Der digitale Raubzug auf die Schweiz
Gangster verkaufen im Darknet mehrere zehntausend Zugangsdaten von Schweizer Firmen, die Ermittler schauen hilflos zu.
Veröffentlicht am 24. Mai 2018 - 18:07 Uhr,
aktualisiert am 24. Mai 2018 - 17:44 Uhr
Der Witz geht so: Es gibt zwei Typen von IT-Verantwortlichen. Der erste sagt: «Meine Firma wurde noch nie gehackt.» Der zweite: «Meine schon, aber es ist nichts passiert.»
Der Witz ist weder lustig, noch hat er eine Pointe. Doch er zeigt, dass Spezialisten Galgenhumor brauchen. Denn: Firmen und Institutionen sind ständig das Ziel von Hackerangriffen. Und die Cyberkriminellen gehen immer raffinierter vor – und immer skrupelloser.
Wie Gery Shalon, Ziv Orenstein und Joshua Samuel Aaron. Jahrelang hackten die Cybergangster Broker sowie Banken und andere Firmen der Finanzwelt und ergaunerten Kundendaten. Parallel dazu bauten sie ein Konstrukt aus 75 Briefkastenfirmen auf und benutzten 81 Bankkonten rund um die Welt, von Georgien bis Zypern, von der Schweiz bis zu den British Virgin Islands. Sie agierten mit 131 gefälschten Pässen und 65 gefälschten Identitätskarten aus insgesamt 17 Ländern.
Mit den gehackten Mailadressen überfluteten sie Bankkunden und Investoren mit Spam und manipulierten die Kurse von hochspekulativen Tiefpreisaktien (Pennystocks). Zudem betrieben sie illegale Onlinecasinos, Bitcoin-Börsen, Bezahlplattformen – alles, um Geld zu machen und Geld zu waschen. Auch für andere Betrüger aus dem Darknet . Als sie 2015 aufflogen, hatten sie mehrere hundert Millionen Dollar ergaunert.
Wer so agiert, braucht mehr als Hackerwissen. Die Gangster haben Cybercrime zu einem Geschäftsmodell entwickelt, das sie bis ins Detail perfektionierten. Ihre Banden sind aufgebaut wie global tätige Unternehmen. Es gibt klare interne Zuständigkeiten und Regeln, eine starke Hierarchie, externe Mitarbeiter und Zulieferer (siehe Infografik am Ende des Artikels).
Ein anderer spektakulärer Fall betraf die Gruppe Carbanak. Die Hacker ertrogen innert zweier Jahre bei 100 Banken in 30 Ländern die unglaubliche Summe von einer Milliarde Dollar. Nachdem sie 2015 aufgeflogen waren, warnte Interpol: «Kriminelle nutzen jede Schwachstelle in jedem System aus. Keine Branche ist gegen Attacken immun.»
Datenklau hat ein beängstigendes Ausmass angenommen. In den letzten zehn Jahren wurden bei 215 belegten Fällen 3'154'000'000 Details von Privatpersonen gestohlen. Anders gesagt: Alle 17 Tage kommt es irgendwo auf der Welt zu einem Datendiebstahl, bei dem durchschnittlich 14 Millionen Internetnutzer betroffen sind. Besonders erschreckend: In vielen Fällen erfahren Betroffene erst Jahre später, dass ihre Zugangsdaten gestohlen und weiterverkauft wurden. (Zeitleiste: Die spektakulärsten Datenhacks der letzten Jahre)
So war es beim sozialen Netzwerk MySpace, das vor zehn Jahren gehackt wurde. Unbekannte hatten die Zugangsdaten von 359 Millionen Nutzern geklaut. Die Betroffenen erfuhren das erst acht Jahre nach dem Diebstahl. Ebenfalls 2016 erfuhren 164 Millionen LinkedIn-Kunden und 68 Millionen Dropbox-Nutzer, dass ihre Zugangsdaten entwendet worden waren – im Jahr 2012.
Der grösste Datenklau aller Zeiten ereignete sich aber bei Yahoo – und katapultiert die Gesamtzahl der gestohlenen Daten gleich in neue Sphären: Letzten Herbst musste der Konzern eingestehen, dass 2013 über drei Milliarden Kundendaten gestohlen worden waren. Anders gesagt: die Daten aller Yahoo-Nutzer.
3'000'000'000 Kundendaten wurden 2013 beim kalifornischen Internetkonzern geklaut. Der Angriff gilt als grösster Hack aller Zeiten.
