Das Buch wird ein Bestseller. Es hat die narrative Sprengkraft von 30 Tatort-Folgen und bietet ein abwechslungsreiches Menü an Themen. Der Autor knüpft einerseits an Erfahrungen aus dem Alltag seiner Leserschaft einerseits an; andererseits gibt er Einblick in die Welt von Hackern, wo sich Geheimdienste, Nationalstaaten und wohlmeinende „Ethical Hackers“ tummeln. Das Buch setzt kein technisches KnowHow voraus, verzichtet auf technische Buzzwords. Kurz: Es lässt sich sehr einfach lesen.

“Internet of Crimes. Warum wir alle Angst vor Hackern haben sollten“ von Gerhard Reischl, REDLINE Verlag, 300 Seiten, 1. Auflage Juni 2020, Gebundenes Buch 20 Euro

Das Buch des IT-Sicherheitsexperten und Journalisten Gerhard Reischl versteht sich natürlich nicht als Ferienschmökerbuch mit Unterhaltungswert à la Tatort. Er will seiner Leserschaft auch keine Angst machen. Ihm gelingt es vielmehr, sehr umfassend und kompakt auf 300 Seiten für alle betroffenen Bereiche unserer Lebens- und Arbeitswelt die Risiken aufzuzeigen, die von Hackern ausgehen. Der Autor Reischl liefert Zahlen, Statistiken und gibt zahlreiche Beispiele. All das verständlich aufbereitet auch für technische Laien. Reischl will sensibilisieren, er fordert einen umsichtigen Umgang mit sensiblen Daten, mit dem Internet. Reischl meint den Untertitel des Buches sehr ernst: „Warum wir alle Angst vor Hackern haben sollten.“

Das Buch betrachtet die gesamte Breite der Risikofelder. Das beginnt bei Cybermobbing, Cybergrooming, Kinderpornographie und Deep Fakes auf Basis des Bildmaterials, das wir täglich auf Facebook & Co hochladen. Der Autor betrachtet das Dark Web sowie die Hackerszene. Es geht auch um Attacken auf unser Gesundheitssystem. Jüngstes Beispiel: Angang 2020 – in der Hochzeit der Covid Krise – gelang Hackern ein erfolgreicher Angriff auf die Universitätsklinik im tschechischen Brünn. Alle Rechner mussten abgeschaltet werden. Alle Patienten, die auf moderne Geräte und Systeme angewiesen waren, mussten in andere Krankenhäuser verlegt werden.

Der Autor behandelt auch Risiken rund um Alexa und Co. Oder: Wie sieht der Banküberfall 2.0 aus? Reischl spricht über Social Engineering, Connected Cars sowie Risiken für Luftfahrt, Schifffahrt und sogar „Cyberhacker im Aerospace“. Man muss sicherlich nicht alles lesen, es ist ein Buffett von Themen, die allesamt sehr gut erläutert werden. Viel Spaß beim Lesen!

Internet of Crimes: Wie das Dark Net funktioniert

Surface Web, Deep Web, Dark Web. Was ist der Unterschied? – Verkürzt lässt sich sagen: Alle Seiten, die mir eine Suchmaschine anzeigt, zählen zum Surface Web. Es sind die frei zugänglichen Seiten. Dem steht das sogenannte Deep Web gegenüber, das – Schätzungen zufolge – etwa 400 bis 500 Mal größer als das Surface Web ist. Das Deep Web umfasst zum einen all jene Seiten, die sich hinter einer „Bezahlschranke“ oder „Passwortschranke“ befinden: Der Abo-Content einer Tageszeitung, Uni-Portale für Studierende oder Firmennetzwerke.

Das Dark Web wiederum ist Teil des nicht frei zugänglichen Deep Web. Man benötigt hierfür den spezifischen Browser, einen Client. TOR ist das Akronym für The Onion Router und steht für das „Zwiebelprinzip“ unzähliger Schichten, die ein Datenstrom durchwandert. Dies garantiert allen Nutzern des Dark Web im Grunde vollständige Anonymität. Diese Anonymität wird durchaus auch für „gute“ Zwecke genutzt: Journalisten können heikle Recherchen anonym durchführen, Whistleblower können anonym in Verbindung treten mit Medienhäusern. Diese Anonymität führt aber auch dazu, dass das Dark Web ein Umschlagplatz für alles ist, was Illegal ist: Drogen, Waffen, Kinderpornographie, gehackte Daten und mehr. Gezahlt wird mit Kryptowährungen, vorzugsweise Bitcoin; auch das wahrt die Anonymität.

”Cyberwaffen kann man in Darknet-Shops fast so einfach kaufen wie einen Tetrapack Milch im Supermarkt.“ (S. 15)

Das Dark Net ist der „Wilde Westen des Internet“. Die Umsätze steigen kontinuierlich an, daran ändert auch die ein oder andere erfolgreiche Razzia der Ermittlungsbehörden nichts. Das Bild „Wilder Westen“ trifft es auch deshalb, da die hier kriminelle Energie der Akteure ungebremst aufeinandertrifft. So liest man verblüfft Folgendes: “Wenn man sich etwa (…) die Liste der aktiven und aktuellen Marktplätze und Shops abruft, fällt auf, dass alle aktiven Marktplätze unter einer Vielzahl von Adressen aufrufbar sind. Das hat damit zu tun, dass die Marktplätze ständigen Attacken ausgesetzt sind – von Mitbewerbern, der Exekutive oder anderen Kriminellen, die dem Marktplatz einen (Image-)Schaden zufügen wollen.“ (S. 72).

