Idiotensteuer

31. März 2013 Joachim Jakobs

und "keine Macht den Datenschützern"

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Christina Aguilera hat Angst: "Ich werde nie wieder dieses Gefühl von Sicherheit zurückerlangen und es gibt keine Wiedergutmachung für das Gefühl, das man hat, wenn jemand so in das Privatleben eindringt." Für dieses Eindringen wurde Christopher Chaney zu zehn Jahren Knast verurteilt.

Der Angreifer soll nicht nur Aguileras Mailbox, sondern noch dazu die von 50 weiteren Sternchen angezapft und Kompromittierendes veröffentlicht haben. Im Fall von Lady Gaga und ebenfalls 50 weiteren Opfern standen ein Jahr zuvor offenbar finanzielle Absichten im Vordergrund: Die Kriminellen hatten es auf bis dahin unveröffentlichte Musiktitel abgesehen und verkauften diese anschließend.

Geld läßt sich auch bei weniger bekannten Menschen machen. So wurde das Leben der Journalistin Rowenna Davis nach eigenem Bekenntnis "ruiniert": Die Angreifer entführten den Zugang zu ihrem Postfach, durchstöberten seinen Inhalt, antworteten in ihrem Namen und forderten schließlich ein Lösegeld in Höhe von ￡500. Da der Freund eines Freundes bei Google beschäftigt sei, sei es ihr ohne zu zahlen gelungen, die Kontrolle über das Postfach wieder zu erlangen. Der Konzern selbst habe aber nichts unternommen, um ihr zu helfen.

Die Gründe, weshalb so viele Passwörter in falsche Hände geraten, sind vielfältig: 90 Prozent aller Passwörter gelten als unsicher. In fünfeinhalb Stunden soll sich jedes beliebige Kennwort mit 8 Zeichen erraten lassen - mit einer Maschine, die 350 Milliarden Versuche pro Sekunde schafft.

Bei Christina Aguilera war es wohl eine Sicherheitsabfrage, die sich aus öffentlich zugänglichen Quellen beantworten ließ. Das Oberstübchen kann eben nicht immer mit Prominenz und Geldbeutel mithalten. Und wer einem Sicherheitsberater an die Kronjuwelen will, dessen Passwort mehr als 20 - "sehr zufällige"! - Zeichen lang ist und das für keine weiteren Dienste verwendet wird, der kann womöglich nach einer wochenlangen Vorbereitung die zwei-Faktor-Autorisierung von Google aushebeln.

Diese Vorgänge sollten zum Beispiel die 850 Millionen Nutzer von Twitter zur Kenntnis nehmen: Eine "unbestimmte Anzahl" von Passwörtern dieser Mitglieder ist nach Informationen der "Computerworld" im November abhanden gekommen. So kann man jedenfalls sichere Passwörter bauen, an die man sich anschließend auch noch erinnern kann.

Der "BKA Trojaner"

Nicht nur die Geiselnahme elektronischer Briefkästen bereitet Ärger, sondern auch die Kontrolle der Hardware durch Dritte kann bedrohlich wirken. Im Februar wurden 11 Personen in Dubai und Spanien festgenommen, die hinter dem "BKA Trojaner" stecken sollen: Der Schädling behauptet, er stamme vom Bundeskriminalamt (BKA) und sperre den Computer solange, bis der Anwender 100 Euro bezahlt habe.

Die Bundesbehörde weist jeden Verdacht von sich: "Weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch die Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) sind Urheber einer solchen Meldung!" Und: "Sollten Sie eine derartige Meldung erhalten, zahlen Sie den geforderten Betrag auf keinen Fall!"

Um Verwechslungen aber restlos zu vermeiden, hätte das BKA noch darauf hinweisen können: "Falls sich ein Tatverdacht gegen Sie im Rahmen einer Online-Durchsuchung mit Hilfe des Bundestrojaners erhärten sollte, leiten wir, Ihre Freunde und Helfer, weitere Zwangsmaßnahmen persönlich bei Ihnen zuhause ein!"

Die Urheber krimineller Schadsoftware bitten die Betroffenen die "Gebühr" zum Freischalten der Hardware per Ukash, Paysafecard oder MoneyPak zu transferieren. Das funktioniert ganz einfach: In einer der zahllosen Verkaufsstellen eine PIN im Wert von 10 bis 100 Euro kaufen und dann, so informiert einer der Dienstleister, die "16-stellige paysafecard PIN" des "Webshops" eingeben.

Der Erpresser erhält die PIN auf irgend einem Server. Von da aus kann er diese Nummer im digitalen Untergrund weiterverkaufen oder damit neue Schadsoftware erwerben. Praktisch für den Empfänger: Durch Verschlüsselung und Anonymisierung ist es praktisch unmöglich, den Weg der elektronischen Zahlungsanweisung nachzuverfolgen - geschweige denn rückgängig zu machen.

Elektronische Zahlungsanweisungen zählen nach Meinung von Symantec zu einer Reihe von Innovationen, die die Angreifer 2011 eingeführt hätten. Zuvor hätten sich die Armen mit zahlungspflichtigen SMS abquälen müssen!

