auf dem Planeten, auf einem gigantischen campusartigen Firmengelände am östlichen Rand von Seattle. In diesem Honigtopf-Netzwerk stehen so viele Schränke voller Computerserver, dass man sie auf die Schnelle gar nicht zählen kann. Elegante schwarze Gitter, die die Computer von äußeren Einwirkungen abschirmen. Ausziehbare Flachbildschirme. Das sanfte Schnurren von Festplatten und Ventilatoren.
Doch im Grunde sind die Computer in diesem Raum genauso mit ihrer Aufgabe überfordert wie die chaotische Besenkammer an der Uni Mannheim.
Herr Campana, wie sieht das denn aus, kann die größte Softwarefirma der Welt endlich mal Schluss machen mit der Plage der Zombie-Rechner? Wann gewinnen in diesem Krieg endlich mal die Guten?
»Es ist ja kein neuer Krieg. Das ist ein altes Katz-und-Maus-Spiel. «
Das kann man wohl sagen. Die Antivirenfirmen entdecken fast wöchentlich völlig neue, erhebliche Sicherheitsbedrohungen ...
»Absolut. Die Bad Guys wollen Geld verdienen. Wir machen uns große Sorgen: So etwas unterminiert ja das Vertrauen, das wir alle in das Internet haben! Wir schauen also definitiv sehr genau dort hin. Aber ich habe trotzdem den Eindruck, dass sich die Kräfteverhältnisse verschieben. Dass wir – dass die Guten – dieses Spiel gewinnen.«
Verzeihung, Sie meinen, wenn man sich mit einem Windows-Rechner ins Internet begibt, muss man nicht vor lauter Angst zittern?
»Ganz klar: Wenn Sie sich vorbildlich im Internet verhalten, wenn Sie Ihr Betriebssystem und Ihre Programme laufend aktualisieren, einen Virenscanner laufen lassen, nicht als ›Administrator‹, sondern als normaler Benutzer in den Computer einloggen und sich von verdächtigen Ecken des Internet fernhalten – dann sind Sie heute ziemlich sicher im Netz. Das reicht nur nicht.«
Wieso reicht das nicht?
»Ja, weil Sie auch an die Leute denken müssen, die all das nicht tun. Nehmen Sie irgendeine Großmutter. Die hat ihr Betriebssystem nicht aktualisiert, und dann hat sie auf eine E-Mail-Postkarte in ihrem Briefkasten geklickt, wo ein paar Katzen und ein paar Herzchen zu sehen waren. Das heißt, sie hat jetzt eine bösartige Schadsoftware auf ihren Computer installiert, und der Rechner kann aus der Ferne von Kriminellen unter Kontrolle gebracht werden. Großmutter ist aber immer noch eine Microsoft-Kundin! Zunehmend setzt sich bei Microsoft das Denken durch: Wir müssen auch Oma schützen.«
Man muss es Thomas J. Campana lassen: Als oberster Rächer surfender Großmütter hat er sich im vergangenen Jahr einen Namen gemacht. Seine zuvor völlig unbekannte Abteilung – ein Verbrechensbekämpfer bei Microsoft? – machte plötzlich weltweite Schlagzeilen. Der Software-Riese aus Redmond bei Seattle hatte zurückgeschlagen. Unter Campanas Anleitung wurde ein weltweites Geflecht vernetzter Rechner, ein Zombie-Netzwerk namens Waledac, außer Gefecht gesetzt.
»Wir konnten zwar nicht jeden Zombie-Rechner von der Schadsoftware befreien«, gibt Campana zu, »aber es ist uns gelungen, dass die Kriminellen dieses Botnetz nicht mehr steuern können.« Es war ein technischer Triumph, an dem auch die Universitäten in Mannheim und Bonn ihren Anteil hatten. Es war ein Vorstoß in juristisches Neuland: Wie es sich für eine professionelle Cybercrime-Organisation gehörte, standen die Kommando- und Kontrollserver für Waledac in fünf verschiedenen Ländern. Fünf verschiedene Regierungen, fünf verschiedene Polizeiorganisationen waren dafür zuständig, und sie gaben sich keineswegs allesamt kooperativ.