Der mobile Kommunikationsdienst Telegram hat sich inzwischen zum mobilen Dark Web entwickelt. Der Kommunikationsdienst bietet höchsten Schutz der privaten Konversationen und Schutz der privaten Daten. Technische Features sind etwa eine Selbstzerstörungsfunktion von Nachrichten in sogenannten geheimen Chats, für derlei Nachrichten findet auch keine Speicherung statt. Unter diesen Bedingungen entwickelte sich etwa ein florierender Drogen-Schwarzmarkt, oder auch Stellenanzeigen für illegale Jobs (z.B. Firmenspionage).

Internet of Crimes: Was wir über international Hackergruppe wissen

Bei Hackerangriffen sind die Motive häufig wirtschaftlicher oder auch politischer Natur: Es geht darum, Geld zu erpressen (Ransomware). Oder Zugriff auf ein Online-Bankkonto zu erlangen. Staatliche Akteure hingegen sind interessiert an Wirtschaftsspionage sowie Kontrolle über wichtige Infrastruktur eines anderen Landes. In manchen Fällen geht es Hackern auch nur darum, Chaos zu stiften.

Ein Großteil von Hackerattacken geht dabei auf das Konto von Organisierter Kriminalität (nach einer Studie 2019 des US-amerikanischen Unternehmens Verizon ca. 40 Prozent). Etwa ein Viertel von Hackerattacken lässt sich demnach staatlichen Akteuren zurechnen.

Staatliche Akteure (im Zusammenspiel mit deren Geheimdiensten) haben hierbei unterschiedliche Kapazitäten. Zu den 10 schlagkräftigsten Playern im Hackathon der Nationalstaaten zählen die USA, China, Russland, Israel, Frankreich, Deutschland, UK, Australien, Kanada, Neuseeland. Viele Hacker agieren dabei in Hackergruppen, die weithin bekannt sind. Die sehr effiziente chinesische APT1 etwa hat sich auf Wirtschaftsspionage spezialisiert. Die nordkoreanische Lazarus-Gruppe steckte hinter der Wanna-Cry-Attacke in 2017. Die mit dem NSA verbundene Equation Group soll eine der bestausgestatteten Hackergruppen der Welt sein.

Hackerangriffe wie die „Wanna-Cry“-Attacke oder die „Emotet“-Attacke richten weltweit Milliardenschäden an. Die Schadensszenarien können hierbei noch in ganz anderen Dimensionen ausfallen. Reischl beschreibt etwa auch folgenden Vorfall: “Es ist nicht nachgeweisen, ob es eine, zwei oder drei separat voneinander agierende Hackergruppen gewesen sind (…), die im Mai 2017 in Computernetze von US-Unternehmen eingedrungen sind, die Kernkraftwerke und andere Energieanlagen sowie Produktionsstätten in den Vereinigten Staaten und anderen Ländern betreiben. Zu den Zielunternehmen gehörte unter anderem die „Wolf Creek Nuclear Operating Corporation“, die etwa ein Kernkraftwerk nahe Burlington im Bundesstaat Kansas betreibt.“

Internet of Crimes: Wofür Zero Day Exploits bei Hackerangriffen dienen

Die sogenannten Zero Day Exploits sind Schwachstellen in einer Software, die bislang nicht (öffentlich) bekannt sind. Diese Schwachstellen sind das Einfallstor für Hackerangriffe, auf diesem Weg werden Viren, Würmer oder Trojaner in einer Software platziert.

Schwachstellen entstehen durch Fehler im Programmiercode. Nicht jeder Fehler bietet zwingend eine Angriffsfläche für eine Hacker-Attacke, aber manche Fehler sind sicherheitskritisch. Nach einer Studie der Carnegie Mellon Universität weist eine kommerzielle Software im Schnitt 20 bis 30 Bugs pro 1000 Zeilen Code auf. Ein modernes Auto hat ca. 130 Mio. Zeilen Code, das entspricht also 2,6 bis 3,9 Millionen Fehlern. Diese Zahl ist erstaunlich hoch. Diese Fehlerquote deutet aber auch darauf hin, dass im Schnitt keine ausreichende Qualitätssicherung angewandt wird. Denn nach Einschätzung des Software-Guru Steve McConnell machen Programmierer im ersten Anlauf zwar zwischen 10 bis 50 Fehler je 1.000 Programmierzeilen. ABER: Mit Qualitätsmaßnahmen lässt sich der Anteil auf 0,5 Fehler je 1.000 Zeilen reduzieren. Die Ergebnisse der Studie der Carnegie Mellon Universität sind insofern ein alarmierendes Zeichen hinsichtlich der Qualitätssicherung bei der Softwareentwicklung.

