Wir sind alle digital vernetzt. Und damit auch digital verwundbar. Heutzutage lauern Wegelagerer nicht mehr hinter den Büschen, sondern verstecken sich hinter verlockenden Links, die die Tür zu allem, was uns lieb und teuer ist, weit öffnen....
Text: Hans van Wetering Porträt: Anke Meijer.
UPGRADE
In der Woche vor dem Interview mit dem Journalisten und Schriftsteller Hans Klis im Anschluss an seine Storytel Original-Podcastreihe Gehackt! über berühmt-berüchtigte Hacks und Cyberkriminalität, bekomme ich eine Whatsapp-Nachricht. Es ist meine Tochter: "Hey Papa, ich habe eine neue Nummer, anderer Anbieter, war viel billiger" (Smiley, zwinker, zwinker). Und etwas später: "Ich habe ein kleines, dringendes Problem... Ich komme nicht in mein Online-Banking und muss eine Rechnung bezahlen... Ich wollte fragen, ob du das vielleicht vorstrecken kannst. Sobald ich mich selbst einloggen kann, schicke ich es Ihnen zurück!" Mehr Smileys. Da ich die Nässe spüre, frage ich nach dem Vornamen der Oma. "Was ist das denn für eine komische Frage, Papa?", kommt sofort die Antwort, "ich bin mit der Bearbeitung der Rechnung schon in Verzug!" Es ist eine bekannte Masche. Meine Tochter war in Wirklichkeit eine zwielichtige Gestalt, die irgendwie in den Besitz unserer Daten gekommen war. Das Erschreckende daran: Es ist wirklich so, wie meine Tochter schreibt. Ich weiß, dass es diesen Betrug gibt, und doch bin ich für einen kurzen Moment verblüfft.
"Cyberkriminalität ist oft auch sehr persönlich", sagt Klis. "Ransomware und Phishing sind ein großes Problem. All die Nachrichten, die Sie verschicken und von denen Sie nicht wollen, dass jeder sie sieht, die Fotos Ihrer Kinder, als sie noch klein waren... Sie erhalten Zugang zu Ihrem gesamten Leben. Deshalb muss die digitale Sicherheit ein so wichtiges Thema sein."
FLUGTICKET
Klis kam mit der Welt der Hacker in Berührung, als er für BNN-VARA eine Dokumentation über Nordkorea drehte. Bei ihren Recherchen über die Finanzströme des Regimes stießen sie auf eine riesige Cyber-Hacking-Operation. Diese lief über Bitcoins und in Form eines digitalen Raubüberfalls auf die Bank of Bangladesh, bei dem versucht wurde, die Bank um eine Milliarde Dollar zu bringen.
"Aber es ist ein großer Irrtum, dass dies hauptsächlich etwas ist, das große Unternehmen und Regierungen betrifft", sagt Klis. "Wir geben eine Menge Informationen preis. Wir sollten besser über unsere Passwörter nachdenken, besser darüber nachdenken, was wir in den sozialen Medien teilen, nicht mehr ein Bild von unserem Flugticket posten und sagen: "Hey, schöne Reise nach New York!" Und dann jemanden für Sie einchecken zu lassen. Identitätsbetrug ist eine Gefahr. Wir haben keine Ahnung, wie verwundbar wir tatsächlich sind, auch weil wir wenig darüber wissen." Am meisten habe ihn bei seinen Recherchen zur Cyberkriminalität überrascht, sagt Klis, wie allgegenwärtig sie in unserem Leben ist und dass wir eigentlich nie darüber nachdenken. "Dass sie so groß ist und so viel in der Welt betrifft."
Und ja, er ist selbst vorsichtiger geworden. Vor der Kamera seines Laptops befindet sich ein Slider. Manchmal legt er sein Telefon weg, wenn er etwas Sensibles bespricht, "weil das im Grunde ein Abhörgerät ist". Diese Geschichte ist keine urbane Legende. "Es wurde festgestellt, dass saudische Dissidenten auf der ganzen Welt über Spionagesoftware auf ihren Telefonen abgehört wurden", sagt er.
Er selbst sei noch nie gehackt worden, sagt Klis, "aber das sage ich lieber nicht, denn dann sieht man nur, dass es Leute gibt, die denken: Ach nein? Dann probiere ich es trotzdem aus!" Das heißt aber nicht, dass er nie Opfer eines Datendiebstahls wurde. "Ich habe herausgefunden, dass meine persönlichen Daten aus sieben sehr großen Datenlecks herausgespült wurden. Dazu gehören Geburtsdaten, meine E-Mail-Adresse und Passwörter, die ich bei diesen Diensten verwendet habe. Also habe ich sie alle geändert. Meine Kreditkarte wurde zeitweise auch von anderen Personen benutzt."
