Die neuen Waffen der Phisher

Inhaltsverzeichnis

Zunehmend haben es Datendiebe auf die Mitarbeiter von Unternehmen abgesehen. Cyberkriminelle geben sich als Chef, Arbeitskollege oder Schulfreund aus – und erschleichen sich mit Informationen aus sozialen Netzen Vertrauen. Firmen sollten sich auf Firewall und Antivirenprogramm allein nicht mehr verlassen.

Frankreichs Macht manifestiert sich im Pariser Stadtteil Bercy, wo das Wirtschaftsministerium über die Seine hinausragt – eine imposante Festung mit einem eigenen Hubschrauberlandeplatz auf dem Dach. Der französische Staat lagert hier seine wichtigsten Dokumente: Steuerakten, Informationen über Banken und Haushaltspläne. Sicherheit ist oberstes Gebot, Verschwiegenheit Pflicht. Doch seit März 2011 ist klar: Bercy ist nicht mehr uneinnehmbar. Hacker haben die Computer hochrangiger Mitarbeiter gekapert und unbemerkt Daten gestohlen. Als die Sicherheitsexperten den Angriff entdeckten, fanden sie rund 150 infizierte Rechner, viele davon gehörten Führungskräften.

Die Eindringlinge hatten ihre Opfer genau ausgesucht: ausschließlich Mitarbeiter, die den G20-Gipfel im November in Cannes vorbereiten. Die Zielpersonen hatten E-Mails erhalten, die selbst einem Experten für Computerviren nicht verdächtig vorgekommen wären. Der Text verwies auf interne Meetings, versehen mit dem richtigen Datum. Den Weg ins System bahnte der harmlos wirkende Zusatz: "In der Anlage finden Sie ein Dokument zur Vorbereitung auf das nächste Treffen." Beim Öffnen der Datei wurde im Hintergrund eine Schadsoftware gestartet, die künftig den Zugriff auf den Rechner über das Internet erlaubte – eine Infektion, die den Sicherheitssystemen lange entging.

Hochgerüstet, zielorientiert, erfolgreich – Online-Betrüger investieren in die Effizienz. "Das Gießkannenprinzip funktioniert immer weniger", sagt Lutz Neugebauer, Bereichsleiter Sicherheit beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom). "Cyberkriminelle gehen daher gezielter vor und nutzen ausgefeiltere Methoden." Zum Beispiel das sogenannte "Spear Phishing": personalisierte Angriffe, denen im Gegensatz zum normalen "Phishing" eine Recherche über die Zielperson vorausgeht.

Spear Phishing an sich ist nicht neu, aber die jüngsten Angriffe offenbaren eine neue Qualität: E-Mails warten mit persönlichen Anreden, einer geschliffenen Sprache und sogar mit Sicherheitszertifikaten auf. Ohne Argwohn öffnen die Adressaten dann oft die infizierten Anhänge oder folgen Links auf gefälschte Webseiten, wo sie automatisch und ohne es zu ahnen Schadprogramme herunterladen. Zum Einsatz kam diese Vorgehensweise auch bei den jüngsten Attacken auf Google und den Internationalen Währungsfonds. Mitarbeiter öffneten auf sie zugeschnittene E-Mails, woraufhin ihre Rechner infiziert wurden. Das erlaubte Eindringlingen den Zugriff auf interne Daten der Organisationen.

Alexander Geschonneck, Experte für IT-Forensik und Partner bei der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG, hält Spear Phishing für besonders gefährlich, weil klassische Detektionsmethoden nicht mehr greifen. Die 286 Millionen neuen Malware-Varianten, die Symantec, der weltweit größte Hersteller von Sicherheitssoftware aus Kalifornien, im vergangenen Jahr identifiziert hat, waren im Schnitt nur auf je 15 Computern anzutreffen. "Statt wahllos Maschinen zu infizieren, konzentrieren sich Angreifer auf die wertvollen Ziele", sagt Candid Wüest, Virenexperte bei Symantec. "Damit bleiben sie länger unentdeckt. Denn wenn ein Schadcode nur selten zu finden ist, ist die Wahrscheinlichkeit auch geringer, dass er bekämpft wird." Alexander Geschonneck ergänzt: "Solche Attacken können sich über mehrere Monate hinziehen." Häufig würden sie erst entdeckt, wenn sie bereits zum Erfolg geführt hätten.

