«Das sind wahre Schatztruhen»
Dossiers
Artikel zum Thema
- EU untersucht Cyberangriff auf Mitarbeiter
- «Siemens muss zur Rechenschaft gezogen werden»
- Der Kampf der Schweiz gegen die Cyberkriminalität
- Für ein paar hundert Dollar
Bildstrecke
Stichworte
Bildstrecke
Korrektur-Hinweis
Melden Sie uns sachliche oder formale Fehler.
Private Daten werden immer sorgloser ins Internet gestellt. Doch auch wer von freiwilliger Blossstellung absieht, kann sich nie ganz sicher sein. Selbst Geheimdienstmaterial wurde zuletzt plötzlich öffentlich. Und Datenklau durch Organisationen wie Wikileaks ist laut Sicherheitsexperten nur die Spitze des Eisbergs. Denn private Daten sind bares Geld wert, illegale Zugriffe ein Millionengeschäft.
Das US-Unternehmen Verizon hat für eine am (heutigen) Dienstag erscheinende Studie 1'700 Fälle von Datendiebstahl unter die Lupe genommen. Der Bericht zeigt, wie die virtuellen Eindringlinge vorgehen, welche Ziele sie bevorzugt ansteuern und nicht zuletzt, wer sich hinter den Eindringlingen verbirgt.
China als Bauernopfer?
«Es ist geradezu ein Trend geworden, für jeden Cyberangriff erstmal die Chinesen verantwortlich zu machen», sagt Bryan Sartin von Verizon Business im Gespräch mit der Nachrichtenagentur dapd. Damit stehe der IT-Chef eines angegriffenen Unternehmens schliesslich besser da, als wenn er zugäbe, dass vermutlich ein 17-Jähriger im Keller seiner Mutter in Rumänien alle Systeme geknackt habe.
In der Realität stünden Datendiebstähle durch Regierungen oder andere politische Institutionen jedoch nur für einen sehr geringen Anteil der verzeichneten Zugriffe, sagt der Sicherheitsexperte. «In 75 Prozent der Fälle haben wir es mit finanziellen Motiven zu tun.»
Da es meist um Geld geht, zählten in der Vergangenheit vor allem Grossbanken zu den Zielen der kriminellen Hacker. Dies habe sich in den letzten Jahren allerdings geändert, sagt Sartin - nicht zuletzt deshalb, weil viele der illegalen Datenjäger den Behörden in die Fänge geraten seien. «Einen Elefanten zu erlegen, ist ergiebig, aber auch gefährlich», sagt Sartin. «Hasen zu erlegen hingegen, ist zwar weniger ergiebig, die aber laufen überall herum, man muss sie praktisch nur einsammeln.»
Einzelhandel und Gastgewerbe im Fadenkreuz
Die «Hasen» sind in der Welt der Cyberkriminalität die kleinen Unternehmen. Die Ergebnisse des «2011 Data Breach Investigation Report», den der private Sicherheitsdienstleister Verizon Business in Zusammenarbeit mit dem US Secret Service und dem niederländischen National High Tech Crime Unit erstellt hat, zeigen, dass zuletzt vor allem Betriebe im Einzelhandel und im Gastgewerbe ins Fadenkreuz der Datenjäger gerieten.
«Die Daten, die diese Unternehmen haben, sind für Hacker wahre Schatztruhen», sagt Sartin. Neben den Kreditkartennummern seien in Reservierungslisten oder anderen Systemen oft sämtliche Angaben erhältlich, die für Schwindel und Betrug, im Extremfall gar für Identitätsfälschung nötig seien. Und anders als Grosskonzerne hätten solche Unternehmen der Abwehr von Angriffen aus dem Internet nur selten etwas entgegenzusetzen.
Klassische E-Mail bleibt beliebter Angriffsweg
Die Daten einzelner Personen sind für die Cyberkriminellen zunächst häufig nur «Sprungbretter», um auf für sie bedeutendere Systeme Zugriff zu erhalten. Ein beliebter Weg ist hierbei Sartin zufolge nach wie vor die klassische E-Mail. Zwar wisse heute jeder, dass Nachrichten unbekannter Absender mit Vorsicht zu behandeln seien und insbesondere keine Anhänge geöffnet werden sollten. Oft reiche aber schon ein Minimum an individuellem Zuschnitt, und alle Bedenken würden über Bord geworfen.
«Angenommen, jemand interessiert sich für Pferdesport», sagt Sartin. «Nun bekommt er scheinbar eine E-Mail von der Rennbahn, an der er seine Wochenenden verbringt. Im angehängten pdf-Dokument soll es Informationen darüber geben, wie man Mitglied wird oder zu irgendwelchen Rabatten - schon ist es passiert.»
Auf diesem Wege werde in einem Computer die «Saat» gesetzt. Und sobald sich die Person das nächste Mal über den gleichen Rechner etwa in das System seines Arbeitgebers einwähle, könne die «Saat» auch dort aufgehen, erklärt der Sicherheitsexperte. Die für den ersten Schritt nötigen Informationen über entsprechende Vorlieben liessen sich häufig problemlos etwa von den Myspace- oder Facebook-Seiten der Zielperson ablesen.
Fast alle Angriffe kamen von aussen
Insgesamt haben Bryan Sartin und seine Kollegen mehr als 1.700 Datendiebstähle und mehr als 900 Millionen kompromittierte Datensätze untersucht. In manchen Fällen wurden die Daten schlicht von Insidern gestohlen und weitergereicht. Doch in 92 Prozent der Fälle erfolgten die Einbrüche durch externe Akteure.
Beim konkreten Vorgehen wiederum zeigte sich fast immer eine Kombination mehrerer Faktoren. Viren und andere feindliche Programme kamen in 49 Prozent der Fälle zum Einsatz, Hacking in 50 Prozent. In 17 Prozent der Fälle wurden die Angriffe erst durch gravierende Fehler im System ermöglicht, in 29 Prozent der Fälle erfolgte ein physischer Eingriff.
Welche Daten dürfen auf keinen Fall verschwinden?
Eine erschreckende Erkenntnis des Berichts ist, wie wenig sorgsam viele Unternehmen und Institutionen offenbar mit sensiblen Daten umgehen. «Fast 90 Prozent der Daten wurden aus Quellen entwendet, von denen die Bestohlenen gar nicht wussten, dass sie existieren», sagt Sartin. Um mehr Sicherheit im IT-Bereich zu gewährleisten, sei ein erster notwendiger Schritt daher häufig, wichtige Daten überall dort, wo sie nicht zwingend gebraucht würden, zu löschen.
«Ein Unternehmen muss entscheiden: Welches sind die Daten, die auf keinen Fall in falsche Hände geraten dürfen?», sagt Sartin. Wenn der Zugriff auf diese Daten auf einen minimalen Nutzerkreis beschränkt bleibe, dann sei das Risiko eines virtuellen Einbruchs meist mit einfachen und kostengünstigen Mitteln in den Griff zu bekommen. (rek/dapd)
Erstellt: 19.04.2011, 18:04 Uhr
Digital
Familie, Beruf und Studium
Sonia Uhlmann ist keine typische Studentin. Dank Fernstudium hat sie den Master trotzdem geschafft.
Live @ Sunset
11. bis 22. Juli - Zürich Dolder u.a. mit B.B. King, Elton John und Alanis Morissette!
