Zwei Tage lang war der kleine Kosmetikversand in einer rheinischen Kleinstadt offline — Hacker hatten den Web-Shop gezielt lahmgelegt. Das böse Ende: mehr als 10.000 Euro Verlust. Kriminelle nehmen im Internet zunehmend kleine und mittlere Betriebe ins Visier, weil diese keine eigene IT-Abteilung haben und sich deshalb gegen virtuelle Attacken schlechter wehren können.

Das berichtete Thomas Pütz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf einem Sicherheitspolitischen Forum des Reservistenverbandes in Mönchengladbach. Das Thema der Expertenrunde: die Verbesserung des staatlichen Krisenmanagements bei Angriffen aus dem World Wide Web. Eine neue Herausforderung liegt in der raschen Verbreitung von Smartphones, Netbooks und Tablet-PCs. Sie bieten den Cyber-Gangstern ungezählte zusätzliche Angriffsziele.

Botnetze als ein Mittel

Ein Mittel sind sogenannte Botnetze, Zusammenschlüsse infizierter PCs, die von einem Angreifer unbemerkt ferngesteuert werden. "Es gibt ein Botnetz, das 500 Ziele zeitgleich attackieren kann", sagte Pütz. Die Maschen der Betrüger seien ähnlich: In der Regel legten sie eine Art Foto über die Homepage, das dem Anwender suggeriere, sein System sei blockiert — angeblich aus Sicherheitsgründen. "Er wird aufgefordert, elektronisch für ein kostenpflichtiges Update Geld zu überweisen."

Thomas Pütz: "Dann geben die Hacker die Seite wieder frei, installieren aber heimlich gleich das nächste Schadprogramm, das sich Monate später selbst aktiviert — eine makabre Form der Kundenbindung." Es gebe eine noch bösartigere Variante: Die Angreifer verschlüsselten die Festplatte. Dadurch werde auch die Hilfe von Experten nahezu unmöglich.

"Damit wird richtig Geld gemacht", stellte Pütz fest. Die Kriminellen gäben sich unter anderem als Beamte des Bundeskriminalamts aus und täuschten vor, sie hätten strafbare Inhalte im attackierten Computer entdeckt. "Aus Angst wird dann lieber schnell gezahlt." Der Weg des überwiesenen Geldes sei in der Regel nicht mehr nachzuvollziehen, es sei verloren.

Die unheimliche kriminelle Welt, in der der Angreifer bis zuletzt unsichtbar bleibt, wird immer raffinierter: Zum Beispiel über heimlich manipulierte Werbebanner auf seriösen Internetseiten können in nur einer Stunde 10.000 Systeme infiziert werden. Die Schadprogramme, so der BSI-Experte, könnten für lediglich um die 3000 Euro illegal im Netz erworben werden, sogar inklusive eines 24-Stunden-"Reparaturservices" bei Entlarvung. Geschickte Verbrecher machten damit Millionen.

Beispiel Estland und Russland

Die Kriminalität im Internet bedrohe die gesamte Gesellschaft, ergänzte Manfred Klink vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). In Übungen wie "Lükex" (Abkürzung für Länderübergreifende Krisen-Exercise) bereiteten sich darum die staatlichen Stellen auf den Schutz kritischer Infrastruktur wie Flugverkehr, Bahn, Stromnetz oder Trinkwasserversorgung vor. Die jüngste Lükex-Übung befasste sich mit einem Hackerangriff auf das Finanzsystem; Geldauszahlungen waren danach bundesweit nicht mehr möglich. In letzter Konsequenz könnte niemand mehr Lebensmittel kaufen oder tanken — ein idealer Ansatz für Erpresser.

Dass solche Horrorszenarien nicht überzogen sind, ist bereits seit dem 6. September 2007 bekannt: Damals griffen mutmaßlich Hacker im Auftrag des Kreml wegen eines Streits um ein russisches Kriegerdenkmal den Staat Estland an. Über Millionen von mit Schadsoftware infizierten Rechnern in aller Welt wurde das Wirtschaftsleben des kleinen baltischen Staates lahmgelegt, die größte Bank des Landes drohte zu kollabieren, die allgemeine Kommunikation brach zusammen. Als direkte Folge dieses Angriffs, von Experten als "Erster Webkrieg" bezeichnet, gründete die Nato ein eigenes Cyber-Defense-Center.

Die weltweite Vernetzung schließt inzwischen sogar Fotokopierer in Büros ein, die wegen schnellerer Wartung ständig online mit dem Hersteller verbunden sind. So könne ein unbekannter Hacker Kurzschlüsse auslösen und Brände verursachen, sagen die Fachleute. Im Oktober 2011 sei gleich zweimal die Wasserversorgung in den USA Ziel eines Angriffs gewesen. Nur ein Fall sei aufgeklärt worden: Die Wasserwerke hatten einen Fernwartungsvertrag über das Internet mit einer russischen Firma abgeschlossen, einem der dortigen Ingenieure war versehentlich ein grober Steuerungsfehler unterlaufen. Der zweite Fall, offenbar eine gezielte Verunreinigung, sei indes niemals aufgeklärt worden.

Der Iran und Stuxnet

Stuxnet oder Slammer heißen die neuen Waffen — mit diesen Computerwürmern wird bereits heftig gekämpft. Stuxnet verzögerte das gefürchtete iranische Atomprogramm: Der Computerwurm soll im Januar 2010 mindestens 1000 iranische Uran-Zentrifugen in der Anreicherungsanlage Natans zerstört haben.

Dabei sei die iranische Anlage aus Sicherheitsgründen nicht ans Internet angeschlossen gewesen, berichtete BBK-Präsident Christoph Unger. Das Virus habe aber trotzdem einen Zugang zur Anlagensteuerung gefunden, vielleicht über das Notebook eines arglosen Mitarbeiters oder einen unerlaubt benutzten Stick. "Die Bundeskanzlerin hat uns gefragt, ob das auch bei deutschen Kernkraftwerken passieren könne", sagte Unger. "Angela Merkel hat keine befriedigende Antwort bekommen."

"Brauchen wir nicht ein ganz neues Internet?", so die rhetorische Frage des Präsidenten angesichts der Gefahren. Unger appellierte an die Nutzer: "Alle müssen alles dafür tun, dass ihre Computer sicher sind. Das gilt besonders für kleine und mittlere Unternehmen."

Auch die Behörden müssten sich kritisch fragen, wo ihre Schwachstellen sind, und was sie tun könnten, wenn die Computer streiken oder die Telefone ausfallen, setzte Manfred Klink hinzu. "Wir stehen der Bedrohung nicht hilflos gegenüber. Das BSI gibt beispielsweise Bürgern, Firmen und Behörden Tipps, wie sie sich schützen können."

Die Krisenstrukturen seien "grundsätzlich geeignet und eingespielt", beruhigte Klink. Die Analysen zum Beispiel von "Lükex" hätten zu einem verbesserten Meldewesen bei IT-Störungen zwischen dem Bund und den Ländern geführt; spezielle Rettungsteams von Computerexperten stünden für den Notfall in Alarmbereitschaft.