Digital
31.03.2017 05:00

Cyber-Einbruch auf Bestellung

  • Namenlose Hacker – wer wirklich hinter Cyberattacken steckt, ist fast unmöglich herauszufinden.
    Namenlose Hacker – wer wirklich hinter Cyberattacken steckt, ist fast unmöglich herauszufinden. | Bild: iStock
INFORMATIK ⋅ Um herauszufinden, wie gut sie gegen Cyberangriffe geschützt sind, lassen sich Firmen von professionellen Hackern überfallen. Dabei zeigt sich immer wieder: Die grösste Schwachstelle ist der Mensch.

Michael Baumann

wissen@luzernerzeitung.ch

Es gibt ein iPhone zu gewinnen, lesen Tausende Angestellte des Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) in einer E-Mail von ihrem eigenen Arbeitgeber. Darin ein Link, der zum Gewinnspiel führt. Da ist doch etwas faul, denken sich die meisten. Es könnte sich um ein sogenanntes Phishing-E-Mail handeln, mit dem Kriminelle versuchen, an vertrauliche Daten oder Passwörter der ahnungslosen Empfänger zu gelangen. Oder Schadsoftware auf ihre Computer zu schleusen.

Bei näherer Betrachtung sind tatsächlich ein paar Dinge in der E-Mail verdächtig. Etwa der Absender, der auf den ersten Blick zwar seriös aussieht, so als stamme er aus der Bundesverwaltung. Bei genauem Hinsehen aber entpuppt sich die Adresse als gefälscht. Dennoch klicken etwa 150 Angeschriebene auf den Link. Zum Glück ohne böse Folgen, denn in diesem Fall stecken hinter der Aktion nicht kriminelle Hacker, sondern die Organisationseinheit Cyber Defence der Schweizer Armee.

Diese testet jedes Jahr, wie gut das VBS gegen Schadsoftware, Hackerangriffe und Betrugsversuche durch Phishing gewappnet ist. Dabei zeigt sich immer wieder: «Der Mensch ist und bleibt eine Schwachstelle», sagt Thomas Bögli, stellvertretender Leiter der Cyber Defence. «Durch die regelmässigen Tests wollen wir unsere Leute trainieren.» Das zeigt seine Wirkung: Der Anteil der Mitarbeiter, die auf die gestellten Betrugsversuche hereinfallen, ist in den letzten Jahren stetig gesunken.

Ausgefeilte Attacken

Mit ähnlichen Mitteln prüft auch die Swisscom die Skepsis ihrer Angestellten gegenüber verdächtigen E-Mails – und zwar monatlich. Doch trotz dieser regelmässigen Trockenübungen fallen jeweils zwischen 15 und 20 Prozent der Angeschriebenen darauf herein. «Insbesondere wenn die Leute ein verlockendes Angebot erhalten und unter Zeitdruck gesetzt werden, hat ein Betrugsversuch grosse Chancen», sagt Lorenz Inglin, Leiter der Cyberabwehr bei der Swisscom. Etwa, wenn die E-Mail den ersten 100 Teilnehmern einen Gewinn verspricht.

Inglin versucht mit seinem Team immer wieder, die Schutzmassnahmen der Swisscom von aussen her zu durchbrechen. Auf diese Weise spürt er allfällige Sicherheitslücken auf und hilft, die Abwehr zu verstärken. Doch nicht nur die Firmen, auch die Hacker verbessern sich laufend. «Es ist ein regelrechtes Wettrüsten», sagt Lorenz Inglin. Zudem nehmen die Angriffe der Cyberkriminellen auf die Swisscom und ihre Kunden zu. ­Mittlerweile sperrt das Team von Inglin mehrere tausend bösartige Websites pro Monat, auf die Kunden durch Phishing-E-Mails gelockt werden sollen.

«Die kriminellen Strategien, mit denen Hacker angreifen, werden immer ausgeklügelter», sagt auch Ilia Kolochenko. Er ist CEO der Genfer IT-Sicherheitsfirma High-Tech Bridge, die im Auftrag anderer Organisationen – darunter beispielsweise die internationale Online-Tauschbörse Ebay – deren Apps und Websites auf Herz und Nieren prüft. «Meist verläuft ein Angriff von Hackern gegen eine Firma gleich auf mehreren Ebenen.» Das könne beispielsweise so ablaufen: Zuerst hacken sich Cyberkriminelle in die Website des Unternehmens und deponieren dort in einem abgelegenen Winkel Schadsoftware. Danach überlisten sie einen Angestellten, ihren Zwecken zu dienen. Dazu recherchieren sie zuerst über ihn im Internet, etwa auf Facebook. So erfahren sie Details über sein Umfeld und können die Identität eines seiner Freunde annehmen. In dessen Namen erstellen sie eine neue E-Mail-Adresse und schreiben damit der Zielperson: Hey, ich habe gesehen, dass ihr eine spannende Stelle ausgeschrieben habt. Denkst du, das wäre etwas für mich? Dazu ein Link – natürlich nicht auf die Stellenausschreibung, sondern auf die zuvor deponierte Schadsoftware.

