Präzisionsgewehr statt Flinte
Ihr Portfolio sind nicht mehr digitale Flinten und Brecheisen, sondern immer präzisere virtuelle Scharfschützengewehre, Waffen für den elektronischen Erstschlag. Und mit einigen Tausend Dollar Finderlohn pro Softwareleck geben sie sich nicht mehr zufrieden. Der Südafrikaner Grugq etwa lässt wenig Zweifel daran, dass er ziemlich dick im Geschäft ist: Für 2012 peilte er eine Million Dollar Umsatz an.
Neben Grugq sind es Männer wie Chaouki Bekrar, Adriel Desautels und Martin Muench. Bekrars Firma Vupen logiert im französischen Montpellier. Desautels ist Chef des US-Unternehmens Netragard aus der Nähe von Boston, das mit dem Werbeslogan "Wir schützen Sie vor Leuten wie uns" wirbt.
Und der deutsche IT-Spezialist Muench ist mit seiner Firma Gamma International in einem eleganten Geschäftsbau an der Baierbrunner Straße in München gemeldet, deren transparent verglaste Fassade so gar nicht zur verschwiegenen Branche der Schwachstellen-Dealer passt.
- Industriespionage in Deutschland
Die Security-Firma Corporate Trust hat zusammen mit Brainloop und dem TÜV Süd knapp 600 Unternehmen zu ihren Erfahrungen mit Industriespionen befragt. Zumeist antwortete der Geschäftsführer oder ein Vorstandsmitglied. Die Autoren der Studie "Industriespionage 2012 Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" werten das als Indiz dafür, dass Security heutzutage Chefsache ist. - Jedes fünfte Unternehmen war bereits Spionageziel
Gut jedes fünfte Unternehmen wurde in den vergangenen drei Jahren zumindest einmal Opfer von Industriespionage. Gegenüber der vergangenen Erhebung aus dem Jahr 2007 hat sich der Wert leicht erhöht. Damals gaben 18,9 Prozent der Befragten mindestens einen Vorfall zu Protokoll. - Viele Verdachtsfälle
Ein erklecklicher Teil der Firmen hat die Vermutung, dass es bereits einen Fall von Industriespionage gab. Unterm Strich hat sich demnach mehr als jedes zweites Unternehmen in den vergangenen drei Jahren mit Industriespionage auseinandersetzen müssen. - Mittelstand ist besonders betroffen
Wird die Zahl der Spionagefälle mit der Zahl der Befragten aus kleinen, mittelständischen und großen Unternehmen korreliert, dann zeigt sich, dass verhältnismäßig oft werden mittelständische Firmen angegriffen werden. - Spionageziel Fertigung
Gefährdet sind insbesondere Unternehmen aus den Fertigungsbranchen und Finanzdienstleister. - Angriffe lassen sich orten
Die meisten Unternehmen können die Vorfälle lokalisieren, nur weniger blieben diesbezüglich ratlos zurück. Bei der Auswertung zeigt sich, dass große Gefahr vor allem in Europa und Nordamerika besteht. - Zumeist Schäden bis zu 100.000 Euro
Das Groß der Schäden beläuft sich auf Beträge zwischen 10.000 und 100.000 Euro. Sehr große finanzielle Verlust gibt es insbesondere in Konzernen zu beklagen. - Immenser Gesamtschaden
Wenngleich die einzelnen Vorfälle selten Riesensummen verschlingen, summiert sich der Gesamtschaden zu der imposanten Zahl von jährlich rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies einem Anstieg um 50 Prozent. - Die Gefahr lauert im eigenen Haus
Oft sind die eigenen Mitarbeiter die Industriespione, wenngleich sie oft unbewusst Informationen weitergeben. Doch insgesamt zeigt sich, dass überall Gefahrenquellen lauern. - Die Einfallstore
Ein beliebtes Mittel der Spione sind Hackerangriffe. Während 2007 nur bei 14,9 Prozent aller Fälle ein Hackerangriff als konkrete Spionagehandlung zugrunde lag, waren es 2012 bereits 42,4 Prozent. - Die Folgekosten
Die finanziellen Schäden entstehen in der Regel durch Rechtstreitigkeiten und Imageschäden. Mehr als ein Drittel der Befragten berichtet von konkreten Umsatzeinbußen. - Mitarbeiter werden ausgespäht
Meistens sitzt der Täter im eigenen Haus. Externe Hacker arbeiten zudem häufig mit internen Mitarbeitern zusammen oder spähen Angestellte im Internet aus (Social Engineering) aus. - Sicherheit ist Chefsache
In vielen Firmen werfen die Geschäftsführer einen kritischen auf die Prozesse und Einrichtungen. Erwartbar war, dass auch die IT-Abteilungen eine bedeutende Rolle spielen, verfügen sie doch über das erforderliche technische Know-how. - Passwortschutz ist Standard
Passwort-geschützten IT-Systeme sind heute Standard in vielen Unternehmen, anders sieht es bei der Verschlüsselung aus. - Defizite werden nicht behoben
Obwohl den meisten Unternehmen bekannt ist, dass mobile Datenträger und Geräte besonders gefährdet sind, treffen wenige Firmen entsprechende Vorkehrungen. - Attacken Steueranlagen
Angriffe auf Steuerungsanlagen gefährden die Produktion. Der bekannteste Fall ist der Wurm Stuxnet, doch auch abseits der öffentlichkeitswirksamen Angriffe gibt es offenbar viele vergleichbare Vorfälle. - Umweltschäden drohen
Attacken auf die Steueranlagen können enorme Folgen zeigen. Fast immer ziehen sie finanzielle Verluste nach sich, häufig drohen bei entsprechenden Angriffen aber auch Umweltschäden. - Die gefährliche Seite der Mobility
Der Job der Security-Verantwortlichen wird nicht einfacher. Der Trend zum mobilen Endgerät erschwert die Absicherung der Installationen, und mit der Verbreitung leistungsstarker Smartphones sinkt zudem das Bewusstsein der Mitarbeiter für die IT-Sicherheit. - Was tun gegen Social Engineering?
