Digitale Identitäten – Bankdaten – Sicherheitslücken – Datendiebstahl: “Es handelt sich um Diebe, die Diebesgut verkaufen”
Wie sieht die Welt zwischen Datendiebstahl, kriminellen Hackern und Hehlerei von Daten aus? Es ist beispielsweise dem Hacker “CtrlAlt” gelungen, durch gefälschte Daten und einen falschen Namen ein Bankkonto zu eröffnen. Lediglich der Zugriff auf das Smartphone des Opfers stellte eine Herausforderung dar. Es gibt Trojaner-Software auf dem Schwarzmarkt, die dies ermöglicht. Hacker haben eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten entdeckt und es handelt sich um ein realistisches Angriffsszenario. Die zuständigen Behörden in der Informationstechnik wurden über die Schwachstelle informiert, sehen jedoch keinen Handlungsbedarf.
“Hacker “CtrlAlt” ist es gelungen, mit gefälschten Daten und falschem Namen ein Bankkonto zu eröffnen”
“Dem Hacker “CtrlAlt” ist es gelungen, mit gefälschten Daten und falschem Namen ein Bankkonto zu eröffnen. … Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte dem “Spiegel”, dass Hacker eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten aufgedeckt hätten und es sich um ein “realistisches Angriffsszenario” handele.”
“Hacker eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten aufgedeckt hätten und es sich um ein “realistisches Angriffsszenario” handele”
Solche Schwachstellen werden auch als “Zero Day” bezeichnet und stellen eine äußerst mächtige Waffe dar, die sogar über einem Maschinengewehr, Abfangjäger, Panzer oder Militärdrohne steht. Es handelt sich um eine Sicherheitslücke, die von Hackern oder staatlichen Institutionen genutzt wird, um Systeme anzugreifen. Wenn beispielsweise ein Geheimdienst einen Zero Day in einem Betriebssystem entdeckt hat, kann er Computer infiltrieren und Daten abgreifen sowie die Kommunikation überwachen. Jeder Nutzer sollte daher im Bewusstsein haben, dass seine Geräte möglicherweise gehackt wurden und sensible Daten kompromittiert werden könnten. Es existieren zahlreiche unbekannte Lücken – manche sind den Behörden bekannt – während andere nur Hackern oder Regierungsbehörden vorliegen. Tatsächlich ist in vielen Fällen der Staat selbst als Hacker unterwegs.
“Der Staat selbst als Hacker unterwegs ist, ist sehr umstritten”
>>Nachts im Kanzleramt von Marietta Slomka (Buch) <<
“Von einem Staatstrojaner ist die Rede, wenn staatliche Geheimdienste und die Polizei damit Verdächtige beschatten. Dass der Staat selbst als Hacker unterwegs ist, ist sehr umstritten. Denn Staatstrojaner und andere Schnüffelinstrumente sind super, solange damit die wirklich Bösen bekämpft werden, wie Terroristen oder Mafiosi. Aber was, wenn sie in die falschen Hände geraten? Oder der Staat selbst den Boden der Verfassung verlässt und Lust hat, Oppositionspolitiker, Journalisten und normale Bürger ohne guten Grund zu bespitzeln?”
“Staat selbst den Boden der Verfassung verlässt und Lust hat, Oppositionspolitiker, Journalisten und normale Bürger ohne guten Grund zu bespitzeln”
Die Hersteller erfahren meist erst dann von diesen Schwachstellen in ihren Systemen, wenn sie nicht mehr attraktiv für Hacker sind oder Informationen ungewollt nach außen gelangen wie beim Ransomware-Angriff WannaCry. Diese Lücken nennt man Zero Days – da sie bis dato niemandem bekannt sind und noch kein Patch zur Schließung der Lücke existiert. Cyberangriffe hängen davon ab ob Angreifer eine Schwachstelle ausnutzen können indem sie sogenannten „bösen Code“ schreiben – auch als „Exploit“ bezeichnet.
