IT-Experte: «Hacker kann man nicht finden»

Professionelle Hacker haben die Computer des Departements für auswärtige Angelegenheiten angegriffen. Die Spezialisten sind tagelang damit beschäftigt, die schädliche Software, genannt Malware, zu finden (20 Minuten Online berichtete). Das überrascht den Cybercrime-Experten Stefan Frei von der ETH Zürich nicht. «Solche Angriffe wird es in Zukunft vermutlich vermehrt geben», sagt er. In den letzten Jahren habe sich Cybercrime professionalisiert und kommerzialisiert, die Grenzen zu Cyberwarfare (dem Krieg im Internet zwischen politischen Akteuren) ist fliessend. Inzwischen würden auch bei Cyber-Angriffen industriemässig Arbeitsteilung und Spezialisierung betrieben, schreibt Frei als Autor in einem Aufsatz. Das benötigte Spezialwissen werde eingekauft.

Bei Angriffen auf spezifische Ziele wie Regierungen oder Firmen, sogenannte High value targets, haben laut Frei Virenschutzprogramme kaum eine Chance. Massgeschneiderte Schadsoftware (customized malware) wird solange angepasst, bis sie Virenscanner nicht mehr erkennen. «Im Untergrund gibt es Online-Dienste, die Malware automatisch gegen alle bekannten Virenscanner prüfen», sagt Frei. Oder man kauft die ganze Lösung gleich extern ein: «Malware wird auf dem Netz mit einer Geld-zurück-Garantie angeboten. Erkennt sie ein Virenprogramm sechs Monate nach dem Kauf, bekommt der Käufer sein Geld zurück oder die neuste und verbesserte Version der Malware.» Die Qualität der Schadprogramme hängt unter anderem von der Höhe der Investitionen ab. Je höher der Wert des Ziels, desto mehr darf die Malware-Entwicklung kosten, und die Schadsoftware ist dementsprechend schwieriger zu identifizieren.

Das Einschleusen einer solchen Malware kann auf verschiedene Wege erfolgen. Das Ziel wird dabei direkt anvisiert, beispielsweise mit einer personalisierten E-Mail. Dank Informationen über die Zielperson — zu finden unter anderem auf Facebook — kann ein Angebot kreiert werden, das der Empfänger anklicken wird. Am Ende des Links wartet eine infizierte Webseite, erstellt nur für das Ziel des Hackers. Beim grossen Angriff auf das EDA und das Staatssekretariat für Wirtschaft Ende 2007 haben die Hacker beispielsweise E-Mails mit einem Fotowettbewerb verschickt, dessen Webseite im Look des Bundes daherkam.

Ist die Malware einmal im gewünschten Netzwerk, kann es lange dauern, bis sie entdeckt wird. «Eine der wenigen Konstanten solcher schädlicher Programme ist, dass sie früher oder später eine Verbindung nach draussen aufnehmen müssen», sagt Frei. Dort setzen Programme an, die Malware entdecken können. Einfach ist aber auch das nicht: Denn die Kommunikation findet verschleiert statt. So gibt es Trojaner, die ihre Befehle als Bilder empfangen. Die Malware holt sich mit einem normalen Webrequest, wie ihn jeder Webbrowser ständig abschickt, ein Bild von einem Server, sagt Frei. Im Bild eingebaut sind Befehle zur Steuerung des Programms.

Die Sperrung der Internet-Verbindung nach der Entdeckung der Malware, wie sie auch beim EDA durchgeführt wurde, ist ein sinnvoller Schritt: «Solange man nicht weiss, wie das Programm nach aussen kommuniziert, kann so ein weiterer Schaden verhindert werden», sagt Frei. Haben die Spezialisten die Kommunikationsart entdeckt, können sie sich dadurch auch auf die Suche der Hacker machen. Doch Frei räumt den Strafverfolgungsbehörden wenig Chancen ein: «Einen professionellen Hacker kann man nicht finden, wenn er nicht gefunden werden will.» Die einzige Chance sei ein Fehler aus Dummheit oder Nachlässigkeit, sagt Frei. Oder wenn der Hacker mit seiner Tat angibt.