Cybercrime hat sich zur größten Plage des Internets entwickelt. Phishing-Angriffe und infizierte Webseiten, die Spione installieren, gehören zu den tagtäglichen Schlagzeilen der IT-Welt. Doch während die Ermittlungsbehörden bei diesen Problemen weitestgehend einen Kampf gegen Windmühlen führen, zeichnen sich technologisch anspruchsvolle Lösungen ab, welche die meist internationalen Cyber-Gangster in ihre Schranken verweisen können. Deutschlands Kriminalpolizei schlägt Alarm: "Wir haben zu wenig Personal und zu wenig Technik bei den Dienststellen, um die Dimensionen der Internetkriminalität erfassen und effektiv bekämpfen zu können", sagt Bernd Carstensen, Pressesprecher des Bundes Deutscher Kriminalbeamter. So könnten seiner Ansicht nach nur noch Einzelfälle erfasst und verfolgt werden, da das Volumen die Kapazitäten weit übersteigt.

Nach Meinung seines Chefs, des Verbandsvorsitzenden Klaus Jansen, wisse man nicht einmal annähernd genau, wie groß der Verbrechens- und Schadensumfang ist. "Die tatsächliche Dimension der Internetkriminalität wird durch die Zahlen der Kriminalstatistik nur zu Bruchteilen dargestellt", lautet seine Einschätzung. Doch auch das, was bereits statistisch erfasst wird, ist schon beängstigend. So betrafen 90 Prozent – etwa 3.000 Meldungen, die in den vergangenen beiden Jahren beim "Kriminalpolizeilichen Meldedienst Informations- und Kommunikations-Kriminalität" eingingen – das Phishing, also das Erschleichen von Login-Daten für Online-Banking, Kredit-und Scheckkartendaten oder andere vertrauliche Informationen.

"Tatmittel Internet"

Das Bundesinnenministerium bestätigt die zunehmende Bedeutung der Internetkriminalität. "Auch wenn wir nicht auf vergleichende Zahlen zugreifen können, so ist die Internetkriminalität deutlich gestiegen", sagte Ministeriumssprecher Christian Sachs bei der Vorstellung des Sicherheitsreports 2006. Besonders Betrugsdelikte hätten bei "Straftaten mit Tatmittel Internet" deutlich zugenommen. So wurden im vergangenen Jahr 86.345 Fälle von Warenbetrug im Internet registriert, das waren mehr als die Hälfte (52,1 Prozent) aller Straftaten im Netz. "Ein weiterer Bedarf an Internet-Sicherungsvorkehrungen ist erkennbar", heißt es in der aktuellen Kriminalstatistik.

International gesehen liegt Deutschland in der Schreckensbilanz der Internet-Kriminalität hinter den USA und China auf Platz drei. So wurden im vorigen Jahr von deutschem Boden aus die drittmeisten Spam-Attacken und die vierthäufigsten Bot-Attacken gestartet. Und beim Phishing liegt Deutschland sogar auf Platz zwei. Laut einer Untersuchung der EMC-Tochtergesellschaft RSA gab es in den USA im April 2006 "nur" 3.655 Phishing-Angriffe, doch gegenwärtig sind es bereits mehr als 4.000 pro Monat.

Trojaner, Phishing & Co.

Hinter diesen Attacken stehen schon lange keine Einzelpersonen mehr, sondern global tätige kriminelle Organisationen. Deren bevorzugtes Mittel sind nicht mehr direkte, schwere Angriffe. Der Trend geht zu mittelschweren Attacken über Umwege, bevorzugt über webbasierte Anwendungen und Browser. Dafür setzen die Netz-Piraten verschiedenste Kombinationen ihrer Waffen ein. Die Ermittlungsbehörden sind dieser Kriminalität unter anderem deshalb so hilflos ausgesetzt, weil zum einen die meisten Websurfer immer noch zu arglos sind und weil zum anderen die Dreistigkeit der Phishing-Angreifer weiter ansteigt. So machte jüngst ein Trojaner die Runde, der sich als Windows-Aktivierungsprogramm tarnte und die Anwender zur Preisgabe ihrer Kreditkartendetails aufforderte. Die gefälschten Reaktivierungs-Screens des Trojaners waren bis ins Detail täuschend echt, beispielsweise verwies das erste Fenster auf die echte Anti-Piracy-Site von Microsoft.

