Mit rund acht Millionen geklauten Kreditkartennummern haben Hacker Anfang Februar einen neuen inoffiziellen Weltrekord aufgestellt. Betroffen von dem Einbruch waren der US-amerikanische Finanzdienstleister Data Processors International (DPI) sowie die Kreditkartenunternehmen Visa, Mastercard, American Express und Discover Card, eine Abteilung von Morgan Stanley Dean Witter. Persönliche Informationen der Kunden seien unversehrt geblieben, hieß es. Daher müssten die bis zu acht Millionen betroffenen Menschen auch nicht einzeln kontaktiert werden, schlussfolgerten die Unternehmen.
Eigentlich, so möchte man meinen, war nichts Gravierendes passiert. Doch der jüngste Einbruch in eine vermeintlich besonders geschützte IT-Umgebung hat erneut gezeigt, dass das Thema Online-Kriminalität weiterhin auf der Tagesordnung steht und dass die absolute Sicherheit eine Illusion bleiben wird. Dabei bilden die USA beileibe keine unrühmliche Ausnahme, auch hierzulande sind täglich Unternehmen von Attacken betroffen, werden Händler betrogen und Surfer hinters Licht geführt. Öffentlich zugeben will dies indes niemand; Online-Betrug ist ein Tabu.
"Manchmal erweckt die Berichterstattung den Anschein, wir würden in einer Welle der Kriminalität versinken", kritisiert Albert Bischeltsrieder, Leiter des Fahndungsdezernats beim Landeskriminalamt (LKA) in München, die medialen Auswüchse. Dennoch sei der Online-Betrug "hoch aufzuhängen"; schließlich kämpfe das LKA laut Bischeltsrieder "seit nunmehr acht Jahren dafür, dass das Thema ernst genommen wird".
Vor allem der klassische Betrug mit falschen Kreditkartennummern boomt hierzulande - egal, ob nun acht oder gleich acht Millionen Datensätze erbeutet wurden. Pornos, Musik, Video-Streaming, Fernsehen im Web oder der ordinäre Download von Software machen sich auf Kosten anderer schnell bezahlt, wenn man seine digitalen Spuren zu verwischen weiß. Der Besitzer der missbrauchten Karte erhält seine Abrechnung einen Monat später zugestellt und muss sich dann gegen die Zahlung wehren. Das nervt nicht nur, das kostet in der Regel auch Geld.
Betrügerische Lieferketten
Wer statt Software lieber einen neuen Fernseher hätte, kann sich auch diesen kostenneutral im Internet bestellen. Die kriminelle Lieferkette ist zwar nicht narrensicher, aber dafür simpel: Man wählt ein Haus mit vielen Mietparteien, ordert das Gerät per 24-Stunden-Lieferservice, wartet am Eingang auf den Kurierdienst, gibt sich als "Empfangsberechtigter" oder Nachbar aus und quittiert einfach mit seinem guten Namen. Organisierte Betrüger mieten Wohnungen unter falschem Namen an, bestellen komplette Hightech-Sortimente von mehreren Lieferanten und setzen erst sich und danach ihre Waren ab. So läuft''s Business.
Und anscheinend läuft es immer besser: Seit einem Jahr habe die Zahl der Forderungsausfälle massiv zugenommen, berichtet der Mitarbeiter eines Versandhauses, das nicht genannt werden will. Besonders beliebt seien Handys, Computer sowie teure Unterhaltungselektronik - Geräte, die sich möglichst einfach wieder zu Geld machen lassen. Merkmale für einen potenziellen Betrug sind etwa bestimmte Postleitzahlbereiche in größeren Städten und Häuser mit mehr als 30 Wohnungen. "Betroffen vom Online-Betrug ist die gesamte Versandhandelsbranche", sagt der Insider.
Darüber reden wollen die einschlägigen Anbieter indes nicht - offizielle Anfragen werden vertagt, verlegt oder ignoriert. Die Unternehmen seien nicht daran interessiert, dass das Thema an die breite Öffentlichkeit gerät, sagt Bogdan Pelc, Director Managed Security Services von Symantec. Daher lässt sich die Zahl der erfolgreichen Betrügereien und Angriffe auch nur schwer ermitteln: "Wir können hier nur vermuten." Der Umkehrschluss, dass die Nachfrage nach Sicherheitslösungen steigt, fällt indes nicht schwer - Security-Spezialisten wie Symantec und Network Associates stehen gegenwärtig finanziell glänzend da. Zugegeben, Betrügereien und Diebstähle hat es gegeben, seit Menschen Handel treiben. Wegen des Internets ist das Problem jedoch durch die Skaleneffekte und den globalen Datenzugriff rapide angewachsen. Wenn eine CD geklaut wird, ist das schmerzlich, aber bereits im Ladenpreis berücksichtigt. Wenn eine Datenbank mit Kundeninformationen geklaut wird, ist das eine Katastrophe - sowohl für die Unternehmen als auch für die betroffenen Menschen. Diese müssen sich mit den Banken und Kreditkartenfirmen um ihr Geld streiten. Die Nummern selbst werden im Internet gehandelt - je nach Güte kosten sie bis zu 25 Euro.
Der Vertriebskanal der Zukunft?
Das Internet kann sich zudem immer weiter neben dem stationären Einzelhandel in der Gesellschaft etablieren. Wurden 1999 noch 0,25 Prozent der Einzelhandelsumsätze online erwirtschaftet, waren es im vergangenen Jahr bereits mehr als 1,5 Prozent. Das Gesamtvolumen soll sich 2002 nach Schätzungen des Hauptverbands des Deutschen Einzelhandels (HDE) auf etwa 8,5 Milliarden Euro belaufen haben. Der Online-Anteil am deutschen Versandhandel liegt inzwischen bei knapp neun Prozent. Zwar lassen sich die hohen Wachstumsraten der Vergangenheit nicht mehr erzielen, dennoch dürften sie in den nächsten Jahren immer noch im zweistelligen Bereich liegen.
Das Problem: "Man nimmt nicht nur die guten Kunden mit ins Internet, sondern auch die schlechten", sagt der auf Anonymität bedachte Insider. Nach seinen Schätzungen hat sich die Ausfallquoute durch Online-Betrügereien im letzten Jahr verdreifacht. Um mindestens den Faktor fünf seien die Einbußen im Internet größer als im klassischen Versandgeschäft gemessen an den Einnahmen. Erschreckende Zahlen liefern auch die Analysten von Gartner für die USA: Insgesamt verlieren die E-Tailer in den USA jährlich rund 1,5 Milliarden Dollar durch Betrug und Betrugsversuche. "Man muss sich von der Vorstellung trennen, dass ein einzelner Hacker eine einzelne Kreditkartennummer klaut", bringt Thorsten Weigl, Chef einer Münchner IT-Security-Beratung, das Dilemma auf den Punkt.
Zumindest die großen Unternehmen können es sich leisten, gegen die kriminelle Energie anzukämpfen. Mit Scoring-Systemen soll abgeschätzt werden, wie groß bei einer Bestellung die Wahrscheinlichkeit eines Betrugs ist: Fallen etwa Geschlecht, Alter, Bestelladresse und gewähltes Produkt in ein spezielles Raster, wird nur noch gegen Nachnahme ausgeliefert. Andere Shop-Betreiber tauschen untereinander (und unter der Hand) Listen mit den Namen von "Nichtzahlern" aus oder lassen fragliche Bestellungen von Mitarbeitern auf ihre Plausibilität kontrollieren. Doch wo auch immer der Hase hinkommt, wartet in der Regel schon ein Igel.
Denn viele Online-Händler machen es den Angreifern unnötig leicht, an die persönlichen Finanzinformationen ihrer Kunden zu gelangen. Die Hacker greifen einfach eine potenzielle Schwachstelle direkt an, nämlich den Web-Shop selbst. Security-Berater Weigl hält vor allem die kleineren Läden aufgrund ihrer Strukturen eher für unsicher. Parallel zu der Software liefen häufig noch E-Mail-Programme, Fernwartung via Telnet oder andere Dienste auf dem Server: "Das sind alles potenzielle Einfallstore für Hacker." Zudem biete die Shop-Software selbst eine große Angriffsfläche für Angreifer, etwa über die Suchfenster.
Detlef Paßberger, Entwickler eines Web-Shops und Chef des Passauer Softwarehauses P-Teck, lässt die pauschale Kritik indes nicht gelten, auch wenn es seiner Meinung nach in der Tat viele schlecht gemachte Billiglösungen auf dem Markt gibt: "Wenn Entwickler gewissenhaft arbeiten, können sie ihre Shops schützen." Was die Betreiber hinterher mit der Software anfangen, ist allerdings eine andere Frage: Nach Informationen des HDE sehen nur 14 Prozent der kleinen Einzelhändler die IT-Sicherheit als ein Hauptthema bei ihren E-Business-Aktivitäten an, von den Großunternehmen sind es immerhin nahezu die Hälfte.
Doch es wird auch für die großen Shop-Betreiber immer schwieriger, die steigenden Ansprüche an die Sicherheit zu erfüllen. Kaum ein Monat vergeht, in dem nicht beispielsweise Microsoft neue Patches für Browser und Server veröffentlicht: "Es ist ein riesiges Problem, stets aktuelle Patch-Stände nachzuliefern", klagt Florian Oelmaier, Berater der Secaron AG aus Hallbergmoos bei München. So konnte beispielsweise der Wurm "SQL Slammer" Ende Januar eine Lücke in Microsofts "SQL Server" ausnutzen, die technisch schon im vergangenen Sommer geschlossen worden war.
Dass große Shops keine automatische Garantie für Sicherheit bieten, bestätigt auch Security-Berater Weigl. Mit einem veralteten "Internet Information Server" als Basis sei das System genauso unsicher wie bei einem kleinen Laden: "Die Sicherheit des Shop-Systems muss im Ganzen betrachtet werden." Als Reaktion auf die Verbreitung nicht komplett geschützter Ziele starten Hacker bewusst kombinierte Attacken über mehrere Ebenen hinweg, denen die isoliert arbeitenden Sicherheitseinrichtungen meist hilflos ausgeliefert sind.
Wer sich dabei um das Thema IT-Sicherheit kümmern muss, ist allen Beteiligten klar: Den schwarzen Peter haben sowohl die Unternehmen als auch die Kunden. Beide Seiten müssen lernen, dass im Internet Vertrauen fehl am Platz ist. Das Problem der Polizei ist, dass sie online kaum präventiv tätig werden kann. "Sie müssen für Ihre Sicherheit selbst sorgen", appelliert daher Karlheinz Moewes, Erster Kriminalhauptkommissar im Ruhestand, an die Unternehmen. Das Sicherheitsbewusstsein der Programmierer müsse größer werden, fordert auch Security-Experte Oelmaier - "und natürlich bei den Leuten, die die Software letztlich abnehmen". (ajf)
EU-Initiative
Die Europäische Kommission will eine eigene Organisation für die IT-Sicherheit ins Leben rufen. Im Rahmen der Initiative E-Europe soll die "European Network and Information Security Agency" ab Anfang 2004 die Mitgliedsstaaten in ihrem Kampf gegen die Internet-Kriminalität unterstützen. Nach den Anschlägen vom 11. September 2001 sei das Risiko des Cybercrime noch weiter angewachsen, begründete EU-Kommissar Erkki Liikanen den Schritt. Die Kosten für die Organisation, die als übergreifendes technisches Kompetenzzentrum ausgelegt ist, belaufen sich in den ersten fünf Jahren auf rund 33 Millionen Euro.
Abb: Deutsche E-Commerce-Umsätze
Der Siegeszug des elektronischen Handels ist hierzulande ungebrochen. Quelle: HDE