Campana ist noch heute ganz euphorisch, dass die Operation gelang. Nicht überall kooperierten die Behörden – aber Campana sagt auch: »Es gibt sie, die guten Leute im Internet, man muss sie nur finden.« Zu den guten Leuten gehörte beispielsweise die amerikanische Firma Verisign, die mit dafür verantwortlich ist, eine Art gewaltiges Telefonbuch für das Internet zu führen: jene riesige Datenbank, in die ständig aktuell eingetragen wird, auf welchem Computer in den Tiefen des Netzes etwa die Firma Google.com zu erreichen ist, die Firma Microsoft.com oder die Firma BoesesBotnetzVonVerbrechern.com. Verisign ließ sich von Microsoft – und von einer eilig erwirkten Gerichtsentscheidung – dazu überreden, die Kommando- und Kontrollserver des Waledac-Netzes im Netz unerreichbar zu machen. Eine Zeitung hat damals die Microsoft-Zombiekiller als Supermänner des Internet zeichnen lassen. Campana hat das ausgeschnitten und an die Wand geheftet.
Glückwunsch, aber lassen Sie uns mal auf dem Teppich bleiben: Das war ein einzelnes Zombie-Netzwerk. Wie viele Zombie-Netzwerke gibt es denn noch so da draußen? Hundert? Tausend?
»In diesem Moment halten wir ungefähr viertausend verschiedene Botnetze in unserem Labor im Blick. Einige davon sind klein. Das sind nicht die berühmten Millionen von Rechnern, sondern vielleicht nur ein paar hundert verseuchte Computer. Aber manchmal werden damit viel schlimmere Dinge angestellt als mit den großen.«
Schlimmere Dinge?
»Botnetze etwa, die für die kriminelle Infrastruktur verwendet werden. Es gibt da recht komplizierte Strukturen. Um unerkannt zu bleiben, verwenden Kriminelle manchmal ein kleines Botnetz, das ihre Kommandos an ein anderes, riesengroßes Botnetz sendet. Sprich: Für uns kann es manchmal sehr effizient sein, dieses kleine Botnetz außer Gefecht zu setzen. «
Viertausend Botnetze sind aber immer noch eine Menge, wann schalten Sie die endlich alle ab?
»Man muss zugeben: Die technische Raffinesse der Unterwelt nimmt zu. Die wissen auch, wie wir hier arbeiten! Und zunehmend können Sie sehen, wie die Bad Guys solche Erkenntnisse beim Programmieren ihrer Schadsoftware berücksichtigen. Sie gehen sogar so weit, dass manche Schadsoftware bemerkt, wenn sie im Labor bei Microsoft oder bei einer Antivirusfirma begutachtet wird! Sie verhält sich dann unscheinbar und stellt nichts Schlimmes an. «
Und Sie sind, um das jetzt noch mal festzuhalten, nicht in der Lage, all diese Botnetze auszuschalten? Obwohl Sie sie in Ihrem Labor ›beobachten‹?
»Nicht alle. Die Bedrohung durch Botnetze wird es noch einige Zeitlang geben. Wir sehen gerade so etwas wie die große Rückkehr der Zombie-Netzwerke – vor etwa fünf Jahren war das schon einmal ein ganz großes Thema, und dann wurde es etwas stiller. Eins muss ich aber deutlich sagen: Es hat immer Verbrechen gegeben – und es wird immer Cyberverbrechen geben. «
Das Problem ist: Manche Computersicherheitsexperten sind der Überzeugung, dass das Cyberverbrechen außer Rand und Band geraten sei. »Angesichts der Computerkriminalität kann man sich nur schwer des Eindrucks erwehren, dass Informationssicherheit gerade scheitert«, glaubt Adam Shostack, ein ehemaliger Hacker und heutiger Sicherheitsberater (und Buchautor), der pikanterweise ebenfalls für Microsoft arbeitet. »Und die Probleme scheinen zuzunehmen, je mehr Geld wir für Computersicherheit ausgeben.«
Selbst die spektakulären Schließungen des einen oder anderen Botnetzes durch die Polizeibehörden oder durch Leute wie Campana haben offenbar nicht mehr den gleichen Effekt wie in den Anfangstagen. Nach der Zerschlagung der ersten Zombienetze wie Waledac, Bredolab oder Pushdo im Jahr 2010 war das Spamaufkommen gleich danach erheblich gefallen – um aber nach einigen Wochen oder Monaten wieder auf den früheren Stand zurückzukehren. Als am 16. März 2011 wieder einmal ein Botnetz geschlossen wurde, Rustock, meldeten hinterher erstaunt die Experten der russischen Computersicherheitsfirma Kaspersky: »Das weltweite Spamaufkommen fiel wider Erwarten nur um zwei bis drei Prozentpunkte.« Die weltweite Botnetzstruktur werde flexibler, hieß es, es gebe Ersatz- und Auffangnetze, selbst größere Ausfälle ließen sich heute verkraften.