“Gibt es unter den Zero Days viele Lücken, die man als eine Art »Schläfer« bezeichnen kann”
>>Internet of Crimes von Gerald Reischl (Buch) <<
“Der »Zero Day Exploit Attack« (ZETA) ist ein Angriff, der an dem Tag erfolgt, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software entdeckt wird. In diesem Fall wird die Schwachstelle ausgenutzt, bevor sie vom Softwarehersteller durch einen Fix geschlossen werden kann. Allerdings gibt es unter den Zero Days viele Lücken, die man als eine Art »Schläfer« bezeichnen kann. Die entsprechenden Zero Day Exploit Attacks werden erst dann durchgeführt, wenn sie für den Hacker, den Geheimdienst, das Militär oder eine Behörde von Nutzen sind. Für viele Zero Days ist der Tag X nämlich noch nicht gekommen. Zero Days sind schon seit etwas mehr als zehn Jahren ein gängiges Mittel, um Gegner anzugreifen.”
“Zero Days sind schon seit etwas mehr als zehn Jahren ein gängiges Mittel, um Gegner anzugreifen”
Ein Angriff mit Hilfe eines solchen Exploits erfolgt am Tag der Entdeckung einer neuen Software-Schwachstelle – dem sogenannten „Zero Day Exploit Attack“ (ZETA). Dabei wird die Schwachstelle ausgenutzt bevor der Softwarehersteller durch ein Update reagieren kann. Daneben gibt es jedoch viele versteckte Lücken unter den Zero-Days, die erst zum Einsatz kommen, wenn diese für Hacker, nationale Dienste, das Militär bzw. Behörden nützlich erscheinen. Für gewöhnlich dürften die Behörden durch Datenankauf an solche Exploits gelangen, vergleichbar wie es mit anderen Informationen geschieht.
“Der Verkauf gestohlener Bankdaten ist – nicht nur in der Schweiz – strafbar”
“Ein Mitarbeiter der Credit Suisse hatte eine erhebliche Menge an Kundendaten gesammelt. Zufällig erfuhr ein Bekannter davon und wies ihn darauf hin, dass man damit Geld machen könne. Dies taten die beiden, indem sie im Jahr Februar 2010 einen Datenträger mit Informationen über deutsche Konteninhaber, die berühmt-berüchtigte »Steuer-CD«, an den deutschen Fiskus verkauften (was der sich immerhin 2,5 Millionen Euro kosten ließ!). Zum eigenen Nutzen geriet ihnen dies nicht. Denn der Geldeingang auf einem ihrer Konten im Ausland wurde als die Bezahlung der geklauten Daten identifiziert und ihre Identität den Schweizer Behörden offen gelegt. Beide wurden zu Haftstrafen verurteilt. Denn eines muss man wissen: Der Verkauf gestohlener Bankdaten ist – nicht nur in der Schweiz – strafbar. Es handelt sich um Diebe, die Diebesgut verkaufen.”
Hehlerei: “Es handelt sich um Diebe, die Diebesgut verkaufen”
Eigentlich stellt Hehlerei eine Straftat dar. Zugleich wird damit auch der Grundstein für einem illegalen Markt gelegt. Das Hacken von IT-System, Verkauf von Sicherheitslücken und Daten wird erst durch Einsatz von Steuergeld richtig attraktiv. Statt Kriminalität zu bekämpfen, wird also ein Subventionsprogramm aufgelegt, womit sich organisierte Kriminalität erst bilden kann. Allgemein ist eine fehlende Sicherheitskultur zu beobachten.
“Ämter dürfen Daten verkaufen”
“Ämter dürfen Daten verkaufen – Meldeämter dürfen personenbezogene Daten zu Werbezwecken oder für den Adresshandel an Unternehmen weitergeben. … Zu den Daten, die weitergegeben werden dürfen, gehören Familienname, Vornamen, Doktorgrad, derzeitige Anschriften und Informationen darüber, ob der Betreffende verstorben ist.”
“Zu den Daten, die weitergegeben werden dürfen, gehören Familienname, Vornamen, Doktorgrad, derzeitige Anschriften … ”
Es ist natürlich deshalb paradox, weil auf der anderen Seite emsig vor Identitätsdiebstahl gewarnt wird. Bezeichnenderweise steht für Betroffene zwar ein Entschädigungsanspruch zu, aber dieser ist nur schwer juristisch durchsetzbar und die gezahlten Summen sind meist kaum der Rede wert.