«Mit Hacker-Attacken kann man sehr viel Geld verdienen»

Was haben die SVP, die SBB und diverse Onlineshops gemeinsam? Sie alle wurden diese Woche gehackt. Max Klaus, Cybersicherheitsexperte beim Bund, kennt die Hackerszene und ihre Motive.

Die Opfer von Hackerangriffen waren diese Woche zahlreich: Der SVP wurden Mailadressen entwendet, diverse Onlineshops wie Interdiscount oder Leshop waren nicht erreichbar, der SBB-Fahrplan reagierte nur sehr langsam.

Die Opfer von Hackerangriffen waren diese Woche zahlreich: Der SVP wurden Mailadressen entwendet, diverse Onlineshops wie Interdiscount oder Leshop waren nicht erreichbar, der SBB-Fahrplan reagierte nur sehr langsam.

(Bild: Fotolia/sgb)

Lucie Machac@liluscha

Herr Klaus, gestern wurde publik, dass die Datenbank der SVP gehackt wurde und dass Daten und Adressen entwendet wurden. Wissen Sie, wer es war?Max Klaus: Wir haben bisher ­keine Informationen zu diesem Hackerangriff. Uns ist auch die Gruppe NSHC nicht bekannt, die sich gegenüber dem Fachmagazin «Inside-it.ch» zum Angriff ­bekannt haben soll.

Gemäss dem Bekennerschreiben wollen die Hacker darauf aufmerksam machen, dass die Schweiz nicht ausreichend gegen Cyberangriffe geschützt ist. Ist das glaubwürdig? Ausschliessen kann man es nicht, aber es scheint mir eher unwahrscheinlich zu sein.

Weshalb? Normalerweise informieren gut gesinnte Hacker die Behörden oder Sicherheitsunternehmen über Lücken, die sie gefunden ­haben.

Die Gruppe NSHC will auch die Hackerangriffe auf die SBB und einige Onlineshops vom letzten Wochenende verübt haben. Die technischen Möglichkeiten von NSHC sind uns nicht bekannt. Es ist aber durchaus möglich, dass diese Gruppe den Hype einfach für sich ausnutzt.

Die Bundesbehörde Melani hat gestern gemeldet, dass diese Woche 6000 E-Mail-Konten sowohl von Unternehmen wie auch von Privatpersonen gehackt wurden. Wie gut ist die Schweiz tatsächlich vor Cyber­attacken geschützt? Bei Grossunternehmen wie ­Banken oder Telekommunikationsunternehmen sowie bei Bundes- und Kantonsbehörden ist das Schutzniveau sehr hoch. Auf der Gemeindeebene oder bei KMU ist die Cybersicherheit sehr unterschiedlich, je nach ­IT-Know-how und finanziellen Mitteln.

Also gibt der gelungene Angriff den SVP-Hackern recht? Man kann nicht auf die ganze Schweiz Rückschlüsse ziehen, nur weil ein Versuch gelungen ist. So etwas wäre auch in anderen Ländern problemlos möglich.

Aber diese Woche wurden fast täglich Hackerangriffe auf Schweizer Firmen oder Organisationen verübt. Welche Schlüsse ziehen Sie daraus? Aussergewöhnlich ist sicher die Anzahl von Ereignissen in den letzten Tagen. Trotzdem sollte man nicht den Teufel an die Wand malen. Verschiedenste Cyberangriffe erfolgen wellenartig. Es ist durchaus denkbar, dass es sich um eine zufällige Häufung handelt.

Weiss man denn inzwischen, wer hinter den Hackerangriffen auf die zahlreichen Onlineshops und Banken vom letzten Wochenende steckt? Bisher nicht. Der Name Armada Collective ist in diesem Zusammenhang aufgetaucht, aber Experten zweifeln inzwischen daran, dass es diese Hackergruppierung war, denn sie geht normalerweise anders vor.

Nämlich? Das Armada Collective demons­triert mit einem sogenannten­ DDOS-Angriff, bei dem Websites mehrere Tausend Mal innerhalb weniger Sekunden aufgerufen werden und so der Server lahmgelegt wird, wozu es fähig ist. Es ist eine Art Demoattacke. Danach verschickt die Gruppe Erpresserschreiben mit einer Geldforderung. Wenn diese nicht gezahlt wird, gehen die Angriffe weiter. Solche Erpressermails wurden letzte Woche zwar an Banken verschickt, aber der Absender hat keine Demoangriffe verübt. Umgekehrt gab es DDOS-Angriffe auf Onlineshops, aber es ist kein Erpresserschreiben eingegangen. Deshalb gehe ich nicht davon aus, dass es diesmal das Armada Collective war. Es könnten auch Trittbrettfahrer gewesen sein.

Wer verbirgt sich hinter dem Armada Collective? Das weiss man nicht. Genauso wenig wie bei der Gruppierung Anonymous oder bei der Gruppe DD4BC, eine Abkürzung für «DDOS for Bitcoin». Übrigens werden DDOS-Angriffe nicht selten von der Konkurrenz verübt, um zum Beispiel grössere Mit­bewerber zu schädigen. Im Netz tummeln sich neben namentlich bekannten Gruppen aber auch viele Einzelpersonen und Gruppierungen, die nicht unter einem Pseudonym agieren.

Wie funktionieren solche Hackergruppen? Es gibt kleine Hackerteams, in denen sich alle kennen und die bei gemeinsamen Treffen den nächsten Angriff aushecken. Aber es gibt auch Gruppierungen, die zum Beispiel E-Banking-Trojaner verbreiten, bei denen mehrere Hundert Personen zusammen agieren, die über die ganze Welt verstreut sein können.

