Digitaler Bankraub: „Low and Slow“

Ein Bankeinbruch im Berliner Stadtteil Steglitz hielt im Jahr 2013 Berlin in Atem – monatelang hatten Einbrecher einen Tunnel in den Tresorraum einer Bank gegraben. Dort angekommen brachen sie mehrere hundert Schließfächer auf und entkamen mit ihrer Beute durch den Tunnel. Ein Raub, der umso spektakulärer ist, weil das Verbrechen in Zeiten des Internets doch sehr altmodisch wirkt. Der moderne Verbrecher sitzt am Schreibtisch, sucht sich über das Internet einen Weg in die Rechenzentren einer Bank und schlägt hier zu.

***

Doch in zwei wichtigen Punkten ähneln sich die Verbrechen damals und heute – die Angreifer kommen „Low and Slow“ und die Verluste sind für die Opfer schwer zu schätzen. Aber während die altmodischen Verbrecher einen Tunnel und Arbeitsgerät zurück lassen sind die Hightech-Gangster anders organisiert. Sie hacken im Internet Server, sie hangeln sich von Maschine zu Maschine – immer mit der Absicht ihre Identität und den Weg ihres Angriffs zu tarnen. Haben Sie schließlich die Ports ihres Opfers gefunden erfolgt der Angriff meistens sehr langsam und versteckt. Über Wochen oder Monate verteilt prüfen sie die Firewalls auf Schwachstellen, klopfen verschiedenste Netzwerkgeräte ab. Oder sie versuchen Zugang auf die Geräte eines Mitarbeiters zu bekommen – um von hier aus ins Netzwerk einzudringen. Sobald sie den Zugang entdeckt haben loggen sie sich in die Applikationen und Datenbanken ein und finden die Beute – beispielsweise Kontoinformationen, Kundenadressen, Kreditkartendaten.

***

Später, auf dem Rückzug durch das Labyrinth der Unternehmensnetzwerke hinterlassen sie alles möglichst so, wie sie es vorgefunden hatten. Gute Cyberangreifer löschen alle Spuren aus den Datenbanken, aus den Routern und Speichern rückwärts bis zu den Proxyservern, die sie für den Angriff genutzt haben. Sicherheitsspezialisten halten es für praktisch ausgeschlossen, einen professionellen Angreifer durch das Internet zu verfolgen. Falls es den IT-Abteilungen eines angegriffenen Unternehmens überhaupt auffällt, dass sie Opfer eines Verbrechens geworden sind. Nach verschiedenen Schätzungen bemerken bis zu Zweidrittel der Unternehmen nicht einmal, dass ihnen Einbrecher Daten gestohlen haben. Bis die virtuellen Alarmglocken anspringen haben die Angreifer die Systeme schon lange wieder verlassen. Jetzt übernehmen die Ermittler und versuchen in den Systemen die Spuren der Attacke zu finden.

***

Keine leichte Aufgabe – ein weltumspannender Konzern betreibt Rechenzentren und Netzwerke auf allen Kontinenten mit tausenden Servern und Router die rund um die Uhr laufen. Zehntausende Mitarbeiter greifen gleichzeitig auf die Netzwerke und die Datenspeicher zu. Im Takt von Millisekunden überträgt das Unternehmen Datenströme in Produktionen und Niederlassungen. Es verschickt Bestellungen und Überweisungen an Partner oder Banken, Mails und Dokumente an die Mitarbeiter, Auftragsbestätigungen oder Rechnungen an die Kunden. Die Forensiker wissen, dass dieses Rauschen der Daten die ideale Tarnung ist, aus der die Angreifer zuschlagen – und in die sie wieder verschwinden. Hier beginnen sie nach einem – möglicherweise – winzigen Datensatz zu suchen, den die Einbrecher beim Rückzug übersehen haben und der Hinweise auf die Tat liefern könnte.

***

Die Ermittler treten gegen Täter an, die sie selber als „brillant“ bezeichnen. Sie wissen, dass die Angreifer immer geschickter werden – und das sie vor allem darauf vertrauen müssen, dass die Gegner einen Fehler machen. Und genau diesen einen Fehler zu finden ist aufwändig und kompliziert. Es ist von Beginn an aussichtslos den Eindringling über eine manuelle Suche zu finden. Wahrscheinlicher ist, dass die Auswertungen der Datenbanken mit den Logfiles zu einem Ergebnis führen. Finden die Ermittler hier keine Spuren, werden die Untersuchungen richtig teuer. Die Experten betonen, dass der Einsatz einer Big Data-Lösung meistens der letzte mögliche Schritt ist, um Hinweise auf die Täter zu bekommen. Allerdings ist diese Entscheidung nicht einfach – Big Data ist so aufwändig und so teuer, dass es die Entscheidung des Managements ist, dieses Werkzeug zum Einsatz zu bringen.

***

In den Big-Data-Systemen suchen die Algorithmen nach Anomalien in den Netzwerkdaten. Um allerdings aus diesen Anomalie zu schließen, dass es sich um einen Angriff oder gar um einen Straftatbestand handelt gehört viel Aufbereitung und Datenanalyse. Am Ende muss die Forensik in Millionen Daten ein Muster finden, dass auf einen Angriff schließen lässt – etwa weil es dem Muster früherer Angriffe gleicht. Erst dann können die Ermittler dem Management bestätigen, dass es einen Angriff gegeben hat. Der nächste Schritt ist herauszufinden, was konkret passiert ist und wer der Angreifer sein könnte; dann berechnen die Ermittler die Höhe des Schadens.

***

Schließlich diskutieren IT-Abteilung, Sicherheitsverantwortliche, Rechtsabteilung und das Management die Frage, ob sie den Vorfall öffentlich machen – etwa in dem das Unternehmen die Beweise gegen die mutmaßlichen Angreifer zusammen stellt und sie anzeigt. Typischerweise werde dieser Gedanken verworfen, berichten verschiedene Experten unabhängig voneinander. Die Liste der Gründe ist lang und jedes Unternehmen fällt diese Entscheidung aus seiner jeweils eigenen Perspektive heraus. Häufig fürchtet das Management um die Marke und den Ruf und beschließt die Einbrüche zu verschweigen. In anderen Organisationen warnt die Rechtabteilung vor juristischen Konsequenzen, weil durch den Angriff persönliche Daten von Kunden oder Mitarbeitern verloren gegangen sind. Nach der Analyse der Indizien und Beweisketten raten Anwälte oft von einer Klage ab. Ihre Sorge ist, dass die Beweise vor den Gerichten nicht stand halten. Denn auf der Gegenseite verlassen sich die Angreifer auf spezialisierte Anwälte, die die Schwächen der Unternehmensnetzwerke und der IT-Abteilungen sehr gut kennen. Wie Experten berichten reiche schon der Nachweis, dass ein notwendiges Update nicht installiert ist aus, um einen Prozess platzen zu lassen.

***

Am Ende suchen die Unternehmen das Gespräch mit den Angreifern. Nach der Vermittlung durch die Anwälte lernen Ermittler und Angreifer sich kennen, man schüttelt sich die Hände und beschließt – nach einer Vereinbarung über eine gewisse Summe als Schweigegeld – sich in Zukunft aus dem Weg zu gehen.

Christian Raum / Veröffentlicht im Jahr 2013, Magazin „Business Impact“

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s