Die gefährlichen Ecken des Internets: Wie Sie sich vor den Datenpiraten schützen

Das Internet ist zum Tummelplatz für Betrüger und Datendiebe geworden: Die neuesten Tricks und der beste Schutz vor Datenklau.

Werner K. konnte den Sommer heuer nicht genießen. Am Wetter lag’s aber nicht. Erst kaufte ein dreister Online-Dieb mit seiner Kreditkarte ein. Den Schaden beglich zwar die Kreditkarten­firma, doch die Hunderte Euro teure Profi-Säuberung des verseuchten Notebooks musste er selbst bezahlen. Dann stellte er fest, dass er in seiner Facebook-Gemeinde einen Freund wohl zu vorschnell „akzeptiert“ hatte. Der schnappte ihm jetzt einen Auftrag vor der Nase weg, „dank“ seiner Kontakte. Die Sorgen des 40-jährigen Grafikers sind so symptomatisch wie alltäglich für die Millionen Internetnutzer. Je mehr sich unser Leben ins Digitale verlagert, umso mehr müssen wir uns auch mit den Schattenseiten auseinandersetzen. Die Segnungen der vernetzten globalen Kommunikation wissen die Bösen mindes­tens so gut zu nutzen wie die Guten. Allein in Österreich, so die konservativen Schätzungen der A-Cert-Initiative, werden 56 Milliarden E-Mails pro Jahr verschickt. Dabei werden Geschäftsberichte, Bilanzen oder Lohnkonten gedankenlos angehängt. Ob der digitale Verkehr sicher ist, fragt kaum jemand. Im Schnitt sind nur ein Drittel der Mailserver auf dem letzten Stand der Technik und gewährleisten ­sicheren E-Mail-Austausch.

Virenjäger orten Kleinattacken
So achtlos die Nutzer sind, so aufmerksam werden die Entwicklungen von den professionellen Sicherheitsanbietern verfolgt, die den globalen Datenströmen permanent auf den Puls fühlen und fast jährlich neue Negativrekorde verkünden müssen. Konkretes Ziel statt planloser Angriffe. Die Virenjäger des Security-Konzerns Symantec blocken monatlich 245 Millionen Angriffe ab. Unruhig macht die Experten weniger die schiere Zahl als vielmehr die offensichtlich geänderte Strategie der Virenschreiber. Statt Massenangriffen werden zielgerichtete Kleinattacken mit neuen Virenstämmen gefahren, die noch trickreicher über Mails, Dokumente, File-Sharing oder einfach über USB-Sticks verteilt werden. Selbst wenn die menschliche Grippe stündlich mutieren und sich über reinen Augenkontakt verbreiten würde, wäre das im Vergleich dazu Zeitlupentempo.

Surfen birgt Gefahren  
Die gewohnte Regel „Aufpassen bei Downloads“ gilt nicht mehr. Schadsoftware kommt unbemerkt beim Surfen. 48 Prozent der Sexseiten sind derart verseucht. Bei diesen Drive-by-Downloads werden Programme ohne Wissen des Nutzers auf dem Rechner ­installiert. Und die sind unterschiedlichst programmiert: So wird die eigene Rechnerleistung missbraucht, um gezielte Großattacken auf Websites zu fahren, oder die Software protokolliert die Tastatur­anschläge mit und sendet sie an fremde Server, wo dann nützliche Daten wie Passwörter und Bankverbindungen rausgefiltert werden.

Gefährliche Freun­de  
Soziale Netzwerke sind für Hacker eine neue und einträgliche Spielwiese. Die Nutzer glauben sich in einem abgeschlossenen Bereich und haben die Tendenz, hier mehr Vertrauen zu schenken. Dabei geben sie Fotos und intime Informationen preis, weil sie nicht damit rechnen, dass praktisch jeder auf die ­Informationen zugreifen kann. Die Facebook-Variante der berühmten „Nigeria-Mails“ funktioniert so: einen User-Account hacken und die „Freunde“ um Geld für eine Notsituation bitten. „Soziale Netzwerke werden zurzeit zweifach infiltriert“, sagt Symantec-Experte Stefan Wesche. „Über eingeschleus­ten Schadcode oder gefälschte Profile. ­Dafür werden meist Promis oder in Firmen wichtige Personen herangezogen.“

