28.08.2009 · Stunde für Stunde finden in Deutschland 1500 Angriffe auf private Computer statt. Umfassender Schutz kostet sehr viel Rechenzeit und bremst den Rechner. Oft erbeuten die Täter Kontendaten. Der Online-Raub ist ein lukratives Geschäft geworden.
Von Peter Welchering
© Michael Damm
Manchmal schaut der PC-Bösewicht aus wie der eigene Bankberater
Der Angriff kommt aus dem Netz und über größere Entfernung: Argentinien, Brasilien, China und Russland sind die Staaten, von denen aus die globale Internet-Mafia am häufigsten operiert. Zum Beispiel hat eine von Sankt Petersburg aus agierende Bande vor gut einem Jahr nahezu 25 Millionen Euro online erbeutet. Dazu „scannten“ die russischen Datendiebe zirka 430 Internet-Knotenrechner in Deutschland, sie verfolgten zum Zweck der Ausspähung die über diese Relaisstationen des Internets laufenden Datenströme. Von Knotenrechner zu Knotenrechner werden nicht nur E-Mails weitergereicht, sondern über diese Rechner laufen auch sämtliche Verbindungen von Kontoinhabern zu den Rechnern ihres Geldinstituts.
Wenn ein Bankkunde auf sein Online-Konto zugreifen will, schickt der Webbrowser vom heimischen PC aus Daten an das Rechenzentrum des Geldinstituts. Dabei wird allerdings keine durchgehende Direktleitung zwischen dem Kunden-PC und dem Bank-Rechenzentrum aufgebaut. Vielmehr werden einzelne Datenpäckchen vom Kunden-PC an den Bank-Rechner geschickt. Und die landen zunächst auf dem für den Absender nächstgelegenen Internet-Knotenrechner. Der berechnet den schnellsten Weg durchs Netz zum Bankenrechner und schickt die Datenpäckchen weiter. Das geht blitzschnell und dauert zwischen wenigen Millisekunden und einigen Sekunden, je nachdem, wie viel Datenverkehr im Internet gerade fließt und wie viel der fürs Online-Banking zuständige Rechner des Geldinstituts gerade zu tun hat.
Diebesbande aus Sankt Petersburg
Der Bankenrechner führt dann die in den Datenpäckchen beschriebenen Anweisungen aus, veranlasst also beispielsweise die Umbuchung von 100 Euro als Überweisung auf ein anderes Konto. Und er schickt eine Antwort, etwa eine Zahlungsbestätigung, an den Kunden-PC zurück. Auf solche Datenpäckchen war die Diebesbande aus Sankt Petersburg aus. Da die Inhalte der Datenpäckchen beim Online-Banking verschlüsselt sind, konnten die Online-Gauner sie nicht direkt auslesen. Aber sie konnten ermitteln, von welchen PC aus Datenpäckchen an einen bestimmten Bankrechner geschickt wurden.
Mit diesem Wissen ausgestattet, bauten sie anschließend auf einem eigenen Rechner die Internetseiten des betreffenden Geldinstituts nach. Dann leiteten sie die Datenpäckchen der Bankkunden auf den von ihnen gefälschten Bankrechner um und ließen diese vertrauenserweckend aussehenden Seiten von den Bankkunden Zugangsberechtigungen, Passwörter und Transaktionsnummern (TANs) anfordern. Mit den so erbeuteten Daten meldeten sich die St. Petersburger dann unter der Identität der getäuschten Kunden bei dem echten Bankrechner an und überwiesen von den Kundenkonten Geld auf ein eigenes Konto in Südamerika.