"Trojaner und andere fortgeschrittene Online-Angriffsmethoden spielen eine zunehmend bedeutende Rolle", so Avivah Litan, Vice President und Analyst bei Gartner. "Sie sind viel schwerer zu erkennen als Phishing-Angriffe – und die Gefahr wächst noch dadurch, dass man die Nutzer nur schwer aufklären kann, wie sie zu vermeiden sind. Service Provider sollten ihre Kunden und deren Konten proaktiv schützen, und wir sehen nun Lösungen im Markt, die enorm dazu beitragen können."

Schwindendes Vertrauen in Online-Banking

RSA befragte im Dezember knapp 1.700 Bankkunden aus acht Ländern (unter anderem Deutschland, Frank-reich, Spanien) nach ihrer Meinung zu den aktuellen Bedrohungen wie Phishing und Keylogging sowie nach den Bemühungen, die Authentifizierung beim Internet-Banking auszubauen. Danach sind 91 Prozent der Kontoinhaber bereit, eine neue Authentifizierungsmethode zu nutzen, die über den "Benutzername-Passwort/PIN-Standard" hinausgeht. Über zwei Drittel der Kunden meinen, dass die Finanz-institute Benutzername/Passwort/PIN durch stärkere Authentifizierung beim Online-Banking erweitern sollten. Nur noch 59 Prozent fühlen sich beim Online-Banking sicher, das ist deutlich weniger als vor vier Jahren. Damals waren es immerhin noch stolze 70 Prozent. Parallel dazu schwindet auch das Vertrauen in den gesamten Online-Channel. 82 Prozent der Kontoinhaber antworten aus Angst vor Betrügern überhaupt nicht mehr auf eine E-Mail von ihrer Bank. Mehr als die Hälfte gab an, dass sie deshalb wahrscheinlich weniger Online-Banking nutzen werden. Fast die Hälfte der Bankkunden sind über Phishing und über die neuartigen Bedrohungen wie Trojaner und Keylogger äußerst besorgt.

Laut Forrester Research haben im vorigen Jahr fünf Millionen europäische Bankkunden das Online-Banking wegen Sicherheitsbedenken eingestellt. Die Sorge ist nicht unbegründet, denn in der gleichen Untersuchung berichtet Forrester, dass es 3,5 Millionen Opfer gegeben habe, von denen jedes im Durchschnitt 834 Dollar und 77 Stunden aufwenden musste, um alle Unregelmäßigkeiten wieder zu beheben.

Systematischer Ansatz gegen Crimeware

RSA bietet eine Reihe von Schutzmaßnahmen gegen diese moderne Art des Diebstahls. Jüngstes Produkt ist der Anti-Trojan Service FraudAction. Hierbei handelt es sich um einen proaktiven, mehrschichtigen Ansatz, der die Identifizierung und Analyse sowie das Blocken und Stilllegen umfasst. Das ist ein wesentliches Tool, damit die Finanzinstitute ihr Online-Geschäft weiter vorantreiben können, indem sie das Vertrauen ihrer Kunden wieder zurückgewinnen.

Dabei verfolgt RSA im Kampf gegen die moderne Crimeware einen systematischen Ansatz: Über ein breit angelegtes und engmaschiges Partner-Netzwerk erreicht man eine Mehrschichtigkeit beim Identifizieren, Analysieren, Blocken und dem gezielten Schließen von Infection- und Drop-Sites – an diese Seiten schickt die Crimeware gestohlene Daten. Dabei handelt es sich typischerweise um ein E-Mail-Postfach oder einen E-Mail-Server. RSA hat im Kampf gegen die Crimeware einen beachtlichen Erfahrungsschatz. Deren rund um die Uhr tätiges Anti-Fraud Command Center hat bereits mehr als 32.000 einzelne Phishing-Angriffe aufgespürt und die dazugehörigen Seiten stillgelegt. "Wir verfügen über weit angelegte Netzwerke zum Aufspüren und Blocken aller modernen Internet-Attacken. Hierbei kooperieren wir mit führenden Anti-Virus- und Anti-Spam-Anbietern sowie den ISPs", sagt Marc Gaffan, Director of Marketing, Consumer Solutions bei RSA.