Wer sich im Internet bewegt, muss davon ausgehen, dass sich Internetkriminelle jetzt gerade seiner privaten, womöglich sensiblen Daten
behändigen und sie zum Verkauf anbieten. Und dass man das wohl erst Jahre später erfährt.
Zugangsdaten sind eine begehrte Handelsware. Sie sind der Rohstoff für Computerbetrüger. Auf solchen Daten bauen sie Netzwerke auf, über die sie Schadprogramme verteilen, sogenannte Malware. Oder sie gaukeln mit diesen Zugängen fremde Identitäten vor (Social Engineering) und versuchen, sich in Firmen einzuschleichen, um die Buchhaltungsabteilungen zu Geldtransaktionen zu bewegen (CEO-Fraud). (Glossar: Schadsoftware und kriminelle Vorgehensweisen)
Kaufen kann man solche Daten in einschlägigen Foren in verborgenen Bereichen des Internets, im Darknet. Organisiert sind sie wie ein Schwarzes Brett: Hier finden Cyberbetrüger Schadsoftware gegen eine bestimmte Firma, die Hacker und Datenhändler anbieten.
«Es gibt nichts, was es nicht gibt im Untergrund», sagt der Cybersecurity-Analyst Samuel Ender* im Interview mit dem Beobachter. Er bezeichnet sich als Threat Intelligence Officer, einer, der Datenströme auf Gefahren hin überwacht. Ender wollte anfänglich offen mit dem Beobachter reden und so ahnungslose und ignorante Firmen aufrütteln. Aber die Szene der Spezialisten, die sich in den Abgründen der Hackerforen auskennen, ist klein. Aus Konkurrenten werden schnell Neider. Und nicht immer ist klar, wer Freund ist und wer Feind. Aktuell wird von einer internationalen Polizeiaktion gemunkelt, die in einem der wichtigsten Foren unmittelbar bevorstehe. Deshalb erhielt Ender von seinem Arbeitgeber Redeverbot und sprach anonym mit dem Beobachter.
Enders Job: im Auftrag von angegriffenen Firmen herausfinden, wo ihre Schwachstellen sind und ob in den Tiefen des Internets entsprechende Datensätze zum Kauf angeboten werden.
Novartis | 43'626 Datensätze |
Credit Suisse | 26'442 Datensätze |
Bundesverwaltung | 5231 Datensätze |
SBB | 1500 Datensätze |
Nachrichtendienst | 3 Datensätze |
Für den Beobachter suchte der Cybersecurity-Analyst Daten von Schweizer Firmen – und wurde fündig. Von Novartis etwa waren am Tag seiner Recherche 43'626 Datensätze im Angebot. Ein Datensatz umfasste jeweils Mailadresse und das zugehörige Passwort. Die Login-Daten hatten die Endung @novartis.com, stammen also mutmasslich von Mitarbeitern des Pharmakonzerns. Der neuste Datensatz war am Stichtag der Recherche gerade mal zwei Wochen alt. Mehr als 200 Login-Daten stammten vom Topkader. Ender kann das deshalb so genau sagen, weil er seine Funde im Darknet abgleicht mit öffentlichen Namenslisten der Firmenkader.
Nicht viel besser ist die Situation für die Credit Suisse. Zum Kauf angeboten wurden in den Hackerforen 26'442 E-Mail-Adressen und Passwörter. Der neuste Datensatz war drei Wochen alt. Gut 600 Logins konnten dem Topkader zugeordnet werden.
Kaufen konnte man auch Zugänge von Mitarbeitern der Bundesverwaltung (5231) und der SBB (1500). Vom Energiekonzern Alpiq, von Postfinance, der Zürcher Kantonalbank und von Raiffeisen gab es am Stichtag auf dem Markt jeweils einige hundert Logins, von der Swiss und der UBS einige Dutzend. Selbst von Mitarbeitern des Nachrichtendiensts fand Ender drei E-Mail-Adressen samt Passwörtern.
Und immer wieder tauchen Daten von Swisscom auf. Öffentlich kommuniziert hat der Konzern Anfang Februar ein Datenleck, bei dem Telefonnummern, Namen, Adressen und Geburtsdaten von 800'000 Kunden abgeflossen sind. Von Login-Daten und Passwörtern war keine Rede. Doch Cybersecurity-Spezialist Ender sagt: «Die Swisscom hat ein Problem.» Gemäss den Daten, die im letzten Jahr in Foren aufgetaucht sind, wurde der Konzern offensichtlich achtmal angegriffen. Der neuste Datensatz ist wenige Wochen alt und umfasst rund 200'000 Mailadressen – inklusive Passwörtern. Kostenpunkt der Daten: 36'000 Euro.
Vom Beobachter mit den Fakten konfrontiert, erklärten Novartis, Credit Suisse und Swisscom: Alles halb so schlimm, man habe die Situation im Griff, treffe alle erdenklichen Vorsichtsmassnahmen und beobachte die Szene aufmerksam. Die Swisscom schrieb: «Uns sind keine weiteren erfolgreichen Angriffe bekannt.» Die Stellungnahmen der Konzerne vermitteln den Eindruck, dass sie am liebsten nicht darüber reden wollen.
Eine Analyse früherer Diebstähle zeigt, woher die Firmen-Logins womöglich stammen: Viele Nutzer hinterlassen bei verschiedensten – auch privat genutzten – Internetdiensten ihre Geschäftsadresse. Noch schlimmer: Oft nutzen sie auch das gleiche Passwort
wie im Büro. So hacken Kriminelle irgendwelche Plattformen und erhalten im Gegenzug Firmen-Logins.
Unter den 31 Mio. gestohlenen Nutzerdaten von Ashley Madison: 53 Schweizer Banker mit ihrer Geschäfts-E-Mail-Adresse.
Ein Beispiel war das Seitensprung-Portal Ashley Madison. Im Sommer 2015 gelang es der Hackergruppe The Impact Team, 31 Millionen Nutzerdaten zu stehlen – darunter Namen, Privatadressen und Kreditkartenverbindungen.
Die Sicherheitsspezialisten Stefan Frei und Christof Jungo analysierten die E-Mail-Adressen und filterten Schweizer heraus. Das Resultat, sortiert nach Branchen: Aus der Schweiz registrierten sich beim Seitensprung-Portal 53 Banker mit ihren Geschäftsdaten, 44 Mitarbeiter von Versicherungen, 28 Personen der Bundesverwaltung, 45 von kantonalen Verwaltungen und 153 aus dem Umfeld der Unis und der ETH.
Letztlich sind es die User, die mit ihrem sorglosen Umgang sich selbst – und ihren Arbeitgeber – gefährden. So erzählte ein Sicherheitsexperte dem Beobachter, wie er auf einer einschlägigen Plattform komplette Baupläne der Swisscom-Netzinfrastruktur gefunden hatte.
Die meisten Schweizer Firmen haben nur wenig Ahnung, wie professionell Hacker im Untergrund arbeiten. Experte Samuel Ender: «Diese Foren sind nicht das Feld der Script-Kids, der jungen Programmier-Freaks, die sich einen Spass daraus machen, in Firmen einzudringen. Hier operiert die Top-Elite der Hacker.» Russen, Chinesen, Nordkoreaner, Iraner, aber auch Amerikaner, Israelis und Marokkaner.
Mehrere Sicherheitsexperten teilen diese Einschätzung. «Das sind hochkarätige Kriminelle, die Hacking als Beruf ausüben – und das sehr profitabel tun», sagt Robert McArdle. Er ist Direktor Cybercrime Research beim japanischen Softwaresicherheitskonzern Trend Micro und schult Ermittlungsbeamte im Kampf gegen Cybercrime. Der zentrale Treffpunkt der Cyberkriminellen seien diese Foren, so McArdle. Hier schliessen sie Geschäfte ab – auf Kosten der normalen Internetnutzer. «Es ist diese enge Kommunikation, die es der Gemeinschaft der Cyberkriminellen ermöglicht hat, sich zu einer der erfolgreichsten digitalen Dienstleistungsindustrien zu entwickeln.»
Die wichtigsten Foren können in drei Gruppen unterteilt werden.
- Die erste Gruppe ist die harmloseste. Hier muss man sich lediglich mit einer E-Mail-Adresse registrieren. Etwa 200'000 Hacker nutzen diese Plattformen.
- Eine verschwiegenere Kategorie sind diejenigen Foren, für deren Zugang man einige hundert Dollar Depot überweisen muss. Hier tummeln sich 80'000 bis 120'000 Nutzer pro Plattform.
- Die dritte Kategorie nennt sich Top Tier. Sie umfasst die absolute Elite der weltweiten Hackerszene. Wer sich einloggen will, muss mehrere tausend Dollar Depot hinterlegen und von zwei Personen empfohlen worden sein. Der Kreis ist exklusiv, hier treffen sich lediglich ein paar tausend Hacker.