Von Computerviren und schädlichen E-Mail-Anhängen haben inzwischen viele Menschen gehört – aber nur wenige Internetsurfer sind sich darüber im Klaren, wie trickreich und gefährlich sich manche Schadsoftware heute verbreitet. Es gibt bestimmte Programmiertricks für Webseiten, die dafür sorgen, dass ein bloßer Besuch einen Spion à la Zeus auf den Computer lädt.
Es wissen auch nur die wenigsten Internetsurfer, dass heutzutage fast alle Schutzmechanismen der Banken von Hackern ausgeschaltet worden sind. Das gilt für die Verschlüsselungsmethoden an sich: An der Tsinghua-Universität in Peking arbeitet eine Lehrbeauftragte namens Wang Xiaoyun, die bei Redaktionsschluss dieses Buches gemeinsam mit ihren Studenten bereits fünf weit verbreitete Verschlüsselungsprotokolle überwunden hatte.
Das gilt für die Abfrage von Kreditkartendaten beim Onlineeinkauf : Hacker und Sicherheitsexperten haben wieder und wieder vorgeführt, dass man mit gestohlenen Kreditkarten auch dann online Einkäufe tätigen kann, wenn man nicht die richtige Geheimzahl auf der Rückseite der Karte kennt. Dass man die ständig neu erfundenen Sicherheitssysteme der Kreditkarten (» 3-D-Secure«, »Chip & Pin«) ebenfalls schon umgehen kann. Der Grund? Ein irrsinnig komplexes System aus Kreditkartenfirmen, Banken, Händlern, Dienstleistern und Rechenzentren, die bei jeder Onlinetransaktion zwischengeschaltet sind.
»Vielen ist gar nicht klar, wohin ihre Kreditkarteninformationen überall fließen – dass da nach dem eigentlichen Händler noch zwei bis drei Dienstleister zwischengeschaltet sind, das ist den meisten nicht bekannt«, sagt Ronny John, ein Experte bei der Sicherheitsfirma USD aus Langen. Jeder zusätzliche Schritt birgt auch ein zusätzliches Sicherheitsrisiko. Hacker lieben es, wenn verschiedene Betreiber unterschiedliche Computersysteme mit allen möglichen Schnittstellen irgendwie zusammenschalten – sie finden dann erfahrungsgemäß lauter Einfallstore. Sascha Pfeiffer von der Sicherheitsfirma Sophos fügt hinzu: »Da Sicherheit so ein sensibles Thema ist, reden Banken nicht so gern über die Schwachstellen ihrer Angebote.«
Wohl deshalb, weil viele Menschen sich entsetzt vom Homebanking abwenden würden, wenn sie erst um all diese Schwachstellen wüssten. All die Passwörter und Sicherheitsnummern und Einmal-TAN-Nummern? »Dieses System muss man als geschlagen ansehen«, sagt Jim Woodhill, der Gründer einer Banksicherheitsfirma namens Authentify in Houston.