Ob Ihre eigenen Daten jemals in einer solchen obskuren Datenbank gelandet sind, können Sie leicht über die Website www.haveibeenpwned.com. Geben Sie die E-Mail-Adresse oder die Handynummer ein und Sie werden sehen, ob sie falsch ist. Meine eigene Mailadresse taucht in fünf Datenbanken auf. Das erklärt wahrscheinlich die App von "daughterlove". Meine Daten sind dort unter anderem durch Hacks von Dropbox (2012) und LinkedIn (ebenfalls 2012) gelandet, wie ich sehe. Die Größe einer der Datenbanken ist unfassbar: mehr als vier Milliarden Benutzerkonten von 1,2 Milliarden Einzelpersonen.
SCHWARZE JUGEND
"Gleichzeitig gibt es aber auch eine sehr professionelle Seite, die mit Schwerverbrechern zu tun hat", sagt Klis. "Die Carbanak-Bande, über die ich in der Serie berichte, arbeitete mit der russischen Mafia zusammen und raubte Geldautomaten aus. Das betraf mehr als hundert Banken, weltweit. Insgesamt eine Milliarde Dollar."
Zahlreiche Regierungen und Unternehmen sind in den letzten Jahren Opfer von Ransomware geworden. Während Corona gab es sogar Versuche, Krankenhäuser auf diese Weise zu erpressen. Und dann ist da noch die Angst, dass wichtige Infrastrukturen angegriffen werden. "Man will wirklich nicht, dass sie in Borssele eindringen. Iranische Hacker sind bereits in amerikanische Dammsysteme eingedrungen. Der NotPetya-Virus, der 2017 die Ukraine heimsuchte, legte viele Kraftwerke lahm."
Allerdings ist das Bewusstsein für die Gefahren inzwischen viel größer, auch bei den Regierungen, sagt Klis. "Eine der fünf Geschichten in der Podcast-Reihe ist die von Diginotar: das in Beverwijk ansässige Unternehmen, das gehackt wurde und plötzlich dafür sorgte, dass die Menschen im Iran dachten, sie würden sich in ihr Gmail einloggen, aber in Wirklichkeit verwanzt waren. Die Regierung hatte keine Ahnung, was es mit Diginotar auf sich hatte. Das ist jetzt ein Jahrzehnt her. Jetzt betont die Regierung mit Nachdruck, dass digitale Sicherheit eine Versicherung für etwas ist, das in der Zukunft passieren könnte. Und wenn Sie als Regierung dann Kürzungen vornehmen, politische Ziele erfüllen oder Ihre Zielvorgaben für ein Unternehmen einhalten müssen, ist die digitale Sicherheit eigentlich ein Klotz am Bein. Man muss viel Geld hineinstecken, und gleichzeitig weiß man nie, ob es genug oder zu viel ist."
Es ist ein Wettrüsten, sagt Klis. Es ist positiv, dass es ein größeres Bewusstsein für die Gefahren gibt. Andererseits stützt sich unsere Gesellschaft zunehmend auf eine digitale Infrastruktur, was zu zusätzlichen Schwachstellen führt. Außerdem entwickelt sich die Technologie immer schneller. "Vor zehn oder 20 Jahren wurden Programme alle paar Monate aktualisiert, um Schwachstellen zu beseitigen. Jetzt ändern Unternehmen wie Facebook wirklich ständig Dinge, schreiben Code, und dann schleichen sich natürlich Bugs ein."
GUTE HACKER
Schwachstellen, die Unternehmen und Regierungen dann versuchen, aufzuspüren, indem sie eigene Hacker anheuern. Es gibt auch Unternehmen, wie das im Silicon Valley ansässige niederländische Unternehmen HackerOne, bei denen man Hacker anheuern kann, um Schwachstellen in der eigenen Software zu entdecken. Die so genannte Zero-DaysSchwachstellen in neuer Software, die einem Entwickler nicht bekannt sind und gegen die sich noch niemand gewappnet hat. "Der Stuxnet-Virus, mit dem die Regierungen der USA und Israels (2010) versuchten, das iranische Atomprogramm zu sabotieren - auch er ist in der Serie enthalten -, nutzte beispielsweise vier Zero-Days aus. Und wenn Sie einen Zero-Day in neuer Software von Apple finden, können Sie damit richtig viel Geld verdienen. Bei HackerOne ist auch ein Mann dabei, der vorbestraft war und jetzt schon eine Million über die Plattform dort verdient hat."
Wir wussten schon vor langer Zeit von einem solchen Hacker-"Überläufer" in den Niederlanden. Im Jahr 2001 wurde die Anna Kournikova-Virus -so genannt, weil Ihr Computer infiziert wurde, sobald Sie auf das in einer E-Mail verschickte Bild des russischen Tennisstars klickten- eine Million Computer weltweit. Als der 18-jährige Jan de Wit aus Sneek schließlich vom FBI entlarvt wurde, bot ihm der Bürgermeister der Stadt prompt einen Job an.