Kevin Dougherty, Senior Vice President of Information Services bei der Federal Credit Union in Orlando, Florida, weiß, wie schmerzvoll es für eine Bank ist, wenn sie erstmal das Ziel von verbrecherischen Aktivitäten wurde. "Wir hatten im letzten Jahr plötzlich eine immense Zunahme an Phishing- und DoS-Angriffen und die Wochen danach entwickelten sich zu einem Albtraum", erinnert sich Dougherty, der damals RSA um Hilfe anrief. Gemeinsam wurde das System von allen falschen Daten befreit und für die Kunden neue Zugänge und Karten ausgestellt. "Es hat uns über 100.000 Dollar gekostet, aber das Vertrauen der Kunden hat in unserem Geschäft die allerhöchste Priorität", sagt er über die Konsequenzen der Attacken.

Bausatz für Betrüger

"Eine der neuesten Varianten von Crimeware ist die Infektion über das Anklicken von Webseiten", sagt Andrew Moloney, Senior Product Manager bei RSA. Auch das Klicken auf eine als seriös erscheinende Seite ist kein Garant. Auch diese werden missbraucht, indem ihnen bösartige Werbebanner untergeschoben werden, die dann auf Malware-verseuchte Seiten verweisen. So gab es im vorigen Jahr mehrere solcher Banner auf der Myspace-Seite, die Millionen an PCs infiziert haben.

Um bösartige Webseiten zu erstellen, muss man kein Experte sein. RSA spürte jetzt in einem einschlägigen Internetforum ein Phishing-Kit auf, mit dem Betrüger offensichtlich schon seit Längerem Handel betreiben. Das Kit wurde als kostenlose Testversion angeboten. Dabei handelte es sich um einen Bausatz, mit dem sich betrügerische URLs für eine seriöse Webseite erstellen lassen. Die Betrüger versuchen dann, ihre Opfer über eine "Standard"-Phishing-E-Mail, die einen entsprechenden Link enthält, auf diese URL zu locken. Folgt man diesem Link, landet man auf der falschen Webseite, interagiert aber mit dem echten Inhalt der legitimen Webseite. Die Betrüger können so völlig unbemerkt die persönlichen Daten ihrer Opfer ausspionieren.

Einen besonders raffinierten Fall dazu gab es Ende April, als derartige Betrüger solche Phishing-Seiten bei Google als Anzeigen gepostet hatten. Zwar wurden die Anzeigen sofort von Google gelöscht, nachdem der Fall bekannt wurde. Doch es bleibt bei diesen Attacken immer nur ein Reagieren. Kein User kann sicher sein, dass sein Klick auf einen vermeintlich vertrauenswürdigen Link auch wirklich unbedenklich ist.

Händler in der Pflicht

Doch es wäre unfair, die heutige elektronische Unsicherheit nur den Endusern anzulasten. Auch der Einzelhandel trägt eine große Schuld am rasanten Anstieg der illegalen Kontenplünderungen. So hat eine RSA-Untersuchung in den USA ergeben, dass nur etwas mehr als die Hälfte der Händler den neuen Standard im Umgang mit Kreditkarteninformationen (PCI DSS) erfüllen. Dieser verschärfte Standard wurde von den großen Kreditkartengesellschaften bereits im Juni 2006 erlassen und kann bei Missachtung oder bei Datenverlust erhebliche Strafzahlungen für den Händler nach sich ziehen.

Allerdings konnte auch die Einführung dieses Standards den bislang größten Kartendaten-Diebstahl der Welt nicht verhindern. So wurden bei dem 17-Milliarden-Dollar-US-Handelsriesen TJX seit Sommer letzten Jahres systematisch Millionen an Scheck- und Kreditkartendaten gestohlen. TJX spricht von 45 Millionen Karten, doch nach dem gegenwärtigen Stand der Ermittlungen können es auch über 200 Millionen gewesen sein. "Es wird wohl niemals klar sein, wie groß der Datendiebstahl wirklich war, denn die Hacker haben alle Informationen über ihre Transaktionen säuberlich gelöscht und wir sind nicht in der Lage, die Dateien zu lesen, die sie hinterlassen haben, da diese alle sehr gut verschlüsselt sind", sagte ein Unternehmenssprecher zu dem Vorfall.

Den Zugang zum TJX-Zentralsystem verschafften sich die Datendiebe – von denen noch immer jede Spur fehlt – vermutlich über das WLAN, das in den Megamärkten die Handheld-Scanner mit den Kassenservern verbindet. Diese nur per WEP gesicherte Verbindung wurde höchstwahrscheinlich vom Parkplatz aus mit einer ausgerichteten Parabolantenne geknackt.