Beharrlich waren sie, das muss man ihnen lassen: Im September haben Unbekannte innert zehn Tagen fünf Mal versucht, bei den Kunden des Online-Marktplatzes ricardo.ch persönliche Daten abzugreifen. Dumm nur, dass sie absolut keine Landeskenntnis hatten: Als Grund für das Phishing-Mail gaben sie eine nicht bezahlte Rechnung über 1.27 Franken an.
Natürlich gibt es auch ausgeschlafenere Internetbetrüger. Zum Beispiel jene, die sich auf das Ausnutzen von Sicherheitslücken in weitverbreiteten Betriebssystemen, Browsern oder Dateiformaten spezialisiert haben. Die Täter verseuchen beliebte Websites mit Schadsoftware und dringen in die Computer jener Besucher ein, die es versäumt haben, die regelmässig zur Verfügung gestellten Sicherheitspatches von Google, Apple, Microsoft und Co. zu installieren.
Ob handgestrickt oder smart: Solche Massenangriffe sind längst nicht mehr die grösste Gefahr aus dem Internet. Mit gesundem Menschenverstand und regelmässigen Updates lassen sie sich relativ einfach abwehren.
Vermehrt gezielte Angriffe
Was die Experten bei Polizei und Justiz mehr beunruhigt, sind gezielte Attacken auf einzelne Behörden, Institutionen oder Unternehmen. Die Angreifer legen missliebige Websites lahm oder übernehmen via Trojaner das Kommando über die IT-Infrastruktur ihrer Opfer.
Eingeschleust werden die Trojaner in der Regel über die grösste Schwachstelle von Organisationen: die Menschen vor den Bildschirmen. Die Täter treten als Lieferanten, Kunden oder gar als Vorgesetzte auf und versuchen einen Mitarbeiter zur Aktivierung einer Schadsoftware zu bringen. «Die Fantasie der Kriminellen ist grenzenlos», weiss Stephan Walder, staatsanwaltschaftlicher Leiter des Kompetenzzentrums Cybercrime des Kantons Zürich. Er weiss von Fällen, in denen die Täter als joviale Hotline-Mitarbeiter mit akzentfreiem Dialekt auftraten.
«Die Fantasie der Kriminellen ist grenzenlos.»
Stephan Walder, staatsanwaltschaftlicher Leiter des Kompetenzzentrums Cybercrime
Lange galten nur Grossunternehmen als gefährdet. Doch auch das hat sich geändert. So schreibt die Schweizerische Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) in ihrem letzten Jahresbericht, dass «vermehrt auch KMU ins Visier der Betrüger» geraten würden. Der Grund: KMU verfügen im Gegensatz zu Grossfirmen nur selten über eine 7×24-Überwachung der IT-Infrastruktur und sie sind – anders als Privatpersonen – existenziell abhängig von einer funktionierenden IT-Infrastruktur.
Bösartigste Bedrohung
Der Doppeltrojaner Dridex Carbanak zum Beispiel dringt in sensible Systeme wie das Enterprise Resource Planning ein. Die Schadsoftware sitzt in einem Office-Dokument. Wird es geöffnet, nistet sich Dridex Carbanak ein und löst via E-Banking Überweisungen auf fremde Konten aus, und zwar so, dass die geschädigte Firma im Tagesgeschäft nichts bemerkt.
Ein Vertreter der US-amerikanischen Justiz bezeichnete die Dridex-Trojaner unlängst als «eine der bösartigsten Malware-Bedrohungen der Welt». Der Schädling ist auch bei der Staatsanwaltschaft Zürich auf dem Schirm. Zum Stand der Ermittlungen darf sich Stephan Walder jedoch nicht äussern. «Wir wollen den Tätern keine Hinweise geben.» Walder kennt seine Kundschaft. Er arbeitet seit 2007 in der Verfolgung von Internetstraftätern.
Zu seinem 14-köpfigen Team gehören zwei Assistenzstaatsanwältinnen sowie Polizisten und Informatiker. Seit 2013 arbeiten sie alle zusammen in einem Seitenflügel der Alten Kaserne in Zürichs Kreis 4. «Die räumliche Nähe ist wichtig», sagt Walder, «denn manchmal muss es schnell gehen.»
