Foto: Sharaf Maksumov - shutterstock.com
Der US-amerikanische Online-Schuhhändler Zappos informierte im Januar 2012 seine Kunden, dass ihre Namen, E-Mail-Adressen, Rechnungs-und Lieferadresse, Telefonnummern und die letzten vier Ziffern ihrer Kreditkartennummern durch eine Datenpanne in fremde Hände gelangt sein könnten. Tröstlich, dass das Unternehmen gleichzeitig mitteilen konnte, "kritische Kreditkarten- und andere Zahlungsdaten" seien nicht betroffen gewesen. Dass sie auf ihrer nächsten Kreditkartenabrechnung mysteriöse Abbuchungen entdecken werden, brauchen die 24 Millionen Kunden, deren Daten möglicherweise gefährdet waren, also nicht zu fürchten. Dennoch: Schon mit den bloßgelegten Daten könnten Cyberkriminelle einiges anfangen.
Die wahrscheinlichste Folge der Datenpanne werden mehr in erster Linie lästige Spam-Mails sein, doch lassen sich mit Angaben wie Name und Adresse auch gezielte und damit gefährliche Phishing-Mails kreieren. Der Absender tarnt sich als vertrauenswürdige Person oder Organisation, um den Empfänger zum Klicken auf einen Link zu verleiten - flugs nistet sich Malware auf seinem Rechner ein, oder ein unbedarfter Nutzer gibt vertrauliche Informationen wie Passwörter, Kreditkarten- oder Sozialversicherungsnummer preis.
Geld verdienen mit Spam-Mails zu Potenzmitteln
Personenbezogene Daten sind die Währung der digitalen Schattenwirtschaft. Hacker, die diese Daten besitzen, können sie an eine Vielzahl von Kunden verkaufen, darunter Identitätsdiebe, das organisierte Verbrechen, Spammer und Botnetz-Betreiber - sie alle können mit diesen Daten noch mehr Geld verdienen.
Spammer beispielsweise verschicken an eine Liste neu erhaltener E-Mail-Adressen Angebote für Potenzmittel. Geld verdienen sie, wenn ein Empfänger auf die in der E-Mail verlinkte Seite klickt und die darauf platzierte Werbung angezeigt wird. Und Identitätsdiebe verwenden E-Mail-Adressen, um Phishing-Mails zu verschicken, die Menschen zur Eingabe ihrer Bankkonto- oder Kreditkartennummer verleiten sollen.
Rod Rasmussen, Präsident und CTO von Internet Identity, einem Anbieter von Sicherheitslösungen fürs Internet aus dem US-Bundesstaat Washington, sagt, dass Cyberkriminelle untereinander mit persönlichen Informationen handeln, um ein vollständigeres Bild von einem Individuum zu erhalten. "Die Idee dahinter ist, mehr Informationen über Menschen zusammenzustellen, um mehr Schaden anzurichten." Angaben wie Namen, Kreditkartennummer, PIN, E-Mail-Adresse oder Telefonnummer stammten oft aus verschiedenen Quellen.
Kreditkartennummern für weniger als einen Dollar
Ein Name oder eine E-Mail-Adresse hat den Wert von Bruchteilen eines Cents bis zu einem US-Dollar - je nach Qualität und Aktualität der Daten, sagen Sicherheitsexperten. "Es sind so viele Daten im Umlauf, dass Sie schon viele haben müssen, um damit im Untergrund Geld zu verdienen", sagt Rasmussen. Selbst Kreditkartennummern würden für weniger als einen US-Dollar gehandelt.
Das klingt zunächst nicht besonders ertragreich. Doch wer eine Masse an Datensätzen zur Hand hat, für den lohnt sich das Geschäft. Beispiel Zappos: Sind Hacker tatsächlich an Daten von mehr als 24 Millionen Kunden gelangt und verkaufen davon nur fünf Millionen E-Mail-Adressen für fünf Cent das Stück, verdienen sie daran 250.000 Dollar.
Botnetz für 1.000 Dollar die Stunde vermieten
Noch mehr Geld verdienen Botnetz-Betreiber. Angenommen, Sie besitzen ein Botnet aus 100.000 Computern: Für 1.000 Dollar die Stunde können Sie es an Spammer vermieten, sagt Stu Sjouwerman, Gründer und CEO von KnowB4, einem Anbieter von Internet-Sicherheitstrainings aus Florida. Er rechnet vor: Kauft jemand die 24 Millionen Datensätze von Zappos, verschickt Malware an alle E-Mail-Adressen, kann er ohne viel Mühe ein riesiges Botnetz aufbauen - selbst wenn nur jeder Fünfte sich infiziert, entsteht ein Netz aus fünf Millionen ferngesteuerten Rechnern. "Ein solches Netz können Sie sogar für 5.000 Dollar pro Stunde zum Spam-Versand vermieten", sagt Sjouwerman.