„Der dritte Mann“ wird diese Methode des Datendiebstahls genannt
„Man in the Middle“ oder „Der dritte Mann“ wird diese Methode des Datendiebstahls genannt. Inzwischen ist sie so verfeinert worden, dass sie auch bei indizierten TANs funktioniert und sogar dann, wenn ein eigener Zugangsrechner den Austausch von in Echtzeit ermittelten Zahlenkolonnen zur Authentifizierung verlangt. Bei der Sicherheitsabfrage von indizierten TANs wird zum Beispiel der Bankkunde aufgefordert, die laufende Nummer 78 aus einer (ihm vorher ausgehändigten) TAN-Liste einzugeben. Um diese zusätzliche Sicherheitshürde zu nehmen, verhalten sich die Datendiebe während einer laufenden Transaktion mit ihrem PC gegenüber dem Bankrechner wie ein Kunde. Dem Bankkunden am anderen Ende des elektronischen Pfades gaukelt „der dritte Mann“ vor, dass der Rechner „in der Mitte“ der Bankrechner sei. Fordert der echte Bankrechner nun die Transaktionsnummer 78 von der TAN-Liste des Kunden, fangen die Kriminellen diese Aufforderung ab. Von ihrem zwischengeschalteten Rechner geben sie eine entsprechende Aufforderung an den Bankkunden weiter, der in seiner Arglosigkeit meint, direkt mit dem Bankrechner in Kontakt zu stehen. Mit der vom Kunden empfangenen TAN können die Datendiebe nun gegenüber dem Bankrechner eine Überweisung vom Kundenkonto auf ein Konto ihrer Wahl vornehmen.
Aber was ist schon eine TAN - schließlich kann jede nur ein einziges Mal verwendet werden? In nicht wenigen Fällen quittieren die Online-Räuber eine - an sich gültige und daher für kriminelle Zwecke verwendbare - TAN-Eingabe des Kunden mit einer Fehlermeldung und fordern weitere Transaktionsnummern an. Die Nürnberger Kundin eines Geldinstituts hat Datendieben auf diese Weise sage und schreibe fünfundzwanzig TANs verraten. Mitunter fällt den Kunden beim Online-Banking noch nicht einmal auf, dass der Name ihres Geldinstituts auf den selbstgebastelten Websites der Kriminellen falsch geschrieben ist.
Sicherheitslücken in Betriebssystemen oder Kommunikationsprotokollen
Nicht immer vertrauen Online-Räuber so stark auf die Arglosigkeit von Bankkunden. Etwa 30 000 sogenannte Schwachstellenanalytiker, auch Exploit-Forscher (von to exploit wie ausnutzen, nämlich die Schwachstelle eines Computersystems) genannt, untersuchen in aller Welt Betriebssysteme, Kommunikationsprotokolle oder Anwendungsprogramme nach Sicherheitslücken. Ihre Erkenntnisse verkaufen sie an Computerhersteller, Softwarehäuser, Geheimdienste und Regierungen. Und nicht alle Exploit-Forscher stehen auf der richtigen Seite des Gesetzes. Oftmals zahlt ein Softwarehaus für eine gefundene Schwachstelle 10.000 Dollar, ein Geheimdienst aber 15.000 und legt noch einmal 20.000 Dollar drauf, wenn gleich ein Angriffsprogramm mitgeliefert wird, das diese Schwachstelle ausnutzt. Die organisierte Kriminalität greift für gute Angriffsprogramme gern noch tiefer in die Tasche. Das lässt Programmierer schon mal schwach werden.
Betriebssysteme und Anwendungsprogramme weisen immer größere oder kleinere Fehler in der Programmierung auf. „Das ist bei komplexer Software unvermeidlich,“ meint der Bonner Informatik-Professor Hartmut Pohl, der sich seit Jahren intensiv mit der Exploit-Szene beschäftigt. Nur ein Teil dieser Fehler führt zu Sicherheitslücken. Die nutzt das (oder der) Exploit aus - eine Schadsoftware jeweils für eine ganz bestimmte Lücke. „Inzwischen gibt es regelrechte Auktions-Websites, auf denen Schwachstellenbeschreibungen samt Angriffsprogrammen an den Meistbietenden versteigert werden,“ hat Pohl recherchiert.