Er habe den Virus in wenigen Stunden erstellt, erzählt der junge Hacker, mit einer Toolbox, die er aus dem Internet heruntergeladen habe. "Das ist immer noch so", sagt Klis. "Für ein paar Euro kann man online einen so genannten DDoS-Angriff bestellen, der die Website eines anderen Unternehmens unzugänglich macht. Man kann Ransomware im Internet kaufen. Es liegen fertige Softwarepakete herum: Es ist eine Dienstleistungsindustrie."
Eine Branche, in der die Wahrscheinlichkeit, erwischt zu werden, relativ gering ist. Es kommt aber durchaus vor, dass ein Täter gefunden wird. Wie in der CoinVault-Fall im Jahr 2018. Dabei ging es um zwei niederländische Jungen, die Ransomware verschickt hatten. "Es ist sehr anonym", sagt Klis. "Die Täter haben kein Gesicht. Man weiß auch selten, aus welcher Ecke der Welt der Hacker kommt. Das macht die Strafverfolgung ohnehin kompliziert. Im Jahr 2018 wurden die Olympischen Spiele in Südkorea gehackt. Es gab starke Hinweise darauf, dass es Russen waren, aber es gab Dinge im Code, die es so aussehen ließen, als wären es Nordkoreaner gewesen. Oder Chinesen. Das ist eine interessante Dimension dieser Spionagehacks: Es wird so unklar, wer es getan hat. War es der Iran? Ist es jemand, der vorgibt, der Iran zu sein? Ist es eine kriminelle Organisation? Ist es die Regierung selbst?"
Was die Spionage angeht, so sehen wir ohnehin nur die Spitze des Eisbergs, meint Klis. Das klingt alles nicht sehr hoffnungsvoll, aber zu pessimistisch muss man nicht sein, findet er jedenfalls. "Für die Serie habe ich auch mit Leuten von Google und Mozilla (bekannt für den Webbrowser Firefox) gesprochen, die sagen 'wir sind jetzt wirklich aufgewacht'." Das Ziel seines Podcasts sei es jedenfalls nicht, den Leuten Angst zu machen, betont Klis. "Aber es ist nicht schlecht, ein bisschen Angst zu haben, denke ich. Ich hoffe vor allem, dass der Podcast die Leute bewusster macht, und ja, auch ein bisschen Angst."
BREAKING HACKS
Im Jahr 1999. Vielleicht der erste Virus, der den Menschen bewusst machte, dass Computer doch nicht so sicher sind. Aus Langeweile von einem Programmierer aus New Jersey zusammengebastelt (übrigens derselbe, der dem FBI half, den niederländischen Urheber des Anna-Kournikova-Virus zu entlarven). Jeder infizierte Computer leitete den Virus an 50 weitere weiter. Ein Fünftel aller Computer auf der Welt war infiziert.
Im Jahr 2006 brachte ein Hacker aus China eine Software auf Computern in der ganzen Welt an, die es ihm ermöglichte, diese aus der Ferne zu steuern. Auf diese Weise gelang es ihm, geheime Informationen von Organisationen und Unternehmen aus mehr als 14 Ländern zu stehlen. Verteidigungsunternehmen, die UNO, die WADA (Anti-Doping-Organisation), das IOC - sie alle waren Opfer.
Einem iranischen Programmierer gelang es 2011, mit gefälschten Sicherheitszertifikaten (wenn Sie eine Website besuchen, die kein solches Zertifikat hat, erhalten Sie sofort eine Warnung) Menschen weltweit glauben zu machen, sie würden sich bei Google oder Yahoo anmelden. So konnte er alle gesendeten E-Mails einsehen und private Informationen stehlen.
Im selben Jahr 2011 wurde klar, dass ein Hack eine Menge Geld kosten kann. Ein Hacker drang in das eigene Netzwerk von Play Station ein. Das Ergebnis: Diebstahl der persönlichen Daten von 77 Millionen Nutzern und ein gestörtes System. Play Station war 20 Tage lang gesperrt und verlor geschätzte 170 Millionen Dollar.
Hacker einer russischen regierungsnahen Hackergruppe, so zumindest der Verdacht, drangen im Jahr 2020 über automatische Updates der Firma Solarwind (Netzwerksoftware) in die Computersysteme von Behörden und Unternehmen weltweit ein. Microsoft musste einräumen, dass die Hacker sogar an den heiligen Gral, den Quellcode, gelangt waren. Inzwischen ist das Ausmaß und der Schaden immer noch nicht ganz klar, und auch nicht, ob es vollständig vorbei ist...
German 
Dutch 
English