Hacker am Werk
Software-Konzerne wie Microsoft ­ha­ben sich über die Jahre daran gewöhnen müssen, dass ihre Programme beliebte Zielscheiben für Angreifer sind. Sie haben hochgerüstete Sicherheitsabteilungen und investieren jährlich viele Millionen Dollar in die Abwehr. Vergleichsweise jungen Unternehmen wie Facebook oder Twitter fehlt die­ses historische Bewusstsein ebenso wie die finanziellen Mittel zur Gegenwehr. Sie machen gerade die Erfahrung, was es heißt, Ziel oder Waffe eines Hacker-Angriffs zu sein. Wesche: „Jetzt beginnen sie aber massiv in die Security zu investieren.“ Der Microblogging-Dienst Twitter wurde erst unlängst zur Steuerung eines Botnetzes verwendet, im Prinzip eine elegante Fernbedienung für Hacker, die Millionen von Rechnern über Twitter-Feeds steuerten. Da Facebook von seinen Usern (noch) kein Geld bekommt, ist man permanent auf der Suche nach neuen Erlösquellen und lässt dabei auch schon mal „Untermieter“ ins Haus, die unter dem Deckmäntelchen der Werbung ziemlich raffiniert Daten erfragen. Games, vorgebliche Gewinnspiele oder kleine IQ-Tests dienen als Vorwand, um den leider noch immer naiven Usern allerhand ­Privates zu entlocken. Auch hier wird ein Prinzip aus dem realen Leben auf die Online-Welt übertragen. Daten von Gewinnspielen wandern 1:1 in die Datenbanken von Adresshändlern und werden für Marketing-Zwecke weiterverkauft.

Neun von zehn Nachrichten Müll  
Einen Negativrekord der besonderen Art stellt die unverlangt zugesandte Werbepost dar. Im Juni dieses Jahres waren neun von zehn Mails Spam. Doch die Belastung des weltweiten Netzwerkes ist ­enorm, verbraucht Energie und Leitungskapazität und verursacht Kosten in Milliardenhöhe. Benutzern mit einem gut eingestellten Spamfilter kann es eigentlich egal sein. Indes verfeinern die Spammer laufend ihre Methoden, um nicht im Spamfilter hängen zu bleiben. Mit Meldungen zu Jacksons Tod oder Informationen zur Schweinegrippe bringt man die User zum Anklicken der Nachricht, und wer das Pech hat, mit seiner Adresse – sei es durch eigenes Verschulden oder Viren­attacke – auf einem Werbeverteiler zu landen, wird zurzeit wieder einmal von einer Welle extrem professioneller personalisierter „Marketing“-Mails terrorisiert. Von scheinbaren Gewinnen bis hin zur privaten Krankenversicherung reicht die Palette. Und alles ist seismografisch fein auf die Befindlichkeiten der Web-Gemeinde abgestimmt. Hoch im Kurs: Jobangebote und in den USA viele Refinanzierungsangebote für Hypotheken. Das Spammer-Geschäft ist ein globalisiertes Business.

Einblicke mit Brisanz
Als es einem US-Richter vor ein paar Monaten gelang, dem Provider „Pricewert LLC“ endlich den Saft abzudrehen, verringerte sich das weltweite Spamauf­kommen binnen eines Tages um zwei ­Drittel! Unter seriösem Provider-Deckmantel wurden für die „Kunden“ auch Kinderpornos und geklaute Musikfiles verteilt und verseuchte Websites mit riesigen Botnetzen, Heerscharen gekaperter Rechner, betreut. Die in dem Fall öffentlich gewordene Konversation zwischen Händlern gab einen seltenen Einblick in die Szene. Einer der „Kunden“ beschwerte sich etwa, wie viele Rechner er kapern müsse, um auf 500 Dollar Gewinn täglich zu kommen. Solche Schläge sind selten, und die meisten Diensteanbieter sind ­bereits wieder online. Wesche: „Man kann die Server meist nur kurzzeitig blockieren. Die Anbieter ziehen weiter, und es gibt ­leider genug Länder, in denen sie rechtlich nicht belangt werden können.“ Die illegale Karawane zieht weiter und ist in Russ­land wie auf karibischen Inselchen genauso zuhause.