Es ist nämlich so, dass Hacker mit etwas Glück und Geschick die Besucher legitimer Webseiten – etwa bei einer Onlinebank – auf ihre eigenen Seiten umlenken können. Die Besucher merken das in der Regel nicht. Wenn sie das nächste Mal eine Überweisung tätigen wollen, geben sie dann treuherzig ihre Daten für die Überweisung ein und ihre aktuell erfragte Geheimnummer, und der Computer der Bank führt dann tatsächlich eine Überweisung aus. Aber nicht an den vorgesehenen Empfänger, sondern an den Empfänger, den im Hintergrund die Hacker eingefügt haben. »Man in the Middle«-Angriff heißt so etwas in den Informatikerkreisen. Mann in der Mitte. Eine finstere, unbemerkte und unauffindbare Person irgendwo draußen im Internet.
Herr Campana, viele Leute sagen: Der größte Schwachpunkt im Netz ist eigentlich die Microsoft-Software. Sie ist so verbreitet im Netz, dass sich alle Hacker der Welt darauf stürzen und ihre Fehler ausbeuten ...
»Ja, das hört man immer wieder. Das sei ein Microsoft-Problem. Und naja, ein großer Teil der Internetbenutzer verwendet dabei irgendein Programm von Microsoft. Aber ehrlich gesagt, machen wir uns genauso viele Sorgen um die anderen Plattformen. Das ist ein Ökosystem. Eine Windows-Maschine versendet eine Spam-Nachricht, ein Mac-Rechner leitet sie weiter, ein Linux-Benutzer bekommt die Nachricht dann. Wir sitzen in einem Boot. Das ganze Fingerzeigen ist ein bisschen altbacken. «
Trotzdem kann man argumentieren, dass es erstmal die Verantwortung von Herstellerfirmen wie Microsoft ist, ihre Programme vor schädlichen Eindringlingen zu schützen.
»Natürlich arbeiten wir zum Beispiel mit der Abteilung zusammen, die das Malicious Software Removal Tool programmiert – das ist ein Programm, das jeden Monat von Microsoft auf Windows-Rechner aufgespielt wird, um gegen die aktuell wichtigsten Sicherheitsbedrohungen vorzugehen.«
Kürzlich ist eine technisch extrem raffinierte Schadsoftware namens »Stuxnet« aufgetreten, die angeblich im Iran Atomanlagen außer Kraft gesetzt haben soll. Die ist – soweit man es bisher weiß – an allen möglichen Sicherheitsvorkehrungen auch in Microsoft-Programmen einfach so vorbeigerauscht. Warum war das zum Beispiel möglich? Warum hat Microsoft keinen Schutz geboten?
»Ja .... Da gibt es definitiv technisch sehr fortgeschrittene Bedrohungen da draußen. Schwer zu entdecken, schwer, überhaupt davon zu erfahren, und meist werden da bislang völlig unbekannte Sicherheitslücken ausgebeutet. Typischerweise werden solche Dinge ja auch nicht gegen Mama und Papa eingesetzt ... «
Aber irgendwann sprechen sich neue »Erfindungen« in der Hackerszene herum, und dann gibt es Banden oder Einzeltäter, die sie sehr wohl gegen ganz normale Computerbenutzer einsetzen.
Campana lacht. »Ja, die machen cut and paste. «
Ausschneiden und wieder einfügen. Eine Microsoft-Erfindung aus frühen Tagen.
Und man kennt noch nicht all diese Bedrohungen. Sie kennen sie auch noch nicht.
»Ja, da gibt es sicher eine Dunkelziffer. Da klingelt hier ab und zu das rote Telefon. Dann treffen wir uns mit den Leuten aus der Sicherheitsforschung und unserem Trustworthy Computing Team im sogenannten ›War Room‹, und wir fragen uns: Was wissen wir über diese oder jene Sicherheitslücke? Und immer mal wieder lautet die Antwort: Davon wussten wir nichts. «
Eigentlich versteht man das ganze Problem ja nicht. Sie sind Microsoft. Sie machen diese Software. Bauen Sie doch einfach einen »Ausschalter« ein, einen Kill-Switch, und nehmen Sie befallene Rechner ferngesteuert vom Netz. Das geht doch technisch sicher? Nächstes Upgrade. Einfach aus. Apple und Google haben auf diese Weise bereits beide aus der Ferne schädliche Software von den Mobilgeräten ihrer Kunden entfernt.