Seither rollen Dollar, Euro und Rubel wie von selbst: Innerhalb eines Monats hat der Virenjäger 68.000 IP-Adressen gezählt, die von einer einzigen Trojaner-Familie infiziert wurden. Von den Betroffenen hätten wohl etwa 2,9 Prozent bezahlt - was Einnahmen in Höhe von 39.440 US-Dollar entspricht, wenn man von einem durchschnittlichen 20 Dollar Betrag als Zahlung ausgeht. Neben diesem einen Erpressungswerkzeug hat Symantec 15 Konkurrenten entdeckt. Deutschland zählt - was die Anzahl der Infektionen angeht - zu den Lieblingszielen der Angreifer.

Gewerbliche Nutzer

Jedem einzelnen Heimanwender Almosen abzuknöpfen ist zeitaufwendig und damit anstrengend. Mehr Geld ist bei gewerblichen Nutzern zu holen: So wurde ein medizinisches Zentrum in Australien, ganze Firmennetze und Datenbanken blockiert.

Von der Belgischen Dexia Bank wurde die Zahlung einer "Idiotensteuer" in Höhe von 150.000 Euro gefordert. Falls nicht gezahlt werde, würden Kundendaten im Internet veröffentlicht. Tom Powledge von Symantec sagt: "Das ist sehr unverschämt, sehr aggressiv und ein internationales Phänomen. Es begann in Russland und sucht seinen Weg in andere Länder."

Wie aber findet "es" sein Ziel? Zum Beispiel hatten im vergangenen Sommer mehrere "verlorene" USB-Speicher auf dem Firmenparkplatz des Niederländischen Chemieunternehmens DSM offenbar darauf gewartet, von Neugierigen ins nächstbeste Loch geschoben zu werden. Der Anschlag verfehlte sein Ziel, die Fundsachen wurden ordnungsgemäß in der IT-Abteilung abgegeben. Das darauf befindliche Ungeziefer hätte Mailadressen und Benutzerpasswörter ausspähen sollen, sei aber handwerklich so schlecht gemacht gewesen, dass das Unternehmen es nicht einmal für nötig gehalten hätte, den Angriff bei den Strafverfolgern anzuzeigen.

Würmer und Trojaner

Genauso gut hätte es sich aber um eine Schadsoftware wie Conficker handeln können - ein Wurm, der laut Spiegel Online 2009 50 Millionen Rechner infiziert haben könnte - nicht zuletzt wegen einer ganzen Reihe bemerkenswerter Leistungsmerkmale. So ist von Microsoft zu hören, dass die Schadsoftware eine ganze Reihe sicherheitsrelevanter Funktionen ausgeschaltet habe.

Kurz danach berichtet Trend Micro über die Wandlungsfähigkeit des Schädlings: Er ändert seine Varianten selbständig und tritt unter zufälligen Dateinamen auf, um seine Enttarnung zu verhindern. Und die Trojaner machen gemeinsame Sache mit den Würmern, die sich selbst in einem Computernetz bewegen.

Zuletzt wurde Conficker zum Jahreswechesel auf einem Diascanner des Kaffeerösters Tchibo gesichtet. Als Nächstes kommen jetzt auch noch "intelligente Würmer".

Wissenschaftler vom JNTU College of Engineering im Indischen Anantapur schreiben in einem Aufsatz (PDF): "Intelligente Würmer sind Schadsoftware, die sich selbsttätig im Internet verbreiten können - das heißt, sie können verwundbare Wirtssysteme infizieren und benutzen, um weitere Opfer anzugreifen." Und:

Wenn ein intelligenter Wurm ins Internet gefeuert wird, scannt dieser gleichzeitig viele Maschinen und versucht, verwundbare Systeme zu finden. Wenn er ein Opfer gefunden hat, hinterlässt er eine Kopie seiner selbst auf diesem Wirtssystem. Dieser neue Wirt startet den Wurm und versucht neue Maschinen zu infizieren.

Ericka Chickowski vom Fachdienst darkreading.com glaubt: "Für wenige tausend Dollar kann man kriminelle Software haben, mit der sich automatisierte Angriffe unternehmen lassen, die ohne menschliches Eingreifen auskommen. Und die Angreifer starten tausende dieser Angriffe auf unternehmerische Ziele."

Ein Angreifer kann 50 Millionen Notebooks, Server, "intelligente" Telefone oder "intelligente" Stromzähler infizieren - und ihre Besitzer zur Kasse bitten.

Report München hat neulich mal wieder darauf hingewiesen, dass unsere kritischen Infrastrukturen für Attentäter, Militärs und Geheimdienste anfällig seien. Eine interessante Variante wurde wohl übersehen: Die Geiselnahme kritischer Infrastrukturen: Was wäre es der Stadt München wert, wenn sie die Bürger weiterhin mit Wasser versorgen könnte? Wieviel Idiotensteuer wäre Deutschland bereit zu zahlen, wenns Strom gäbe? Natürlich nicht nur einmalig, sondern monatlich!

Solange es aber Leute wie die "datenschutzkritische Spackeria" gibt, die "keine Macht den Datenschützern" propagieren und diesen Müll auch noch auf Spiegel online verbreiten können, hat nicht nur Christina Aguilera Anlass, sich zu fürchten.