Kinderleichte Tricks
Es sind nicht nur abgebrühte Hacker, die ihre Schneisen durch das Internet ­ziehen. Es reichen oft simple Ideen, gepaart mit einer Portion Leichtgläubigkeit aufseiten der User. Das Beispiel der kürzlich verurteilten drei Jusstudenten aus Göttingen zeigt, wie einfach der Beschiss selbst für Laien ist. Auf legalem Wege besorgten sie sich bei einem Adressbroker 600.000 Datensätze. Diesen Personen schickten sie Spammails mit fingierten Rechnungen von 86 Euro. Zahlbar mit ­einem Klick über eine gut gemachte Website. Beute: immerhin 130.000 Euro.

Gesamtschäden sind massiv
Freilich, die Gesamtschäden, die durch solche Angriffe entstehen, können nur ­annäherungsweise bilanziert werden. In Deutschland belief sich der volkswirtschaftliche Schaden durch Viren und Datenmissbrauch auf 18 Milliarden Euro, schätzte die „Information Week“. Für Österreich existieren keine Rechnungen, der Faktor 10 kann aber angenommen werden, glauben Experten, also 1,8 Milliarden. Allein der Wert der auf dem virtuellen Schwarzmarkt angebotenen Dienstleis­tungen und Waren machte laut Symantec im letzten Jahr 276 Millionen Dollar aus. Die Kreditkarten auf den Untergrund-Servern hatten 2008 eine „Deckungssumme“ von 5,3 Milliarden Dollar. „Wirklich seriös kann man die Schäden nicht bemessen“, gibt Experte Wesche zu, „die Dunkelziffer ist einfach zu hoch.“

Rechtsfreier Raum? 
Gefasst werden die wenigsten, und in die Schlagzeilen schaffen es nur noch die spektakulärsten Betrüger. Wie ein Amerikaner letzte Woche mit seiner Rekordbeute von 170 Millionen Kreditkartendaten. Die Verfolgung im Netz ist ein Katz-und-Maus-Spiel, das technisch als auch juristisch schwer zu gewinnen ist. Die Prämisse „Was im echten Leben strafbar ist, ist es auch im Netz“ gilt natürlich. „Die faktische Rechtsdurchsetzung hinkt dem ­theoretischen Recht hinterher“, sagt IT-­Experte Axel Anderl von der Kanzlei ­Dorda Brugger Jordis. „Die Anbieter sitzen im fernen Ausland, und in greifbarer Nähe gibt es keine Ansprechpersonen.“ Die Problematik juristischer Streitfragen entzündet sich wiederum an den Social Networks. Wenn eine US-Firma in Österreich Daten erhebt und in der EU keine andere Niederlassung hätte, würde nationales Recht zur Anwendung kommen.

Einfache Theorie, komplizierte Praxis
Das klingt in der Theorie gut, ist aber wenig praktikabel und wirft nur weitere Themen auf: Ist das Eingeben von Daten vom User selbst nun schon eine „Er­hebung von Daten“ im Inland? Und selbst wenn österreichisches Recht anwendbar ist und ein inländisches Gericht oder eine Verwaltungsbehörde zuständig ist: „Wie will man das vollstrecken“? Anderl kann das Missbrauchspotenzial der Social Networks immer wieder beobachten. Die Rechtsdurchsetzung für den einzelnen User ist aber sehr schwierig. Seine Einschätzung: „Die Medienarbeit und Negativ-PR hat hier die Funktion der staatlichen Vollstreckung übernommen.“ Er erinnert an die lebhafte Diskussion der geänderten Geschäfts­bedingungen auf Facebook im Frühjahr. „Der Druck der User hat gewirkt. US-Firmen reagieren sehr sensibel auf schlechte Presse.“ So hinken die Datenschutzgesetze dem bunten Treiben im Netz aber chronisch hinterher.