Offenbar hat eine der erpressten Banken die Forderung von 25 Bitcoins (digitale Währung), umgerechnet 10 000 Franken, bezahlt. Wie erfolgreich sind Hacker mit ihren Geldforderungen? In der Schweiz haben wir keine Meldepflicht für Cyberangriffe, deshalb lässt sich das schwer ­beurteilen. Ich könnte mir aber vorstellen, dass Erpresser bei Privatpersonen erfolgreicher sind als bei Unternehmen.

Weshalb? In der Vergangenheit gab es ­mehrere Erpressungswellen mit Verschlüsselungstrojanern, die auf Privatpersonen abzielten. Die Hacker haben Musikdateien, Dokumente oder Fotos unleserlich verschlüsselt. Und da sind mir einige Fälle von Leuten bekannt, die das Erpressergeld von einigen Hundert Franken bezahlt haben, weil natürlich Hochzeits- oder Kinderfotos einen sehr hohen emotionalen Wert haben.

Welche Typen von Hackern gibt es? Die meisten wollen mit Cyber­attacken ganz klar Geld verdienen. Sei es mit gestohlenen Kreditkartennummern, sei es mit ­gestohlenen Plänen von inno­vativen Produkten, die dann im Ausland um ein Mehrfaches billiger produziert werden. Unter Hackern gibt es aber auch Selbstdarsteller, die mit ihrer ‹Arbeit› eine gewisse Berühmtheit erlangen wollen. Ich könnte mir vorstellen, dass jene Hacker von dieser Sorte waren, die vor einiger Zeit Nacktbilder von Hollywoodstars ins Netz gestellt haben. Und dann gibt es noch die Script Kiddies.

Script Kiddies? Das sind Jugendliche, die zum Beispiel ins System der Nasa oder bei Apple eindringen oder zumindest einen erst zu nehmenden Hackerversuch zustande bringen. Nach dem Angriff geben sie sich zu erkennen, mit der Absicht, bei der entsprechenden Firma ein attraktives Jobangebot zu bekommen.

Welche Arten von Cyberattacken sind am häufigsten? DDOS-Angriffe in einem so grossen Ausmass wie diese Woche ­waren in der Schweiz bisher selten. Die Palette der Cyberangriffe reicht von Wirtschaftsspionage über Erpressung oder Phishing-Mails bis zu Datendiebstahl.

Hacken ist also ein neues Geschäftsmodell? Gemäss ausländischen Studien soll die Hackerszene mittlerweile mehr Jahresumsatz machen als die Drogenmafia. Mit anderen Worten: Mit Cyberattacken kann man sehr viel Geld verdienen. Inzwischen hat sich auch ein Markt für Cyberspionage etabliert, der vor allem im Darknet abgewickelt wird. In diesem Teil des Internets, in dem jeder anonym surfen kann, werden illegal beschaffte Kreditkartennummern oder Produktpläne, aber auch die neusten Hackertools angeboten.

Merken Unternehmen überhaupt, dass sie gehackt worden sind, sofern nicht ihre Website zusammenbricht? Hacker sind Meister der Tarnung. Ich kenne Unternehmen, die erst nach ein paar Jahren gemerkt haben, dass jemand in ihr System eingedrungen ist und ihre Daten entwendet hat. Meist entdeckt man es nur per Zufall. Weil zum Beispiel der Mailserver immer langsamer wird oder weil man das selbst entwickelte Produkt auf dem ausländischen Markt entdeckt. In beiden Fällen ist es dann zu spät.

Gibt es Schweizer Branchen, die für Wirtschaftsspionage besonders anfällig sind? Grundsätzlich kann es jeden treffen. In der Schweiz haben wir die spezielle Situation, dass wir sehr viele KMU haben, die sehr innovativ sind. Das ist ein Eldorado für Cyberspionage. Studien im englischsprachigen Raum haben gezeigt, dass KMU zwischen 10 und 100 Mitarbeitern am stärksten gefährdet sind.

Weil sie sich keine Hochsicherheits-IT leisten können? Zum einen. Für KMU sind IT-Lösungen, die vor DDOS-Angriffen schützen, kaum finanzierbar. Und kleine KMU haben natürlich andere Sorgen als IT-Sicherheit.

Aber diesmal waren auch Grossunternehmen wie die Migros oder die SBB vor dem DDOS-Angriff machtlos. Ein normaler DDOS-Angriff prallt bei den SBB oder bei Le­shop.ch problemlos ab. Aber was diese Woche passiert ist, war viel massiver. Jedes Unternehmen hat ein Restrisiko. Bis zu welchem Grad Firmen ihre IT aufrüsten, entscheiden am Schluss rein wirtschaftliche Überlegungen.

Was macht Ihnen am meisten Sorgen, wenn Sie in die digitale Zukunft blicken? Es ist heute schon so, dass Cyberangriffe immer professioneller werden, sodass es auch für Experten immer schwieriger wird, einen solchen Angriff überhaupt zu erkennen. Vor diesem Hintergrund macht mir zum Beispiel ein Hackerangriff Sorgen, der einen flächendeckenden Stromausfall provoziert. Dann geht gar nichts mehr. Auch das Internet der Dinge, in dem Geräte übers Netz ­miteinander kommunizieren, stellt viele potenzielle Gefahren dar, von denen wir uns heute noch keine Vorstellung machen können.

Max Klaus (51) ist stellvertretender Leiter der Melde- und Analyse­stelle für Informationssicherung (Melani). Die Bundesbehörde hat den Auftrag, kritische Infrastrukturen vor Cyberangriffen zu schützen, darunter Banken, Transportunternehmen, Energieversorger oder die Telekommunikation.

Berner Zeitung

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt