«Jede Branche ist gefährdet»
Cyberkriminelle werden immer raffinierter. Doch nur wenige Firmen kümmern sich um Cybersecurity, sagt Samuel Ender*. Er fahndet im Darknet nach gestohlenen Daten.
Veröffentlicht am 24. Mai 2018 - 17:30 Uhr,
aktualisiert am 24. Mai 2018 - 15:41 Uhr
*Samuel Ender ist ein Pseudonym. Der Experte fahndet im Auftrag von geschädigten Firmen verdeckt im Darknet. Mittels Threat-Intelligence analysiert er die Angebote der Kriminellen und spürt Schadsoftware auf.
Beobachter: Datendiebstahl ist Alltag. Worauf müssen wir uns gefasst machen?
Samuel Ender*: Wir stehen vor grossen Herausforderungen, weil Cyberkriminelle immer raffinierter werden. In der Vergangenheit hatten wir es oft mit schlecht gemachten E-Mails zu tun. Der Text wurde mit Bruchstücken aus russischen oder anderen fremdsprachigen Schriftzeichen zusammengebastelt. Heute aber sehen wir perfekte Angriffswellen. Zielgerichtet und personalisiert. Bevor eine Kampagne gestartet wird, werden im Untergrund Informationen über die Ziele gesammelt.
Beobachter: In Darknet-Foren werden massenweise Zugangsdaten von Firmen angeboten. Gibt es Bereiche der Wirtschaft, die besonders gefährdet sind?
Ender: Nein, jede Branche ist gefährdet. Betroffen sind Firmen aus dem Militärsektor genauso wie aus dem Banken- oder Medizinbereich. Für jede Branche gibt es spezialisierte Gruppierungen von Cyberkriminellen, die Schadcodes programmieren, Kampagnen planen und diese zum Verkauf anbieten.
Beobachter: Werden zum Beispiel Schadcodes für die Systeme von Firmen zum Verkauf angeboten, ohne dass diese davon wissen?
Ender: Richtig, davon müssen wir ausgehen. Es gibt nichts, was es nicht gibt im Untergrund. Diese Gruppierungen machen alle gestohlenen Daten irgendwie zu Geld.
«In Cybercrime-Foren wird ständig über Codes von Atomanlagen diskutiert.»
Samuel Ender*
Beobachter: Je sensibler die Infos, desto höher ist also das Risiko, dass ein Schadcode für eine Firma angeboten wird?
Ender: Ja. Betroffen sind alle Firmen bis hinauf in militärische Bereiche. Zu kaufen gibts immer wieder auch Zugangscodes für Atomanlagen in verschiedenen Regionen der Welt.
Beobachter: Bitte? Es werden Zugangscodes für Atomanlagen angeboten?
Ender: In Cybercrime-Foren wird ständig über Codes von Atomanlagen diskutiert. In den öffentlich zugänglichen Foren wird meines Wissens zurzeit kein aktiver Code verkauft. Aber es gibt Gruppierungen, die debattieren, wie man Störungen an der Infrastruktur von Atomanlagen hervorrufen kann. Letztes Jahr kam es in den USA zu solchen Störungen.
Beobachter: Wie steht es um die Infrastruktur im Gesundheitswesen, etwa von Spitälern?
Ender: Der Handel von Patienten- und Personaldaten aus dem medizinischen Bereich ist für Cyberkriminelle eine riesige Geldquelle. Es werden Millionen von Datensätzen von Krankenhäusern weltweit gehandelt. Ein medizinischer Datensatz, etwa Login-Daten eines Mitarbeiters, bringt 50 Cent bis einen Euro ein. Verkauft werden Zugänge zu medizinischen Geräten von Krankenhäusern, die sich manipulieren und lahmlegen lassen, um Geld zu erpressen. Auch Zugänge zu Organtransplantations-Datenbanken wurden angeboten.
Beobachter: Wer kauft solche Daten?
Ender: Datenhändler führen damit Erpressungen durch. Oder sie verschicken personalisierte Medikamentenwerbung – etwa Anzeigen für gefälschte Krebspräparate an Krebspatienten.
«Unternehmen sollten sich endlich mit den Gefahren da draussen beschäftigen.»
Samuel Ender*
Beobachter: Warum wird es selten öffentlich, wenn Firmen und Spitäler erpresst werden?
Ender: Bisher hatten wir in Deutschland keine Meldepflicht für Cyberangriffe. Das war ein grosses Problem, das Gesetz ist erst letztes Jahr in Kraft getreten.
Beobachter: Auch Firmen scheuen Meldungen.
Ender: Ja, denn das führt zu einem grossen Reputationsschaden. Stellen Sie sich vor, es würde bekannt, dass das Spital XY gehackt wurde und man sich auf der Liste der Nierentransplantationen für 50'000 Franken ein paar Plätze nach vorn schieben kann. Würden Sie sich da noch behandeln lassen?
Beobachter: Wie kann man sich gegen solche Angriffe schützen?
Ender: Unternehmen sollten sich endlich mit den Gefahren da draussen beschäftigen. Sie müssen sich fragen: Was macht mich interessant, wo liegen bei mir die Gefahren punkto Cybercrime?
Beobachter: Steht es wirklich so schlecht?
Ender: Nur wenige Firmen kümmern sich um Cybersecurity. Es sind meist grosse Unternehmen, die das Geld und das Personal haben. Ihre Spezialisten suchen jeden Tag aktiv nach möglichen Bedrohungen und überprüfen laufend ihre Computer-Architektur. Dann gibt es die riesige Menge an Firmen, die nicht die Möglichkeiten und nicht das Verständnis, die Zeit und das Geld für die Datensicherheit haben. Manchmal ist nur ein einziger Administrator an Bord, der sich um alles kümmert – die Datenbanken, den Support abdecken. Und dann auch noch Cybersecurity? Das schafft einer allein gar nicht.
Der digitale Raubzug auf die Schweiz
Gangster verkaufen im Darknet mehrere zehntausend Zugangsdaten von Schweizer Firmen – die Ermittler schauen hilflos zu.
Es ist einer der spektakulärsten Cybercrime-Fälle weltweit: Die Bande um Gery Shalon, Ziv Orenstein und Joshua Samuel Aaron betrieb Hacking als perfekt organisiertes Geschäftsmodell und erbeutete mehrere hundert Millionen Dollar. Rund hundert Millionen landeten auf Schweizer Konten.