Russischer Absender. Was nun?
So, wie bei einer Schadensmeldung vom Vortag: Bei einem Hightech-KMU aus dem Grossraum Zürich hat ein Virus sämtliche Betriebsdaten verschlüsselt. Die Ermittler der Kantonspolizei Zürich suchen nach ähnlich gelagerten Fällen. Aber schon bald ist klar, dass der vorliegende Fall nicht nach Schema F behandelt werden kann. Denn der Angreifer verlangte kein Geld und hinterliess eine russische E-Mail-Adresse. Man fragt sich, was das zu bedeuten hat. Vielleicht, so wird spekuliert, versucht der Angreifer, eine falsche Fährte zu legen. Aber wozu? Um eine andere Straftat zu vertuschen? Möglich ist vieles.
«Wir ermitteln immer in alle Richtungen», erklärt der Staatsanwalt und beantragt keine 24 Stunden nach Eingang der Meldung eine verdeckte Internetermittlung. Ein Zürcher Kantonspolizist soll sich beim Angreifer melden und sich ihm gegenüber als IT-Supporter der attackierten Firma ausgeben. «Der Täter soll uns verraten, wo er sich aufhält.»
Kriminalistische Kleinarbeit
Lokalisierung heisst das im Jargon der Strafverfolgungsbehörden. Der nächste Schritt heisst Identifizierung. Die Straftat muss mit einem Menschen aus Fleisch und Blut in Verbindung gebracht werden. Da das Internet zahllose Möglichkeiten bietet, anonym aufzutreten, ist dieser zweite Schritt mit viel von dem verbunden, was Walder «ermittlungstaktische Nifelibüez» nennt.
Im konkreten Fall des Verschlüsselungsangriffs könnte die Spur zu einem russischen Internetteilnehmer führen, der von der örtlichen Polizei allenfalls dingfest gemacht werden könnte. Aber ist der Angehaltene wirklich der Täter? Handelt er aus eigenem Antrieb oder lancierte er den Angriff für einen Dritten, mit dem ihn unter Umständen bloss dieser eine Auftrag verbindet?
Kriminalisten sprechen von «Crime as a Service». Ein Auftraggeber sondiert den Markt und stellt sich ein passendes Paket zusammen. Er ordert etwa einen nagelneuen Trojaner oder einen kostengünstigen Distributed-Denial-of-Service-Angriff (DDoS) und kontaktiert schliesslich einen Geldboten – genannt «Money Mule» – für den Transfer der Lösegelder.
Offeriert werden diese Dienstleistungen −genauso wie Drogen, Waffen oder Kinderpornografie − im Darknet. Dort treffen sich Sponsoren mit Generalunternehmern, Softwarezulieferer mit Rekrutierungsspezialisten. «2015 war gekennzeichnet durch eine Professionalisierung der Cyberdelikte», heisst es dazu im letzten Jahresbericht des Bundesamts für Polizei (Fedpol).
Anzahl Meldungen verdoppelt
Mit dem Angebot steigt auch die Nachfrage. Laut Fedpol war jede fünfte der 11 575 Benachrichtigungen strafrechtlich relevant und jede zehnte betraf eine Erpressungssoftware, wie sie wohl auch beim Zürcher Hightech-KMU zum Einsatz kam.
Die daraus resultierenden wirtschaftlichen Schäden sind beträchtlich. Die Schweiz führt keine offizielle Statistik. Deshalb bleibt man auf länderübergreifende Studien wie jene des Londoner Center for Strategic and International Studies (CSIS) angewiesen.
Laut CSIS betrug der Schaden der Cyberkriminalität 2014 weltweit 400 Milliarden US-Dollar. Umgelegt auf die Schweiz, die gut ein Prozent der globalen Wirtschaftsleistung erbringt, ergäbe sich ein Betrag von 4 Milliarden US-Dollar.
Einer, der mit den wirtschaftlichen Auswirkungen der Internetkriminalität von Berufs wegen zu tun hat, ist Erich Herzog, Experte für Cyberkriminalität bei Economiesuisse, dem Dachverband der Schweizer Wirtschaft. Angesprochen auf konkrete Zahlen, winkt er indes ab. «Das Spekulieren über Schäden und Dunkelziffern verstellt den Blick auf die eigentliche Dynamik, mit der wir es zu tun haben.»