Rechtshüter in Österreich
In Österreich ist die Datenschutzkommission für Einhaltung der Bestimmungen des Datenschutzgesetzes zuständig. Zwar rühmt sich die ­behördliche Stelle, älteste Datenschutz­behörde Europas zu sein, trotzdem ist das Gesetz noch weit davon entfernt, den ­EU-Richtlinien zu entsprechen. Deswegen ist für 2010 eine Novelle geplant. „Im Entwurf finde ich vereinzelt positive Punkte. En gros muss man aber sagen, dass die Novelle die Privatsphäre zu wenig schützt und sich mit absurden Details aufhält“, urteilt Hans Zeger, Obmann der Arbeitsgemeinschaft Daten (ARGE Daten). Zu den sozialen Netzwerken hat der Autor der Buches „Paralleluniversum 2.0“ eine differenzierte Meinung: „Ich bin grundsätzlich ein Befürworter sozialer Netzwerke, aber es müssten zum Schutz der Privatsphäre Gesetze geschaffen werden. Wenn Personalchefs im Netz nach privaten Daten fahnden und deswegen einen Menschen nicht einstellen, ist das schlichtweg Diskriminierung“, findet er. Sein Pendant in Deutschland, der Datenschutzbeauftragte der Regierung Peter Schaar, forderte unlängst etwa, dass die Bildrechte der Fotos auf den Social Networks nicht auf die Seitenbetreiber übergehen sollen.

Datenstaubsauber
Der Datenschutz ist jetzt auf der EU-Agenda gelandet. Analysten schätzen, dass bis Ende 2012 über 100 Millionen Europäer in sozialen Netzwerken aktiv sein werden. Allein von 2007 auf 2008 stieg die Zahl um 35 Prozent auf 42 Millionen. Wiewohl der Datenschutz in der EU gemeinhin höher gehandelt wird als in den USA, hat sich die Staatengemeinschaft noch nicht auf einheitliche Standards einigen können. Bis das der Fall ist, bleiben Datensammler die Goldgräber des Internets – und in ihrer Arbeit weitgehend unbehelligt. Bei Cookies denken die meisten User noch immer an fette Kekse. Tatsächlich ist das beim Internetsurfen akzeptierte Miniprogramm der Datenstaubsauger der Marketing-Firmen. Ein legaler, wohlgemerkt. Wer Cookies akzeptiert, lässt seine Surfgewohnheiten protokollieren. Das ist bequem, weil die Internetseiten den User „wiedererkennen“. Der Komfort hat seinen Preis. Firmen gewinnen damit digitale Dossiers von den Usern, und die werden zu Marketingzwecken (wem verkaufe ich was?) verwertet. So sammelt etwa Yahoo! 110 Milliarden Datenfragmente pro Monat (!), hat comScore errechnet. Das Internet suggeriert Anonymität, die es so nicht gibt. Über die sogenannte IP-Adresse kann über den Provider der ­Be­sitzer des Internetanschlusses ausfindig gemacht werden. Diese Daten dürfen in Österreich zwar nur auf richterliche Anweisung herausgegeben werden, wenn schwer wiegender Verdacht naheliegt.

Daten werden verewigt
Die Grenzen zwischen Datenschutz und Offenlegung sind aber nicht immer einfach zu ziehen. Dass Verleumdung offensichtlich schwerer wiegt als die freie Meinungsäußerung, musste diese Woche eine US-Bloggerin feststellen. Sie hatte die „Vogue“ verrissen, und Google gab ihre Identität den Behörden preis. Wer in Frankreich dreimal etwa beim Musikklauen erwischt wird, dem dreht der Staat das Netz ab. Werner hat den Stecker selbst gezogen, sein Netzwerkprofil gelöscht. Doch so einfach ist auch das nicht. Der Betreiber hat sich nämlich das Recht vorbehalten, seine Daten „aufzuheben“. Und wer weiß, ob Werner nicht bald E-Post erhält. Mit an Sicherheit grenzender Wahrscheinlichkeit sind seine Daten längst im Glückstopf der Marketing-Industrie gelandet. Was einmal ins Netz kommt, ist dort „verewigt“.

Von Carolina Burger, Barbara Mayerl

Das Gros der Kunden bucht seinen Sommerurlaub in den Monaten Jänner bis März. Der Rest bucht in letzter Minute.
#urlaub #internet #reise
 

Internet

Urlaub in letzter Sekunde

Warum Apple 3,2 Milliarden Dollar für Kopfhörer ausgegeben hat, die man nicht braucht - und warum sich der Beats-Deal für den Konzern trotzdem lohnt.
#beats apple
 

Börse International

Warum Apple 3,2 Milliarden für den Beats-Deal zahlt

Das Auto soll mit Elektromotor ausgestattet werden und
#Google #Elektroauto
 

Innovation

Google baut selbstfahrende Autos ohne Lenkrad