Die 5 Hacker-Typen

Es gibt ihn noch, den Hacker, der mit nur mühsam als deutsch erkennbaren Botschaften versucht, an Benutzernamen und Passwörter von Bankkonten zu kommen (Phishing). Jüngst zum Beispiel lockten Gangster Kunden des Post-Packetdienstes Packstation mit E-Mails auf gefälschte Seiten, um ihre Benutzerdaten auszuspionieren. Anschließend stahlen Sie mit diesen Daten Sendungen aus den Stationen oder ließen über ebenfalls geklaute Kontodaten Waren an die ausspionierten Packstationen liefern, berichtet die Nachrichtenagentur dpa. Über die Schadenshöhe ist nichts bekannt, sie dürfte aber vergleichsweise gering sein.

Im Grunde genommen sind Kreditkarten- und Bankdatendiebstahl out, was für Kleinkriminelle vielleicht. Mittlerweile interessiert sich die Untergrund-Ökonomie zunehmend für das Wissen in den Unternehmen, für die Daten. "Firmeninformationen", schreiben McAfee und SIAC in einem Report über Hacker & Co., "sind im Markt der Cyberkriminalität die neue Währung".

Arved Graf von Stackelberg, bei Hewlett-Packard in Deutschland für die Anwendungssicherheit zuständig, weiß von einer schönen Geschichte zu berichten, die illustriert, wie Internet-Gangster heutzutage an Geld kommen: Über eine sogenannte Cross-Site-Scripting-Attacke (XSS) waren unbekannte Hacker in das Computersystem einer ungenannten Bank gelangt. Dort fügten sie in Anwendungen, die mit Kunden kommunizieren, Code ein, der keinem anderen Zweck dienen sollte, als Login und Passwörter mitzuschneiden. Die so massenhaft gewonnenen Daten wurden allerdings nicht dazu genutzt, direkt an die Gelder auf den Konten zu kommen - das wäre viel zu auffällig gewesen und daher schnell bemerkt worden.

Über weitere Hacks sowie sogenannte Brute Force-Attacken gelang es den Angreifern vielmehr, sich schließlich eines "Send Message"-Buttons zu bemächtigen. Über den wurden vermeintliche Kaufempfehlungen der Bank für eine Penny-Stock-Aktie verschickt, mit der sich die Gangster zuvor reichlich eingedeckt hatten. Durch die "Empfehlung" der Bank stieg der Wert der Aktie innerhalb kürzester Zeit so massiv, dass die Angreifer nur wenige Stunden später ihren Billig-Stock mit hohem Profit verkaufen konnten. Die Bank, berichtet von Stackelberg, habe diesen Angriff erst drei Jahre später und nur durch Zufall entdeckt.

Mit der romantisierten Version eines einsamen Kämpfers gegen Überwachung und Gängelung haben diese organisierten Kriminellen nichts mehr zu tun. Allenfalls bedienen sich weltweit agierende Cyberkriminelle solcher durchaus noch vorkommenden Idealisten, um über sie den Einstieg in geschützte Netzwerke und Anwendungen zu organisieren. Was danach kommt, ist technisch anspruchsvolle, wenngleich gewöhnliche Kriminalität.

Der Vater des Blackholing
Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können - und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein.

Der Herrscher der Kreditkarten
Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen.

FBI's most wanted
Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf.

Der Phishing-Experte
Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.

Typen kennen, um Gegenmaßnahmen ergreifen zu können

Der Sicherheitsspezialist Websense hat eine Typologie über fünf Arten von Hackern veröffentlicht. "Nur wer die Unterschiede und die Motivationen der einzelnen Tätertypen kennt", meint Websense, "ist in der Lage, wirksame Schutzmaßnahmen gegen deren Aktivitäten zu treffen."

1. Scriptkiddies

Scriptkiddies geht es vor allem um Action. Häufig handelt es sich um Teenager, die bis spät in die Nacht vor ihren Rechnern sitzen. Mit ihren eingeschränkten Programmierkenntnissen nutzen sie Sicherheitslücken in Betriebssystemen und Applikationen aus und zielen vor allem darauf ab, beispielsweise Webseiten zu manipulieren oder Teile davon zu zerstören. Scriptkiddies erinnern an den Film "Wargames - Kriegsspiele" von 1983.

2. Hacktivisten

Hacktivisten begründen ihre Tätigkeit mit sozialen, politischen, religiösen oder anderen weltanschaulichen Motiven. Hacktivisten schrecken auch nicht davor zurück, fremde Webseiten zumindest zeitweise zu kapern, um auf ihre Anliegen aufmerksam zu machen. Ihre Online-Demonstrationen in Form von Netzwerkattacken verfolgen nicht das Ziel, Webseiten oder Unternehmen dauerhaft zu schaden.

3. Digitale Straßenräuber

Nach Überzeugung von Websense sind digitale Straßenräuber die größte Hacker-Gruppe. In Zeiten vorm Internet waren solche Leute gewöhnliche Kleinkriminellen: Taschen- und Trickdiebe, die ihre ahnungslosen Opfer ablenken und ihnen die Geldbörse stehlen oder auf Märkten und an Straßenecken mit Produktpiraterie ihr Geld verdienen. Mit den technischen Möglichkeiten des Internet haben sich die Methoden gewandelt, nicht aber das generelle Vorgehen. Trojaner, Adware, Spam, Phishing oder Social-Engineering-Techniken reichen heutzutage aus, um schnelles Geld zu machen. Der Schaden kann für einzelne Opfer durchaus erheblich sein, reicht aber bei weitem nicht an die Schadensdimensionen organisierter oder gar staatlich unterstützter Cyberkriminalität heran.

4. Organisierte Cyber-Kriminelle

Gezielte, gut getarnte Angriffe auf Unternehmen und Industriespionage sind ein effizient organisiertes Geschäft, das von Profis ausgeübt wird. Die eigentlichen Aktivisten sind mit modernstem Equipment ausgerüstet und verstehen es in bester Spionagemanier, ihr Tun zu verschleiern. Ihre Auftraggeber sind in der Regel bestens in der Geschäftswelt vernetzt und können so, ohne großes Aufsehen zu erregen, lukrative Ziele auskundschaften. Gemeinsam bilden diese beiden Gruppen starke Teams, die es auf das große Geld abgesehen haben und das Ziel sehr oft, ohne Aufsehen zu erregen, erreichen. Während es eine Gruppe auf kurzfristig zu erzielende Vorteile abgesehen hat, geht es im anderen Fall um so genannte Advanced Persistent Threats (APTs), die sich über einen längeren Zeitraum erstrecken können. Dabei handelt es sich um Fälle von Spionage und Sabotage, bei der Kriminelle auf Produktunterlagen, Konstruktionszeichnungen und Patentdatenbanken zielen.

5. Cyber-Agenten

Beispielhaft für diese relativ junge Kategorie sind generalstabsmäßig geplante und durchgeführte Attacken. Im Sommer 2010 tauchte erstmals der Stuxnet-Computerwurm auf. Sein Einsatzgebiet sind Industrieeinrichtungen und iranische Atomanlagen, die mit einem speziellen System von Siemens, SCADA, überwacht und gesteuert werden.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO. (ph)