Das bedeutet: Unternehmen müssen ihre Sicherheitsstrategie überdenken – Virenprogramme und Firewalls helfen immer weniger. Zur Gefahr werden die eigenen Mitarbeiter, die ihre Rechner unwissentlich zum Feind des Betriebs umfunktionie-ren. Ist ein Computer erst einmal unter fremder Kontrolle, lässt sich damit so ziemlich alles anstellen: Das Mitschneiden von eingetippten Passwörtern, das Herunterladen von Firmendokumenten oder der Zugriff auf weitere Rechner im Netzwerk. Zielpersonen sind oft Administratoren oder Manager mit weitreichenden Zugangsrechten.

Doch wie schaffen es die Daten-Phisher, ihre Mails derart echt wirken zu lassen? "Dass sich die erfolgreichen Spear-Phishing-Angriffe in jüngster Zeit häufen, liegt auch daran, dass sich zum Beispiel über die sozialen Netze viel mehr relevante Informationen finden lassen als früher", sagt Bitkom-Experte Neugebauer. "Betrüger können ihre Opfer hier in aller Ruhe analysieren." So mancher regt sich auf Facebook, Myspace und LinkedIn über Probleme mit dem neuen Chef auf oder plaudert Firmeninterna aus. Andere stellen ihren Lebenslauf ins Netz. Das macht es Betrügern leicht, E-Mails mit scheinbar vertraulichen Informationen zu spicken. Sie geben sich als Arbeitskollegen aus, alte Schulfreunde oder, und das ist besonders beliebt, als Vorgesetzter.

Die Branche hat für das Ausspionieren der Opfer einen eigenen Begriff erfunden: "Social Engineering". "Das Ausnutzen von Vertrauen ist die mächtigste Waffe der Cyberkriminellen", schreibt der US-Netzwerkausrüster Cisco in seinem Jahresbericht. Symantec-Forscher Wüest hat beobachtet, wie das in der Praxis aussehen kann: "Wir haben Fälle, wo sich Kriminelle mit gefälschten Profilen über Wochen mit den Mitarbeitern eines Unternehmens angefreundet haben. Irgendwann schicken sie dann einen Link auf ein lustiges Video herum – und prompt schnappt die Falle zu."

Selbst Sicherheitsfirmen sind nicht gegen solche Angriffe gefeit. Beim US-Unternehmen HBGary sind Hacker in das E-Mail-Konto des Firmengründers eingedrungen. Von dort aus schickten sie Nachrichten an einen Netzwerkadministrator und gaben sich als dessen Chef aus. Sie veranlassten ihn, Ports der Firewall zu öffnen und – wegen angeblicher Probleme beim Einloggen auf einen Server – Passwörter und Nutzernamen weiterzugeben. Den Hack dokumentierten sie, indem sie im Internet Zehntausende firmeninterne E-Mails veröffentlichten. Noch gewiefter gingen Angreifer beim IT-Sicherheitsanbieter RSA Security vor: Sie sandten ausgesuchten Angestellten E-Mails mit dem Betreff "Personalplanung 2011". Zwar lenkte der Spamfilter die Nachricht in den Junk-Ordner, doch trotzdem öffnete einer der Mitarbeiter die Mail samt angehängter Excel-Datei.

Daraufhin installierte sich ein Schadprogramm, das den Hackern die Kontrolle über den Rechner verschaffte – über den sie dann wertvollere Ziele im Firmennetzwerk attackierten. Abgesehen hatten es die Einbrecher auf Informationen über die von RSA produzierten "SecurID-Token". Diese kleinen Geräte generieren alle 60 Sekunden ein zufälliges Einmal-Passwort – ein bis dahin unknackbarer Schutz. Experten vermuten, dass die Diebe den Quellcode oder die sogenannten Seeds gestohlen haben, mit denen sie selbst gültige Passwörter erzeugen konnten.

Damit schlugen sie zu – und zwar beim RSA-Kunden Lockheed Martin, der Stealth-Flugzeuge für das US-Militär entwickelt. Mithilfe der gestohlenen Daten konnten sie das Computersystem des Rüstungskonzerns infiltrieren. RSA tauschte daraufhin weltweit Millionen von Token aus.