Ganz banale Programmierfehler bei weitverbreiteter Standardsoftware
Mitunter sorgen ganz banale Programmierfehler bei weitverbreiteter Standardsoftware für riesige Sicherheitslücken. Das war etwa beim sogenannten Kiwicon-Exploit der Fall, benannt nach der neuseeländischen Stadt. Dort demonstrierte 2007 auf einer Sicherheitskonferenz ein junger Informatiker eine verheerende Schwachstelle im Internet Explorer. In dem gab es eine Softwareroutine, die im World Wide Web nach Proxy-Servern sucht, Rechner, auf denen Daten von häufig besuchten Websites bereitgehalten werden. Die Suche erfolgt automatisch. Ein gefundener Proxy-Server wurde unter bestimmten Bedingungen ebenfalls vollautomatisch und ohne Sicherheitsabfrage in die Konfigurationsdatenbank des Internet Explorers eingetragen. Jeder eingetragene Server aber gilt als vertrauenswürdig und kann die Kommunikationsbedingungen vorgeben, unter denen Daten mit dem PC ausgetauscht werden. Das machten sich Online-Diebe zunutze, indem sie den Proxy-Server einer Bank manipulierten und dem Internet Explorer von Bankkunden, die sich gerade eingeloggt hatten, vorspielten, es finde eine verschlüsselte SSL-Online-Banking-Transaktion statt.
Tatsächlich kommunizierte der Internet Explorer der Kunden aber unverschlüsselt mit dem Proxy-Server, weil ihm dies durch den automatischen Konfigurationseintrag so vorgegeben war. Die Datendiebe hatten daher beim Abgreifen der Kontendaten leichtes Spiel. Nachdem diese Schwachstelle auf der Konferenz in Kiwicon vorgestellt worden war, dauerte es ganze fünf Stunden, bis die ersten Patches (nachbessernde Programm-Updates) auf zahlreichen Web-Servern zur Verfügung standen, womit diese Sicherheitslücke im Internet Explorer geschlossen werden konnte.
Schadprogramm, das die Kopfzeilen einer E-Mail verändert
Weit verbreitet sind auch Ghost-Mailer, die sogar Schutzsoftware überlisten können. Dabei handelt es sich um ein Schadprogramm, das die Kopfzeilen einer E-Mail verändert. Das Internetprotokoll teilt den Text einer E-Mail in mehrere Datenpäckchen auf. Solche Datenpäckchen bestehen nicht nur aus den Nutzdaten, wie etwa dem Text der elektronischen Postkarte, sondern auch aus Verwaltungsdaten, die Kopfdaten genannt werden, weil sie am Anfang des Datenpäckchens stehen. Dort sind dann Informationen hinterlegt wie zum Beispiel die IP-Adresse des Absenders und Empfängers, welches Datenpäckchen dem aktuellen Datenpäckchen unmittelbar folgt und welches ihm voranging, sowie die Knotenrechner, die das Datenpäckchen auf dem Wege vom Absender zum Empfänger angenommen und weitergereicht haben. Ghost-Mailer manipulieren diese Daten, Angreifer verändern zum Beispiel die IP-Adresse des Absenders in den Kopfdaten: Statt der eigenen wird die vertrauenswürdige IP-Adresse einer Behörde verwendet. In die Nutzdaten wird etwa ein Computervirus eingesetzt. Ist das auf dem PC des Mail-Empfängers installierte Schutzprogramm so konfiguriert, dass es lediglich Absenderadressen auf ihre Seriosität prüft, nicht aber die Nutzdaten auf bekannte und verräterische Programmzeilen oder -signaturen von Schadsoftware, wird kein Alarm geschlagen. Der Rechner steht dann beispielsweise Trojanischen Pferden offen.