»Ich glaube, das wollen wir als Unternehmen nicht machen ... «
Wieso nicht? Schaltet nicht Microsoft Betriebssysteme aus der Ferne aus, wenn es so aussieht, als sei die Software geklaut? Dann kann man doch wohl auch ein Botnetz abschalten, wenn es auf Microsoft-Software läuft?
»Ich neige da nicht zu. Als Kunde würde ich das auch nicht wollen. Ich würde lieber jemanden haben, der sagt: Hier ist ein Problem. Hier gibt es ein paar Tools, um das zu reparieren. Und das machen wir hier.«
Microsoft alleine wird den Kampf so aber nicht gewinnen?
»Kein Mensch kann das alleine schaffen. Wir bauen ein Netzwerk auf, recht systematisch. Ein Weg, über den wir ein wenig Einfluss nehmen, ist eine jährliche Konferenz, die wir veranstalten, das Digital Crimes Consortium. Wir bringen jedes Jahr vierhundert bis fünfhundert Leute aus Forschung, Unternehmen, Polizeibehörden und Regierungen aus der ganzen Welt zusammen – üblicherweise aus fünfzig Ländern.
Campana hat recht: Die Zahl spektakulärer Festnahmen ist in den vergangenen Jahren gewachsen. Und die Aufklärungsarbeit seiner Cybercrime-Abteilung kann sich dafür ebenfalls auf die Schultern klopfen.
August 2009: Ein israelisch-stämmiger Hacker wird von den Behörden überführt und gibt den Diebstahl sagenhafter 10 Millionen Dollar von amerikanischen Banken zu – alles mit Hilfe des Internets.
März 2010: 23 Verdächtige werden in der Türkei gefasst, die Regierungswebseiten geknackt und mit Schadsoftware gespickt haben sollen.
Juli 2010: FBI-Ermittlungen führen zur Festnahme von fünf ehemaligen Informatik-Studenten in Slowenien und in Spanien, deren Schadsoftware Mariposa (Schmetterling) ein gigantisches Zombie-Netzwerk mit 12,7 Millionen infizierten Rechnern geschaffen hatte. Mariposa stahl Kreditkartennummern, Zugangsdaten zu Firmennetzen, Daten für das Onlinebanking.
Oktober 2010: Das FBI verhaftet etwa hundert Leute, davon neunzig in den USA, die als Geldwäscher im Dienste von Cyberkriminellen unterwegs waren und Geld ins Ausland schmuggeln wollten.
Ebenfalls Oktober 2010: Die für Cyberkriminalität zuständige Abteilung der niederländischen Polizei gibt bekannt, dass 143 Kontrollserver eines gigantischen Botnetzes namens Bredolab unschädlich gemacht wurden. Im armenischen Jeriwan wird einer der mutmaßlichen Betreiber festgenommen.
April 2011: Das US-Justizministerium und die Bundespolizei FBI legen ein weiteres Botnetz namens Coreflood lahm, das ebenfalls Millionen von Computern unter Kontrolle gebracht hatte.
Hinter einigen dieser Durchbrüche standen wieder Thomas J. Campanas Fahnder bei Microsoft sowie ihr eng geflochtenes Netzwerk von Polizei- und Justizkontakten. Und das soll nur der Anfang sein. Microsoft gehört zu den wesentlichen Antreibern einer neuen Art von Informationsaustausch: Wenn irgendwo Erkenntnisse über infiltrierte Computer und gestohlene Daten auftauchen, will der Konzern aus Redmond künftig dabei helfen, dass die Informationen viel schneller als bisher an Banken weitergegeben werden – damit Überweisungen von kompromittierten Konten gleich gestoppt werden können.
Trotz solcher Erfolge ist eines klar: Vor dem Hintergrund der gewaltig anschwellenden Schadsoftware und der wachsenden Szene der Cyberverbrecher sind solche Erfolge Tropfen auf einen heißen Stein.
Das Geschäft mit dem Onlinebetrug floriert – in Amerika, weltweit und auch in Deutschland. Jörg Ziercke, der Chef des Bundeskriminalamts (BKA), verriet kürzlich in einem Gespräch mit dem Handelsblatt: »Die Fälle nehmen rapide zu. Gab es 2009 noch rund 10.000 Fälle von Wirtschaftskriminalität, die mittels Internet begangen wurden, waren es 2010 schon rund 30.000.« Ein besonders beliebtes Ziel ist das Onlinebanking. Allein die Zahl der offiziell untersuchten und bestätigten Phishing-Fälle, bei denen Kunden geheime Kontodaten entlockt werden, ist nach BKA-Angaben 2009 auf rund 2900 gestiegen. Das VeriSign Fraud Barometer, eine von dem Sicherheitsriesen VeriSign in Auftrag gegebene Onlineumfrage, zeigte 2010, dass in den vergangenen zwölf Monaten 15 Prozent der deutschen Internetnutzer Opfer eines Onlinebetrugs geworden seien. »Die durchschnittliche Schadenssumme der Opfer stieg in den letzten zwölf Monaten von 179 auf 183 Euro pro Person«, stand ebenfalls in der Umfrage.
Die Sicherheitsfirmen und das BKA melden neuerdings auch für Deutschland eine steigende Zahl sogenannter »Identitätsdiebstähle« – ein Problem, das aus den USA zu uns herüberkommt. In den Vereinigten Staaten sind inzwischen so viele Fälle von Identitätsdiebstahl bekannt geworden – leergeräumte Konten, missbrauchte Sozialversicherungsnummern, auf fremde Namen gekaufte Handys und gefälschte Ausweise – dass die Sache den Charakter einer nationalen Panik angenommen hat. »ID Theft« gehört in den USA zu den am häufigsten gesuchten Worten bei Google. Man kann dort Versicherungen gegen Identitätsdiebstahl abschließen, die nicht gerade billig sind: umgerechnet zehn Euro im Monat, und der Nutzen ist nicht mal garantiert. Im September 2010 musste sogar der Interpol-Generalsekretär Ronald Noble zugeben, dass seine Identität auf sozialen Netzwerkseiten gefälscht worden war – und möglicherweise habe das zum Heraussickern geheimer Daten über Mord- und Drogenfälle geführt.
Manche Sicherheitsexperten wie der Washingtoner IT-Guru Bruce Schneier oder der ehemalige Hacker und heutige Buchautor und Microsoft-Berater Adam Shostack üben Fundamentalkritik an ihrer eigenen Branche: Das ganze Business der Sicherheitsberater und Sicherheitsproduktverkäufer sei nicht ein Teil der Lösung, sondern ein Teil des Problems.
Eigentlich sei es jetzt an der Zeit, ganz grundsätzlich die Netzwerke, die Konstruktion der Computer und ihren Gebrauch zu überdenken. Stattdessen würden aber immer mehr Antivirenprogramme, Firewalls und sonstige Dinge verkauft – »Sicherheitstheater«, spottet der Ex-Hacker Shostack, das der Sicherheitsbranche saftige Profite beschere. Es wiege aber die Benutzer in falsche Sicherheit und verführe sie am Ende zum Leichtsinn. Und: »Neue Sicherheitsprodukte werden häufig entwickelt, um die unbeabsichtigten Nebeneffekte früherer Sicherheitsprodukte zu kompensieren«, spottet Shostack.
Rohrkrepierer in der Computer-Sicherheitstechnik sind jedenfalls keine Seltenheit mehr. Immer wieder macht es Schlagzeilen, wenn die Webseite oder der Internetshop großer Antivirenfirmen gehackt werden – wenn also unbekannte Hacker diese Angebote unter ihre Kontrolle bringen und, wie vereinzelt geschehen, ausgerechnet an die schutzsuchenden Besucher aus dem Internet schädliche Programme verteilen. Damit so etwas nicht zu häufig passiert, fußen viele Sicherheitsmaßnahmen heute auf sogenannten »Echtheitszertifikaten«. Das Antivirenprogramm Y und das Microsoft-Update Z wird vom Computer nur dann installiert, wenn es ein trickreich verschlüsseltes, fälschungssicheres Echtheitszertifikat mitführt. Das Onlinebanking-Programm erlaubt nur dann eine Überweisung, wenn sich die Webseite der Bank mit einem Echtheitszertifikat ausweist. Und so weiter und so fort. Ein elektronisches Äquivalent zum Dienst- oder Personalausweis sozusagen, entwickelt von Kryptografen und Informatikexperten.
Tatsächlich sind solche Zertifikate so gut wie nicht fälschbar – aber man kann sie klauen. Sie sind zur heißen Beute für engagierte Hacker geworden. Im Februar 2011 musste das amerikanische Softwarehaus Comodo, das im Auftrag von Kunden wie Google, Microsoft oder Yahoo eine ganze Fülle solcher »Echtheitszertifikate« verwaltet und sich gerne als »ein weltweiter Bereitsteller von Vertrauen« bezeichnet, bekannt geben: Etliche seiner Zertifikate waren bei einem Hackerangriff abhanden gekommen. Die Täter sollen aus dem Iran stammen. In welchem Umfang damit Missbrauch betrieben wurde, ist bisher nicht bekannt.
Wenn es eine echte technische Lösung für kriminelle Übergriffe nicht gibt – was soll man dann tun?
Karen McCarthy, die New Yorker Kleinunternehmerin mit dem gehackten Firmenkonto will zurückschlagen. Sie will wissen, warum ihr Virenschutz versagt hat. Sie will wissen, warum ihre Bank nichts gegen den Diebstahl unternahm. Und sie steht in ihrem Kampf längst nicht mehr allein.
Vor einigen Monaten hat Karen McCarthy eine Internetseite namens YourMoneyIsNotSafeInTheBank.org eingerichtet (»Das Projekt zum Anprangern von Cyberplünderungen«). Sie hat eine Lobbygruppe mit ins Leben gerufen, die den US-Kongress zum Handeln zwingen soll.
Eigentlich wollte McCarthy zunächst anders vorgehen: Mit einer Klage gegen ihre Bank. Wie man das in den USA so macht. Doch schnell besann sie sich eines Besseren. Klagen sei in Amerika zu teuer, sagt sie. Als die TD Bank in Vermont ein Sicherheitsseminar über »Cyber Security« veranstaltete, tauchte McCarthy dort auf und erzählte ihre Geschichte. »Diese Party habe ich gestoppt«, sagt sie, »das hat aber leider sonst keine Konsequenzen ausgelöst.« Seither haben sich viele Leute bei McCarthy gemeldet und von ähnlichen Schicksalen berichtet. Ein Designer von Werbe- und Türschildern, der durch einen Cybereinbruch bei der Bank of Stockton fast 100.000 Dollar verloren haben will. Ein Schuldistrikt in Colorado, wo viele Male kleinere Summen per Onlinebanking von den Konten abgebucht wurden. Ein Zahnarzt in Missouri, der 200.000 Dollar verlor. Ein Autoteilehändler in Gainesville, Georgia (75.000 Dollar). Die Katholische Diözese in Des Moines, Iowa (600.000 Dollar).
So ist die kleine Marketingfirma aus dem New Yorker Vorort Massapequa zu einer Art Zentrale des Krawalls gegen die Unwägbarkeiten des Internet geworden. McCarthy und ihre Leidensgenossen sind sich einig: So geht es nicht weiter mit dem Internet. Die Banken müssen das Onlinebanking so sicher machen, dass solche Verbrechen nicht mehr passieren. Und wenn das nicht klappt, dann müssen sie die Bequemlichkeiten und Kostenersparnisse des Onlinebanking per Internet eben aufgeben und es durch persönliche Anrufe, penible Kontrollen oder gar persönliche Vorsprachen in der Bank ersetzen.
Eigentlich sollte man meinen: Es gibt jetzt genügend Warnzeichen. Irgendwer müsste anfangen, unseren Umgang mit dieser brüchigen Infrastruktur namens Internet grundsätzlich zu überdenken. Allen voran sollten die Banken das tun. Oder Microsoft. Oder Regierungen. Oder die großen Konzerne dieser Welt, gemeinsam.
In Wirklichkeit passiert das Gegenteil. Die Konstruktionsprinzipien des Internet bleiben unverändert – stattdessen werden nur gerade noch viel, viel mehr Menschen und Dinge daran angeschlossen.
Und offen gesagt: Die Sache wird gerade lebensgefährlich.