Kleiner Klick, grosser Schaden

Der Angestellte erwartet nichts Böses auf der firmeneigenen Webseite. So reicht ein Klick, und die Schadsoftware installiert sich auf seinem Computer. Von dort aus verbreitet sie sich weiter im Firmennetzwerk und treibt ihr Unwesen. Beispielsweise verschlüsselt sie wichtige Daten des Unternehmens. Jetzt kommt die Forderung der Hacker: Überweist uns Geld, und wir geben euch das Passwort, um wieder an die Daten zu gelangen.

«Das ist ein gigantisches Business», sagt Sicherheitsexperte Kolochenko. Oft seien mehrere Gruppen von Hackern daran beteiligt, die sich an verschiedenen Orten auf der Welt befinden. «Deshalb ist es fast unmöglich, die Hacker zu identifizieren und zu bestrafen.» Das Geschäft gleiche einer Zwiebel mit verschiedenen Schichten, erklärt Kolochenko. Die einen hacken einfach möglichst viele Firmen oder Privatpersonen. Sie sammeln Daten – Passwörter, Kreditkartennummern, private Fotos – und verkaufen diese weiter an andere Kriminelle. Diese wiederum erpressen dann die betroffenen Firmen oder Menschen.

Was also kann man tun, damit es nicht so weit kommt? «Leider sind die bösartigen Mails mittlerweile so gut gemacht, dass sie nur schwer zu erkennen sind», sagt Inglin von der Swisscom. Das gelte sogar für versierte Computerbenutzer. Sicher ist aber: Wenn man dazu aufgefordert wird, auf einen Link zu klicken oder einen Anhang zu öffnen, um persönliche Daten, Finanzinformationen oder Passwörter anzugeben, werde es gefährlich, so Inglin. «Dann sollten die Alarmglocken schrillen.»

Meist gelesene Artikel

Das im Kanton Obwalden ausgewilderte junge Bartgeierweibchen BG960 setzt nach seinem Erstflug zur Landung an.
MELCHSEE-FRUTT

Ausgewildertes Bartgeierweibchen ist tot

Lichtspektakel an der Fassade des KKL während des Luzerner Fests.
LUZERNER FEST

Erstmals Lichtspektakel anstatt Feuerwerk

Das Auto mit angehängtem Wohnwagen stellte sich quer.
UNFALL

Wohnwagen blockierte A2 – mehrere Kilometer Stau

Tobias Geisser wird in der nächsten Saison im NLA-Team des EVZ spielen.
NHL

Washington draftet Obwaldner Tobias Geisser

Nach dem Durchzug einer Gewitterfront mit Sturmböen wurde auch die Freiwillige Feuerwehr der Stadt Zug am Freitagabend zu insgesamt neun Unwettereinsätzen in der aufgeboten.
ZUG

Heftiges Hitzegewitter richtet im Kanton Schäden an

Frisch gekürt und dennoch ganz entspannt: Martha, der "Hässlichste Hund der Welt" 2017.
TIERE

Martha ist der «hässlichste Hund der Welt»

Der Deutsch-Albaner Dren Feka im Einsatz mit der 2. Mannschaft des HSV.
FUSSBALL

HSV vermeldet Wechsel von Dren Feka zum FC Luzern

Feuerwehr und Rettungsdienst holen den 11-Jährigen zurück auf die Strasse.
RICKENBACH

11-jähriger Bub stürzt in Tobelbach

Das Kriminalgericht des Kantons Luzern.
LUZERN

Sein Faible für schöne Autos wurde ihm zum Verhängnis

Rosige Aussichten trotz Wolken: Gabriel Gerber, Jana Portmann, Kim Meyer und Lars Ulrich freuen sich über die bestandenen Prüfungen. Oben rechts: Michelle Flückiger und Raphael Theiler betrachten ein Zeugnis. Unten rechts: Rektor Victor Baumann überbringt den Maturi und Maturae Blumen und Zeugnisse.
ABSCHLUSS

Die Matura ist geschafft – jetzt wird gefeiert!

Zur klassischen Ansicht wechseln