Alles, was Cyberkriminelle brauchen, um ihr Werk zu beginnen, ist eine persönliche E-Mail-Adresse. Sie genügt, um Postfächer mit Spam zu überschwemmen. Für Identitätsklau oder Kreditkartenbetrug braucht es zusätzlich ein Passwort, eine Kreditkarten- oder Sozialversicherungsnummer, sagt Rasmussen. An diese sensibleren Daten gelangen Kriminelle oft per Phishing-E-Mails oder indem sie Malware per E-Mail verschicken, sagt Sjouwerman. Manche Schadprogramme installieren sogenannte Key-Logging-Software, die die Eingabe von Benutzernamen und Passwörtern aufzeichnet.
Schon die letzten vier Ziffern der Kreditkartennummer könnten einem Cyberkriminellen genügen, Ihr Kennwort auf einer E-Commerce-Website zurückzusetzen, sagt Rasmussen. Einige Unternehmen nutzten die letzten vier Ziffern der Kunden-Kreditkarten als PIN. Nach dem Ändern des Passworts könnte ein Verbrecher auch weitere Angaben ändern und auf Ihre Kosten einkaufen. Wahrscheinlicher ist es laut Rasmussen allerdings, dass er diese Informationen an jemanden verkauft, der damit Angriffe anderer Art plant.
Geklaute Kreditkartendaten nutzen Verbrecher sofort
Wie schnell Cyberkriminelle sich geklaute Daten zunutze machen, hängt von der Art der Information ab. Wer eine Kreditkartennummer gestohlen hat, benutzt sie wahrscheinlich binnen kurzer Zeit. Dasselbe gelte für E-Mail-Adressen, die zum Phishing genutzt werden. Um mehr Menschen dazu zu bringen, unbemerkt Malware auf ihre Rechner zu laden, versenden Verbrecher gerne gefälschte Benachrichtigungen über Sicherheitsvorfälle.
Sie leiten die Opfer auf eigens angelegte Seiten, die aussehen wie die des betroffenen Unternehmens und fordern sie auf, dort ihr Passwort zu ändern. Das klappt natürlich nur, wenn die Nachricht der Angreifer vor der des gehackten Unternehmens bei den Kunden eintrifft, sagt Sjouwerman. Deshalb ist es von entscheidender Bedeutung für Organisationen, deren Kundendaten in falsche Hände geraten sein könnten, Betroffene zu informieren, sobald sie wissen, was passiert ist und wer betroffen war, sagt Rasmussen.
Malware aktiviert Mikrofon und Webcam
Wenn die eigene Mail-Adresse von Cyberkriminellen geklaut wurde, müssen Kunden mit mehr Spam, Phishing-Mails und Malware per E-Mail rechnen. Malware könnte Cyberkriminelle die Kontrolle über den Computer übernehmen lassen und ihnen ermöglichen, ihn zum Teil eines Botnetzes zu machen, sagt Sjouwerman. Manche Schadprogramme ermöglichen es sogar, die Webcam oder das Mikrofon am Computer zu Spionagezwecken zu aktivieren.
Mögen solche Manöver eher die Ausnahme sein, so ist die Gefahr, Phishing zum Opfer zu fallen, weitaus größer. Von zehn Personen fielen etwa vier auf eine Attacke herein, sagt Sjouwerman mit Verweis auf ein eigenes Experiment. An 100 Mitarbeiter eines Rüstungsunternehmens, das Kunde von KnowB4 ist, verschickte er eine E-Mail. Die Mail-Adressen hatte er allesamt im Internet gefunden. Sich als CEO des Rüstungsunternehmens ausgebend, forderte Sjouwerman die Angestellten auf, über eine Webseite die Daten zu ihrer betrieblichen Altersversorgung zu ändern. Die Seite hatte er gefälscht. Insgesamt 40 Prozent der Angeschriebenen fielen auf den Betrug herein.
Wessen Kreditkartennummer gestohlen wurde, der kann davon ausgehen, dass auf der nächsten Abrechnung auffällige Buchungen auftauchen. Opfer sollten unverzüglich ihr Kreditkarten-Unternehmen benachrichtigen, dass die Daten möglicherweise missbraucht werden. Nach dem Hack des Sony-Playstation-Netzwerks berichteten mehrere Nutzer von betrügerischen Transaktionen mit ihren Kreditkarten. Nur: Mit Sicherheit sagen konnte damals keiner, ob der Betrug durch den Datenklau bei Sony zustande kam oder zufällig zur selben Zeit stattfand.
Das Schlimmste ist das Gefühl, zum Opfer geworden zu sein
Selbst wenn es durch einen Datenklau nicht zu einem finanziellen Schaden kommt und Hacker nur an Namen von Personen und ihre E-Mail-Adressen gelangen, belastet das die Betroffenen, beobachtet Rasmussen. Das Schlimmste sei "das Gefühl Opfer geworden zu sein: Zu sehen, dass jemand ist ohne meine Erlaubnis im Besitz meiner Daten ist."