Trojaner sind winzige Programme. Sie bestehen oft nur aus zwei oder drei Programmzeilen und belegen kaum Speicherplatz. Wie im Epos des Homer ist die Aufgabe des Trojanischen Pferdes, nachdem es erst einmal Zugang erhalten hat, über Internetverbindungen nach und nach zusätzliche Programmteile, etwa zum Ausspähen von Kontaktdaten, auf den Rechner zu holen. In letzter Konsequenz kann es geschehen, dass der Rechner völlig „erobert“ und, von außen gesteuert, zu Attacken gegen Dritte eingesetzt wird - und der PC-Besitzer bemerkt das nicht einmal.
„Wir haben uns wie ein argloser Internetnutzer verhalten“
„Auch Kreditkarteninformationen werden auf diese Art erbeutet“, hat der Informatiker Thorsten Holz von der Universität Mannheim ermittelt. Seine Arbeitsgruppe von Computerwissenschaftlern hat genau untersucht, wie die Kriminellen im Netz vorgehen. „Wir haben uns wie ein argloser Internetnutzer verhalten“, beschreibt Holz: Die Wissenschaftler klickten sich durch alle möglichen Websites, öffneten unbekümmert die Dateianhänge von E-Mails und hatten auf ihren Versuchsrechnern nur ganz wenig Sicherheitssoftware installiert.
Mit einer eigens entwickelten Überwachungssoftware konnten die Mannheimer Computerfahnder dann feststellen, mit welcher Angriffs- oder Schadsoftware Datendiebe arbeiteten, welche Daten sie erbeuteten und wohin die Beutedaten geschickt wurden. Das Ergebnis einer nur wenige Tage lang durchgeführten Computerfahndung klingt alarmierend: Zu siebzig Sammelstellen der Online-Betrüger konnten sich Thorsten Holz und seine Kollegen Zugang verschaffen und fanden dort Kreditkarteninformationen und Kontendaten von 170 000 Opfern aus Deutschland.
Die ermittelten Daten hat Thorsten Holz an die in allen Ländern tätigen Computernotfallteams weitergeschickt, um weiteren Schaden abzuwenden. „Transparenz ist hier der beste Schutz,“ urteilt auch der Bonner Informatik-Professor Hartmut Pohl. Sicherheitslücken, die dokumentiert und veröffentlicht werden, können meist binnen weniger Stunden mit entsprechender Reparatursoftware geschlossen werden. Auktions-Websites, über die Kreditkarteninformationen oder Kontendaten gehandelt wurden, verschwanden in der Vergangenheit blitzschnell, wenn die IP-Adresse des entsprechenden Webservers veröffentlicht wurde. Und nur veröffentlichte Virensignaturen können von den Schutzprogrammen erkannt werden. Deshalb tauschen sogar die ansonsten sehr geheimnistuerischen Hersteller von Schutzsoftware derartige Informationen aus und publizieren sie.
Umfassender Schutz aber kostet sehr viel Rechenzeit
Aber es bedarf auch der Wachsamkeit des Computernutzers. Hätten die Empfänger der Ghost-Mails ihre Schutzprogramme so konfiguriert, dass Daten mit vertrauenswürdig klingender Absenderangabe nicht ungeprüft (und damit schneller) verarbeitet werden, hätten sie stets auch die Nutzdaten untersuchen lassen - Schaden wäre vermieden worden.
Umfassender Schutz aber kostet sehr viel Rechenzeit und bremst Personal Computer. Deshalb sind die Programme - die wie der Bewegungsmelder obendrein oft genug Fehlalarm geben - so unbeliebt. Zudem versprechen Hersteller von ziemlich simpel aufgebauter Schutzsoftware häufig einen viel höheren Absicherungsgrad, als ihn die eingesetzte Software erreichen kann. Beides lässt Computernutzer nachlässiger agieren, als ihnen guttut. Genau damit wird den Angreifern aus dem Internet die Sache allzu leicht gemacht.