Nacharbeiten sind in allen Segmenten erforderlich. Auf die relativ neue Bedrohung durch geschicktes Ausspähen von Mitarbeiter in sozialen Netzen habe viele Unternehmen noch keine Antwort gefunden.
Neben den großen Anbietern tummeln sich im prosperierenden Markt auch US-Rüstungslieferanten wie Northrop Grumman, Raytheon oder TeleCommunication Systems - und eine unüberschaubare Zahl freischaffender Hacker.
Sie alle sind Profiteure eines gravierenden Mangels: Staaten fehlt es an Know-how und Personal zum Aufspüren der Softwarelücken. Ohne diese Fachkenntnis aber wären Cyber-Attacken wie Stuxnet ebenso undenkbar wie der sogenannte Bundestrojaner, eine Spionagesoftware, mit der deutsche Ermittlungsbehörden die PCs von Verdächtigen überwachen.
Auf die Computer gelangen die Schadprogramme teils schon, wenn der Nutzer mit einem ungeschützten Rechner manipulierte Web-Seiten aufruft. Beliebte Fallen sind auch Gratisprogramme, die viele Handynutzer allzu sorglos aus den App-Stores der Telefonproduzenten auf ihre Smartphones laden.
Ansteckende Speichersticks
Elaborierter sind Angriffe mithilfe gefälschter E-Mails an Unternehmensmanager, die vorgeblich von Kollegen oder Geschäftspartnern stammen sollen. Doch statt der Vertragsentwürfe oder Preiskalkulationen enthalten sie Einbruchssoftware. Einem solchen Angriff fiel 2011 beispielsweise das US-Unternehmen RSA zum Opfer, dessen SecurID-Technik verhindern soll, dass Unbefugte auf Unternehmensdaten zugreifen. Über das geknackte SecurID-System griffen die Hacker auf das Netzwerk des US-Rüstungsunternehmens Lockheed Martin zu. Sicherheitsexperten glauben daher, dass der Angriff von einem fremden Geheimdienst gesteuert war.
Mitunter legen Angreifer aber auch präparierte USB-Sticks auf Unternehmensparkplätzen aus, auf denen sich etwa in unverdächtig scheinenden Bildern Angriffssoftware versteckt. Heben Mitarbeiter die Sticks auf und stecken sie in ihre Computer, installieren sich die Exploits auch auf Rechnern, die nicht einmal einen Internet-Zugang besitzen. Nach Ansicht von Fachleuten gelangte so der Stuxnet-Schädling in die iranischen Atomanlagen.
Die teuerste - wenn auch verderblichste - Ware sind Programmfehler, von deren Existenz selbst die Hersteller der Programme noch nichts ahnen.
Entsprechend heißen Angriffe, die auf diese Lücken zielen, Zero-Day-Exploits. Denn sie geschehen vor dem ersten Tag, an dem der Softwarehersteller sich und seine Kunden dagegen schützen könnte - also am Tag null.
Für Hinweise auf solche Softwarelücken zahlen Käufer zum Teil astronomische Summen: In einer im vergangenen Frühjahr vom US-Magazin "Forbes" veröffentlichten Übersicht reichen die gebotenen Preise für solche Schwachstellen von 5000 Dollar - bei älteren Versionen von Adobes Dokumentensoftware Acrobat Reader - bis zu 250.000 Dollar für einen funktionierenden Angriff auf Apples Smartphone-Betriebssystem iOS.
Solche Beträge übersteigen die Budgets gewöhnlicher Cyber-Krimineller. Nicht aber die Geldtöpfe von Strafverfolgungsbehörden und Geheimdiensten, die sich auf dem Graumarkt eindecken.
Ein ambivalentes Geschäft
Auch deutsche Behörden sollen laut Szenekennern bis zu 50 000 Euro für verlässlich funktionierende digitale Einbruchswerkzeuge zahlen - und sich auch für komplette Spionageprogramme interessieren. So präsentierte der deutsche Bug-Händler Muench dem Bundeskriminalamt das Know-how seines Unternehmens Gamma International - darunter eine Spionagesoftware namens FinFisher, die Internet-Telefonate mitschneiden kann, bevor sie durch Software wie Skype verschlüsselt werden.
- Der Vater des Blackholing
Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können - und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein. - Der Herrscher der Kreditkarten
Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen. - FBI's most wanted
Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf. - Der Phishing-Experte
Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.
Programme wie FinFisher zeigen, wie ambivalent das Geschäft der Bug-Händler ist. Einerseits helfen ihre Hinweise den Sicherheitsbehörden demokratischer Länder, die Kommunikationskanäle von organisierten Kriminellen oder Terroristen auszuforschen. Andererseits werden die Spezialprogramme - etwa in autoritären Staaten - schnell zur Waffe gegen Regimekritiker.
Entsprechend kritisch beurteilt daher der US-Datenschutzspezialist Christopher Soghoian von der Bürgerrechtsorganisation American Civil Liberties Union das weltweit blühende Geschäft mit Sicherheitslücken. „Der Verkauf von Schwachstellen an Strafverfolger, Militärs oder Geheimdienste in Ländern mit Menschenrechtsverletzungen bereitet mir erhebliche Sorgen“, sagt Soghoian.