Was sich in einem solchen exklusiven Forum abspielt, ist der Stoff, aus dem Thriller sind. Je exklusiver ein Datensatz, desto höher der Preis. In einem dieser Top-Tier-Foren wurden auch die bei Yahoo erbeuteten Nutzerdaten verkauft. Nur dreimal, jeweils für 250'000 Dollar.
Ein anderes Element, das den Preis bestimmt, ist die Qualität einer Schadsoftware. Je stärker sie vor der Entdeckung schützt, desto höher der Preis. Viele Hacker bieten sogar eine Geld-zurück-Garantie. Wer beispielsweise eine Malware kaufen will, um ein Gaskraftwerk stillzulegen, erhält zuerst einen Vorab-Auszug aus dem Code. So kann der Käufer sicher sein, dass er damit tatsächlich ins Werk eindringen kann. Bezahlt wird erst nach dem Test. «Für 100'000 bis 150'000 Dollar kann man Schadgut kaufen, mit dem man vollen Zugriff auf eine Industrieanlage erhält», sagt ein Cybercrime-Analyst, der sich regelmässig in diesen Foren bewegt.
In den letzten zwei Jahren wurden Codes verkauft, mit denen später Gaskraftwerke stillgelegt wurden. Ebenso ein Automobilzulieferer und eine Bananen-Reiferei. Zudem sollen Cyberkriminelle 2016 mindestens sieben Atomkraftwerke in Südostasien mit Malware ausser Betrieb gesetzt haben. Überprüfen lässt sich das nicht, die Fälle wurden nie öffentlich bestätigt. Samuel Ender: «Meines Wissens wird zurzeit kein aktiver Code verkauft. Aber es gibt Gruppierungen, die sich mit der Infrastruktur von Atomanlagen beschäftigen.»
«Viele Unternehmen haben noch nicht verstanden, wie professionell die Täter organisiert sind und dass die Firmen für eine effektive Abwehr vermehrt zusammenarbeiten sollten», sagt der Basler Cybersecurity-Experte Christof Jungo. Seine erschreckende Erkenntnis: «Sehr oft fehlt den Managern jegliche Sensibilität für die Gefahren von Cybercrime.»
Angriffe durch Hacker: «Jede Branche ist gefährdet»
Cyberkriminelle werden immer raffinierter. Doch nur wenige Firmen kümmern sich um Cybersecurity, sagt Samuel Ender*. Er fahndet im Darknet nach gestohlenen Daten.
Der Schaden durch die Cyberkriminalität ist riesig, auch in der Schweiz. Gemäss einer Analyse des Nachrichtendiensts ist Wirtschaftsspionage eine der Hauptgefahren für die Sicherheit der Schweiz. Am grössten ist das Risiko für Hightechunternehmen aus der Luft- und Raumfahrttechnik, der Nanotechnologie und der Molekularbiologie. Aber auch das Banken- und Versicherungswesen sowie die Forschung sind betroffen.
Im März dieses Jahres wurden in den USA neun Iraner angeklagt, die im staatlichen Auftrag weltweit 176 Universitäten gehackt haben sollen. Betroffen waren auch Internetzugänge von Professoren in der Schweiz. Das Ziel der Hacker: westliches Wissen. Sie klauten insgesamt 31 Terabyte Daten.
«Wir bekämpfen die Kriminalität des 21. Jahrhunderts mit einer Organisation des 19. Jahrhunderts.»
Michael Lauber, Bundesanwalt
Und was macht die Schweiz gegen die steigende Gefahr aus dem Cyberspace? Die Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) existiert nur noch auf dem Papier. Die Mitarbeiter wurden in den Bereich Ermittlung, Forensik, Informatik der Bundeskriminalpolizei integriert. Vor lauter Reorganisation laufe im Bundesamt für Polizei (Fedpol) bei der Cyberermittlung phasenweise fast gar nichts mehr, heisst es aus internen Quellen. Mehrere mit den Abläufen vertraute Personen bestätigen etwa, dass verdeckte Ermittler auf die Aufträge aus der Gruppe Monitoring warten, während Mitarbeiter der Gruppe Monitoring auf Anfragen der verdeckten Ermittler hoffen.
Die Koordinationsstelle war sogar monatelang offline. In der Folge ging die Zahl der Bürgermeldungen drastisch zurück. Hinweise aus der Bevölkerung wären aber für Ermittler eine wichtige Informationsquelle in Bezug auf aktuelle Gefahren.