Hacker freuen sich natürlich über derlei Schlamperei. Nun muss man an dieser Stelle ergänzen. Es gibt auch die „guten Hacker“, sogenannte Ethical Hacker. Sie weisen Organisationen und Unternehmen auf Schwachstellen hin. Auf der Plattform „HackerOne“ sind etwa 300 000 „Ethical Hacker“ registriert. Der Brasilianer Santiago Lopez gilt als einer der besten “Ethical Hacker“ der Welt. Und wenn diese „Ethical Hacker“ eine Schwachstelle (z.B. einen Zero Day Exploit) finden, dann erhalten diese dafür ein sogenanntes „Bug-Kopfgeld“. Anfang 2019 fand Lopez einen Exploit, der dem betreffenden Unternehmen ein Bug-Kopfgeld von einer Million US-Dollar wert war. Ein Rekord.

Dem stehen die Kaufpreise für Zero Day Exploits auf dem Schwarzmarkt gegenüber. Dafür interessieren sich – vergleiche oben – die Organisierte Kriminalität, Geheimdienste undsoweiter. Und auf dem Schwarzmarkt – etwa der Plattform „Zerodium“ – werden Preise von bis zu 2,5 Millionen Euro (sic!) gezahlt. Das dürfte klar machen, wie der Kampf „Gut gegen Böse“ aussieht. Und 2,5 Millionen Euro muss nicht das letzte Wort sein. Reischl schreibt weiter: “Im Jahr 2018 kostete ein Zero-Day-Exploit für ein iPhone mit dem Betriebssystem iOS 11 (…) mehr als zwei Millionen Dollar. Und die Preise sollen sich seither noch vervielfacht (sic!) haben.“

Internet of Crimes: Deep Fakes

Vermutlich ist jeder schon einmal über den Begriff Deep Fakes gestolpert: Es handelt sich um manipulierte Videos oder Sprachaufnahmen. In einem Deep Fake Video wird das Gesicht eines im Video agierenden Menschen durch das Gesicht eines anderen Menschen ersetzt. Man nimmt also etwa das aufgezeichnete Video-Interview eines Politikers und ersetzt das Gesicht des Politikers durch das Gesicht einer anderen Person. Deep Fakes werden mit hohem Rechenaufwand von Neuronalen Netzwerken („Deep Learning Netzwerken“) generiert. Daher kommt auch der Name: Aus einer Verschmelzung der Begriffe „Deep Learning“ und „Fake“.

Das Missbrauchspotential dieser Technologie ist offensichtlich. So werden etwa die Gesichter von prominenten Frauen in pornographische Videos projiziert. Tatsächlich sind es ausschließlich Frauen, die Opfer von Deep Fake Pornovideos werden. Und es gilt: 96 Prozent der Deep Fake Videos im Internet sind Pornoclips.

Auch mit Deep Fake Sprachspuren ist das Mißbrauchspotential erheblich. Der erste Mißbrauchsfall ereignete sich Anfang 2019: Ein Mitarbeiter in der Finanzabteilung eines Unternehmens erhält einen (vermeintlichen) Anruf des CEO. Der Chef ordnet eine Überweisung auf ein Fremdkonto an. Die Summe: 240 000 Dollar.

Was man sich im Zusammenhang mit Deep Fakes bewusst machen sollte. Das „Rohmaterial“ für Deep Fakes ist jenes Bild- und Videomaterial, das öffentlich (und schlecht geschützt) im Internet zur Verfügung steht. Und tatsächlich kann es jeden treffen. Wussten Sie: Allein auf Facebook (!) werden pro Sekunde 4000 Fotos hochgeladen. Das sind 350 Millionen Fotos pro Tag.

Es drängt sich die Frage auf, ob angesichts des Mißbrauchspotentials nicht ein Verbot der Technologie angemessen wäre. Das, so Reischl, ist allerdings keine so triviale Frage, wie es erscheinen mag. Denn es ergibt sich ein ethisches Dilemma: “Diese Technologie (…) bedeutet für manche Menschen einen echten Gewinn an Lebensqualität. Denn es gibt eine Vielzahl von Krankheiten, von der Motoneuro-Erkrankung, über Multiple Sklerose und Zerebralparese bis hin zu ALS, in deren Verlauf die meisten Patienten irgendwann auf Unterstützung beim Sprechen angewiesen sind. Dank der mittlerweile ausgefeilten Technik können sie kommunizieren und werden besser verstanden.“ (S. 46)

Zum Weiterlesen

Digitalisierung: 7 spannende StartUps im Bereich Cyber Security

Pleiten, Pech und Pannen in der IT: Wenn der Albtraum Realität wird

Erfolgsrezept für die Entwicklung Sicherer Software

Sebastian Zang
Author

Der Autor ist Manager in der Softwareindustrie mit internationaler Expertise: Prokurist bei einem der großen Beratungshäuser - Verantwortung für den Aufbau eines IT Entwicklungszentrums am Offshore-Standort Bangalore - Director M&A bei einem Softwarehaus in Berlin.