Kehrseite der Digitalisierung
Für den Juristen mit Berufserfahrung in der IT-Industrie ist klar: Jedes neue System, das wir mit dem Internet vernetzen – vom Firmenwagen bis zur Fräsmaschine –, vergrössert die Angriffsflächen für Internetkriminelle. «Wer mehr Produktivität und Bequemlichkeit will, muss sich auch der Sicherheitsrisiken bewusst sein, die damit einhergehen», betont Herzog.
Die wachsende Internetkriminalität als Preis für die digitale Transformation? Für Staatsanwalt Walder sind solche Überlegungen zweitrangig. Sein Job ist die Verfolgung der Täter und er gibt offen zu, dass die Aufklärungsquote bei den Cyberdelikten noch gesteigert werden muss.
Ihm und seinen Leuten macht vor allem die praktisch schwellenlose Verfügbarkeit von Anonymisierungstechnologien und kriminellen Dienstleistungen zu schaffen. «Diese können auch Laien zu hochraffinierten Internettätern machen», erläutert der Staatsanwalt.
So kommt es, dass die Ermittlungen des Kompetenzzentrums Cybercrime zwar oft in Osteuropa, Indien oder China beginnen, dann aber ins Umfeld des Geschädigten führen: zu wirtschaftlichen Konkurrenten, zu ehemaligen Mitarbeitern oder sogar zu verlassenen Ehefrauen.
Sieben Begriffe, die Sie kennen sollten
Social Engineering
Cyberkriminelle greifen bevorzugt das schwächste Glied in der Abwehrkette der IT-Sicherheit an – den Menschen. Social Engineering bezeichnet Versuche, die Nutzer durch gezielte Beeinflussung zur Preisgabe vertraulicher Daten oder zur Aktivierung einer Schadsoftware zu veranlassen.
Identity fraud
Bei dieser Art von Social Engineering gibt sich der Angreifer mittels E-Mail oder in anderer Form zum Beispiel als Vorgesetzter aus, um etwa die Übermittlung vertraulicher Daten oder eine Finanztransaktion auszulösen (CEO Scam).
In einer derzeit in der Schweiz häufigen Variante hackt der Angreifer den E-Mail-Account eines Lieferanten und verschickt in dessen Namen Mails an dessen Kunden mit einer neuen (falschen) Bankverbindung – schon fliesst eine scheinbar rechtmässige Zahlung an den Betrüger (Business E-Mail Compromise).
Phishing
Beim Phishing will der Angreifer seine Opfer mit wahllos versandten E-Mails oder mit gefälschten Websites zur Preisgabe sensibler Daten wie etwa Benutzernamen oder Passwörter verleiten. Spear Phishing bezeichnet eine gezielte und personalisierte Phishing-Attacke.
Malware
Schadsoftware oder Malware ist ein Oberbegriff für eine Vielzahl von Viren, Würmern, Trojanern, Password-Stealern, Spambots oder Bootkits. Malware wird vom Opfer unbemerkt in geschützten Systemen installiert, um diese zu manipulieren oder lahmzulegen.
Trojaner
Versteckt in E-Mails, Anhängen oder Links, gewähren Trojaner Zugang zum firmeninternen Server. Spezifische Banktrojaner können Zugangsdaten zu E-Banking ausspähen oder im Verborgenen Online-Zahlungen auslösen.
Ransomware
Ransomware ist eine Form von Malware, welche die Daten im System des Opfers verschlüsselt. Die Entschlüsselung erfolgt nur gegen ein Lösegeld (Englisch: ransom). Ransomware kursiert immer häufiger.
DDoS
Wenn mehrere – oft ferngesteuerte – Endgeräte einen Server mit Anfragen fluten, um dessen Verfügbarkeit zu beeinträchtigen, spricht man von einem Distributed-Denial-of-Service-Angriff; zu Deutsch in etwa: verteilte Dienstblockade. Betroffen sind in der Regel Firmen mit einem Online-Geschäftsmodell; zum Beispiel Webshops.