Zudem konnte das Bundesamt für Polizei in den vergangenen Jahren über die sozialen Medien seine Warnhinweise breit streuen. Die Beiträge wurden auf Facebook häufig mehr als 200-mal geteilt. Doch plötzlich liefen die Facebook-Posts ins Leere, und kein Mensch las mehr die Informationen der Bundespolizei.
In einer internen Mail erklärte ein hochrangiger Beamter: «Amateurhafter geht es nun wirklich nicht.» Die öffentliche Kommunikation bezeichnete er als «fachlich inkorrekt, missverständlich und für Personen mit ein bisschen Ahnung nur noch lächerlich».
Der Beobachter hat nachgefragt, weshalb die Zahl der Verdachtsmeldungen aus der Bevölkerung im letzten Jahr um fast einen Drittel zurückgegangen ist. Eine Fedpol-Sprecherin beschwichtigt: «Die Bereitschaft, Vorfälle zu melden, ist wohl nicht mehr so ausgeprägt wie in den letzten Jahren. Die Menschen haben sich allenfalls an die verschiedenen Betrugsformen gewöhnt, die Reorganisation dürfte keine Rolle spielen.»
Bundesanwalt Michael Lauber sucht den Befreiungsschlag und will die Bekämpfung von Cybercrime neu strukturieren. Sein Bonmot macht inzwischen die Runde: «Wir bekämpfen die Kriminalität des 21. Jahrhunderts mit einer Organisation des 19. Jahrhunderts.»
Lauber will den Kantönligeist durchbrechen und alle wichtigen Cyberermittler der Schweiz an einen Tisch bringen. Noch diesen Monat soll ein Cyberboard die Arbeit aufnehmen. «Man muss im Cyberbereich den Föderalismus neu erfinden», sagt Lauber.
Jetzt muss der Bundesanwalt nur noch die Kantone überzeugen. Das allerdings dürfte der schwierigste Teil seiner Arbeit werden.
*Name geändert
Wurde Ihre E-Mail-Adresse gehackt? Testen Sie es auf haveibeenpwned.com
Es ist einer der spektakulärsten Cybercrime-Fälle weltweit: Die Bande um Gery Shalon, Ziv Orenstein und Joshua Samuel Aaron betrieb Hacking als perfekt organisiertes Geschäftsmodell und erbeutete mehrere hundert Millionen Dollar. Rund hundert Millionen landeten auf Schweizer Konten.
Die Tricks der Hacker werden immer raffinierter wie das folgende Beispiel zeigt. Hier wird vorgegeben, dass eine Mail nicht gesendet wurde und der Absender sich nochmals einloggen soll, um die Nachricht erneut zu verschicken. Wie man der Fälschung auf die Schliche kommt, sehen Sie bei einem Klick auf die Grafik.
Bill-Swap-Betrug
Fälschung und Manipulation elektronischer Rechnungen.
Bot
Programm, das eigenständig Befehle ausführt und ein kompromittiertes System fernsteuert.
CEO-Fraud
In gefälschten E-Mails geben sich Unbekannte als Firmenchefs aus und weisen die Buchhaltung an, Geld zu überweisen.
Crimeware
Schadsoftware.
Cyberparasiten
Unbekannte verschaffen sich mit Schadsoftware Zugang zu einem Computer und nutzen die Rechenleistung, um Bitcoins herzustellen (Bitcoin-Mining).
DDoS
Distributed Denial of Service; Datenattacke, bei der ein Server mit Tausenden Systemanfragen überschüttet wird, bis er zusammenbricht.
Fullz
Zum Verkauf bestimmte aufbereitete Listen mit Namen, Adressen, Passwörtern, Kreditkarten- und CVV-Nummern.
Pharming
Mit missbräuchlich installierten Trojanern wird Geld von den E-Banking-Konten der Opfer abgezogen.
Phishing
Mit E-Mails und gefälschten Kundenseiten werden Opfer dazu gebracht, vertrauliche Infos preiszugeben.
Ransomware
Erpressungs- respektive Verschlüsselungstrojaner; Opfer können erst wieder auf ihre Daten zugreifen, wenn sie Bitcoins gezahlt haben.
Scam
Betrug; zum Beispiel keine Waren liefern, obwohl sie bezahlt wurden.
Social Engineering
Betrugsversuch, bei dem man sich in das private Umfeld der Zielperson einschleicht – etwa via soziale Netzwerke und vertrauenerweckende Mails.
Spam
Unerwünschte Werbung und Kettenbriefe per E-Mail.
Trojaner
Computerprogramm, das sich via E-Mail in einem Gerät einnistet und selbständig Funktionen ausübt und weiterverbreitet.