BKA-Chef Ziercke: Computerkriminelle klauen "digitale Identitäten"
Mit immer mehr Raffinesse spähen Computerkriminelle sensible Daten von Bürgern aus. Nach Feststellungen des Bundeskriminalamts (BKA) haben es die Täter auf ganze "digitale Identitäten" abgesehen, zu denen sie immer neue Möglichkeiten des Missbrauchs suchen. Die Deutsche Presseagentur sprach darüber mit BKA-Präsident Jörg Ziercke (61).
Was verstehen Sie unter einer "digitalen Identität"?
Ziercke: "Zugangsdaten, die jemand braucht, um beispielsweise über eBay zu verkaufen, bei Amazon zu bestellen, seine E-Mails abzurufen, sein Online-Konto zu führen oder sein Aktiendepot zu verwalten. Die digitale Identität räumt dem Nutzer Rechte ein für Aktivitäten, die er im Internet entfaltet. Alle Arten von Zugangsdaten können illegal abgegriffen und - wie ein Personalausweis - missbräuchlich verwendet werden. Es kann schon reichen, wenn ein Täter eine E-Mail mit einer Reisebuchung mitliest. Er hätte dann Anhaltspunkte dafür, wann er ungestört einbrechen kann."
Wie kommen die Täter an solche Daten?
Ziercke: "Am Anfang steht immer die Infektion des Rechners durch einen Trojaner. Diese Schadsoftware kommt per eMail, Download oder beim Besuch einer Website und nistet sich auf dem Rechner des Geschädigten ein. Und von diesem Moment an ist der Schädling bei jeder Online-Aktivität dabei."
Jeder weiß doch, dass man keine Anhänge in den Mails unbekannter Absender öffnen soll. Ziercke: "Trotzdem kommt es immer wieder vor. Die Geschichten in den Mails werden besser, die Täter passen sie der gesellschaftlichen Stimmungslage an und nutzen
Geht das auch ohne eMail?
Ziercke: "Ja. Bei der 'Drive-By-Infection' hacken die Täter eine unverdächtige Internet-Seite und manipulieren sie. Wer diese Seite ansteuert, wird - ohne dass er es merkt und ohne dass er eine Mail oder einen Anhang öffnet - zu einem weiteren Server verbunden, der ihm eine Schad-Software - einen 'Trojaner' - auf den Rechner schiebt. Der Rechner des Users ist fortan infiziert, aber er hat keine Chance gehabt, es zu bemerken.
Wie geht es dann weiter?
Ziercke: "Die Täter verwerten die illegal erlangten Zugangsdaten für ihre kriminellen Machenschaften. Ein Beispiel ist der Vorschuss- Betrug. Über Trojaner werden die Zugangsdaten zu einem eBay-Account oder einer Kfz-Börse gestohlen, anschließend die eMail-Adresse und Bankverbindung geändert und Waren oder Fahrzeuge angeboten. Mit dem Käufer wird eine Anzahlung an einen - natürlich fingierten - Treuhänder vereinbart. Der Käufer zahlt, aber die Ware wird er nie bekommen."
Wie sieht es mit Online-Konten bei Banken aus? Hat die Umstellung auf iTANs etwas bewirkt?
Ziercke: "Obwohl die Internet- und Computerkriminalität insgesamt wächst, sind Phishing-Delikte - also das Stehlen von Online-Banking- Zugangsdaten - im ersten Halbjahr 2008 zurückgegangen. Wir führen das darauf zurück, dass nunmehr auch die Volksbanken und Sparkassen das iTAN-Verfahren eingeführt haben und dieses Verfahren damit in Deutschland fast flächendeckend Verwendung findet. Gleichwohl kennen wir derzeit mindestens drei Familien von Schadsoftware, die das deutsche iTAN-Verfahren erfolgreich angreifen."
Wie geht das?
Ziercke: "Eine Angriffsmöglichkeit für das iTAN-Verfahren sind zum Beispiel sogenannte Man-In-The-Middle-Attacken, bei denen sich der Trojaner in den Datenstrom des Nutzers einschaltet und diesen manipuliert. Aus einer Überweisung von beispielsweise 500 Euro an einen Dritten macht er 5.000 Euro auf ein vom Täter bestimmtes Konto - ohne dass der Nutzer es merkt. Selbst, wenn er hinterher online den Kontostand abfragt, sieht er dort nur die Buchung über 500 Euro."
Wie spielt sich Online-Kriminalität bei Kreditkarten ab?
Ziercke: "Unseren Erkenntnissen zufolge werden Kreditkartendaten im Online-Bereich eher mittels Hacking erlangt als durch Schadsoftware erphished. Hier setzen die Täter zum Beispiel an zentralen Abrechnungsstellen von Kreditkartentransaktionen oder bei großen Kreditkartenakzeptanzstellen wie Hotel- oder großen Warenhausketten an. Gelingt es dem Hacker, ein solches System zu infiltrieren, hat er alle Informationen, die er für weitere kriminelle Aktivitäten benötigt. Wir führen seit einigen Monaten ein entsprechendes Ermittlungsverfahren im BKA."
Was fängt ein Hacker mit diesen Daten an?
Ziercke: "Die Kartendaten werden in den seltensten Fällen von den Hackern selbst verwendet. Sie fungieren als Dienstleister und verkaufen die Daten weiter. In der Underground-Economy bezahlen Sie für zehn valide deutsche Mastercards insgesamt rund 90 bis 120 Euro. Dabei geht es nicht um die Karten selbst, sondern nur um deren digitales Abbild. Damit kann der Abnehmer beispielsweise auf fremde Rechnung Waren bestellen. Oder er bezahlt jemanden, dies für ihn zu tun. Die Waren werden dann an anonymisierbare Adressen, also zum Beispiel Wohnheime, leerstehende Wohnungen oder auch Packstationen geliefert. Dank der Tracking-Informationen der Paketdienste weiß der Täter ziemlich genau, wann die Sendung kommt. Er braucht sich dann nur noch mit einem Kaffee ins Treppenhaus zu setzen."
Benutzen Sie unter diesen Umständen selbst eine Kreditkarte?
Ziercke: "Kreditkarten benutze ich natürlich. Aber auch ich weiß nicht, was mit den Daten passiert, wenn ich morgens aus dem Hotel gehe und mit meiner Karte bezahle. Aber das ist etwas, was heute zum allgemeinen Lebensrisiko gehört."
Wie kann sich der Computer-Nutzer denn schützen?
Ziercke: "Öffnen Sie niemals eMails von Absendern, die Sie nicht kennen. Setzen Sie Virenscanner und Firewalls ein und halten sie diese auf dem aktuellsten Stand. Allerdings können die Scanner die Flut von Schadsoftware kaum noch bewältigen. Am besten benutzen Sie zwei voneinander getrennte Betriebssysteme - eines fürs Online-Banking und ein anderes fürs Surfen. Oder beim Geldabheben: Nehmen Sie eine Karte für den Türöffner und eine andere für den Geldautomaten. Halten Sie die Welten getrennt. Aber einen absoluten Schutz vor Infektion gibt es nicht."
Wie wichtig ist für die Bekämpfung dieser Kriminalität die Vorratsdatenspeicherung der Verbindungsdaten bei den Providern?
Ziercke: "Die IP-Adresse ist oftmals die einzige Spur zu den Tätern. Wenn die Klage vor dem Bundesverfassungsgericht Erfolg hat und wir diese Daten nicht mehr bekommen könnten, wäre das für unsere Arbeit auf diesem Kriminalitätsfeld das Ende. Und nicht nur da: Es gibt Leute, die in Internetforen Selbstmorde oder Amokläufe ankündigen - und alles, was wir als Ermittlungsansatz haben, ist eine IP-Adresse."