Gefahr für KMU aus dem Internet

Wenn Pascal Lamia, der Leiter der Meldeund Analysestelle Informationssicherung (Melani) Vorträge hält, beschleicht das Publikum in den meisten Fällen ein ungutes Gefühl. Lamia nennt die Bedrohungen aus dem Internet beim Namen, spricht aus, was Internet-User auf die leichte Schulter nehmen, verdrängen oder nicht wissen. Ob Privatpersonen oder Unternehmen, alle können ins Visier von Cyberkriminellen geraten. Ein ungutes Gefühl könnte einen aber auch deshalb beschleichen, weil man weiss, dass Melani mit nur acht Angestellten massiv unterbesetzt ist. Zum Vergleich: In Deutschland, wo es seit 1991 das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt, arbeiten rund 500 Angestellte und verfügen über ein Jahresbudget von sagenhaften 100 Millionen Franken. Natürlich arbeitet Melani eng mit Bundesanwaltschaft, kantonalen Strafverfolgungsbehörden und der Meldestelle für Pornografie und Pädophilie, Kobik, zusammen. Gemessen an Deutschland muten die Möglichkeiten von Melani in der Schweiz aber doch eher bescheiden an. Privatpersonen oder Unternehmer fragen sich zu Recht, warum. Ob das Internet in der Schweiz weniger Gefahren birgt als anderswo auf der Welt? Kaum. Die Schweiz lässt sich den Schutz vor Cyber kriminellen, sei es aus Spardruck oder Ignoranz, einfach zu wenig kosten.

Unterschätzte Gefahren

Pascal Lamia berichtete in seinem Vortrag anlässlich des Studerus Technology Forum über die aktuelle Sicherheitslage in der Schweiz. Es seien neue Kriminalitätsszenarien entstanden und neue Akteure aufgetaucht, sagte er. Die angewendeten Mittel würden immer moderner und die Vernetzung der Akteure in ihrem heutigen Ausmass sei neu. Hinzu komme, dass das Sicherheitsbewusstsein der User im Netz kaum noch vorhanden sei. Das alles begünstigt gemäss Lamia Cyberkriminalität. Allerdings sind auch im Internet die Motive, eine strafbare Handlung zu begehen, vergleichbar mit denen in der realen Welt: Auch Cyberkriminelle wollen Geld, Macht und Know-how erlangen. Die angewendeten Mittel sind die folgenden:

Bot-Netze

Bot-Netze sind heute das Mittel zum Zweck. Sie bestehen aus einem Verbund von mit Schadsofware infizierten Rechnern, die mit gesteuerten DDoS-Attacken (DDoS = Distributed Denial of Service) Websites, Rechner und Netze lahmlegen und Malware sowie Spam verteilen. Die gute Nachricht: Die Schweiz ist bei der Internetkriminalität sicherer geworden. Sie fiel im letzten Jahr im Ranking der Schadcode-Aktivitäten vom 28. auf den 35. Platz zurück. Aus Einträgen in einschlägigen Foren geht hervor, dass in der Schweiz derzeit für Hacker Aufwand und Ertrag im Vergleich zu anderen Ländern in einem weniger attraktiven Verhältnis stehen.

Phishing

Phishing bezeichnet das Erschleichen von Zugangsdaten etwa zu E-Banking-Anwendungen via gefälschte E-Mails. Sind solche Zugangsdaten erst einmal in kriminellen Händen, wird via Banküberweisung Geld von den Konten der Opfer abgehoben. E-Banking-Angriffe gehen aber vermehrt auch in Richtung KMU. Mehrstufige Authenifizierungssysteme wie das Vier-Augen- Prinzip, d. h. Freigabe von Online-Zahlungen durch mehrere Personen, würde es den Angreifern schwerer machen. Um ihre Spuren zu verwischen, heuern Kriminelle sogenannte «Finanzagenten» an, auf deren Konto das gestohlene Geld dann überwiesen wird. Ein solcher Finanzagent muss das Geld abheben und – nach Abzug einer «Provision » – z. B. bei einer Western-Union-Filiale einzahlen. Dieser Medienbruch erschwert den Strafverfolgungsbehörden die Arbeit. Auch in der Schweiz werden Leute als Finanzagenten angeworben, etwa via Stelleninserat unter dem Titel «einfacher Nebenverdienst» oder ähnlich. Sie machen sich damit strafbar und kommen natürlich als Erste ins Visier der Polizei. Sie können wegen Beihilfe zu einer Straftat angeklagt werden.

Skimming

Ein ziemlich neuer Trend ist das Skimming via GSM. Früher wurden Geräte an einem Bancomaten angebracht, die den Magnetstreifen auslesen konnten und ein Beobachter mit oder ohne Kamera wartete die Eingabe des PINCodes ab. Heute geht das alles voll automatisiert. Neuartige Gerät lesen alle Daten inkl. PIN aus und senden sie direkt via SMS über das GSM-Netz an die Betrüger. Die heben dann in aller Ruhe an einem anderen Bancomaten – möglichst ohne Videoüberwachung – Geld ab. Politisch motivierte Attacken Ein weiteres Problem, das vor einem Jahr rund um die Minarett-Abstimmung in seiner ganzen Tragweite sichtbar wurde, sind aus politischen Motiven gehackte Websites von Schweizer KMU. So wurden damals durch Melani gegen 3000 veränderte Webauftritte registriert. Bei näherer Überprüfung stellte sich heraus, dass das Hauptproblem Server waren, die nicht mit den nötigen Patches aktualisiert worden waren, sowie Passwörter, die sich immer noch im Initialstatus befanden. Eine ernüchternde Erkenntnis im Zusammenhang mit den gehackten Websites nach der Minarett-Abstimmung war auch, dass es bei den meisten Firmen viel zu lange dauerte, bis sie etwas unternahmen. So war nur rund ein Drittel der Websites innerhalb einer Woche wieder richtig online, ein Drittel benötigte für die Reparatur bis zu einem halben Jahr und das letzte Drittel ist auch ein Jahr nach der Attacke noch nicht repariert.

Fazit und erkennbare Trends

Gerade in den letzten Wochen und Monaten fällt eine beunruhigende Zunahme an Spionagetätigkeit auf. Es gibt eine Vielzahl an neuen, modernen Methoden. Gleichzeitig werden für Awareness kaum Geldmittel freigemacht. Der oft zitierte Spruch, dass «mehr Geld für WC-Papier als für IT-Sicherheit» ausgegeben wird, ist keine Worthülse. Die Vernetzung und immer leistungsfähigere Informationstechnologie schaffen finanzielle und persönliche Verletzbarkeit. Professioneller Schutz ist nötig.