27.10.2012, 07:06

Meridith Levinson

Internet-Kriminalität

Was Cyber-Kriminelle mit Ihren Daten anstellen

Wenn Ihre Daten in fremde Hände geraten, können die Folgen von einfach nur lästig bis zu sehr kostspielig reichen. ©iStockfoto/Carlos_bcn

Cyber-Kriminelle stehlen Mail-Adressen, Passwörter und im schlimmsten Fall sogar Bankdaten. Wir sagen Ihnen, was damit passieren kann und wie hoch die Gefahr für Sie wirklich ist.
Im Januar 2012 ereignete sich in den USA einer der größten Datenklau-Skandale bisher. Das Unternehmen Zappos – ein riesiger Online-Shop für Schuhe – musste seinen Kunden mitteilen, dass deren Namen, E-Mail-Adressen, Rechnungs- und Lieferadressen, Telefonnummern und die letzten vier Ziffern ihrer Kreditkartennummer durch eine Sicherheitslücke an unautorisierte Dritte gelangt sein könnten. Zappos betonte jedoch, dass "empfindliche Kreditkarten- und andere Zahlungsmitteldaten NICHT betroffen sind". Das bedeutet, dass sich die insgesamt 24 Millionen Kunden von Zappos nicht unmittelbar Sorgen wegen möglicher, ominöser Abbuchungen von ihrem Kreditkartenkonto machen müssen. Aber worum genau müssen sich die Kunden eigentlich sorgen?
Diese Gefahren drohen
Nach Angaben von Experten reichen die größten und wahrscheinlichsten Sicherheitsrisiken für Konsumenten von eher ungefährlichen aber lästigen Spam-Mails bis hin zu den schon gefährlicheren "Phishing"-Mails. Bei Letzteren tarnt sich der Absender als bekannte, vertrauenswürdige Person oder Organisation und bringt den Empfänger so dazu, auf einen Link zu klicken, der dann Malware auf den Computer des Opfers herunterlädt. Alternativ versucht der Phishing-Absender den Empfänger auch zu überreden, wichtige Passwörter, Kreditkartennummern oder andere vertrauliche Daten preiszugeben.
Die Hacker, die die Kundendatenbank von Zappos infiltrierten, konnten jedenfalls auf eine ganze Menge an Daten zugreifen. Bei "gewöhnlichen" Hacker-Attacken auf Web-Server erbeuten die Angreifer häufig nur Namen und Mail-Adressen. Doch egal ob nun im großen oder kleinen Stil, wirft der Datenklau doch einige Fragen auf: Warum sind meine Informationen für Cyber-Kriminelle so wertvoll? Welchen Geldwert haben diese Informationen? Was ist die minimale Menge an Informationen, die Cyber-Kriminelle brauchen, um damit wirklichen Schaden anzurichten? Wie lange dauert es, bis Hacker die gestohlenen Informationen ausbeuten? Welches Risiko entsteht für den Verbraucher? Und wie hoch ist eigentlich die Wahrscheinlichkeit, Opfer eines solchen Datenklaus zu werden? Mit diesen sechs Fragen wollen wir uns im Folgenden genauer auseinander setzen.

Warum sind meine Informationen für Cyber-Kriminelle so wertvoll?

Persönliche Daten sind quasi die Währung der Untergrund-Wirtschaft. Bildlich gesehen ist es das, womit Cyber-Kriminelle Handel treiben. Hacker können gestohlene Daten an eine Vielzahl von Interessenten verkaufen, darunter Identitäts-Diebe, organisierte Verbrecher-Ringe, sowie Spammer und Botnet-Betreiber, die aus den Daten noch mehr Kapital schlagen. Spammer zum Beispiel sind häufig an neuen Mail-Listen interessiert, an die sie dann ihre Viagra- und Cialis-Angebote versenden können. Ihr Geld – etwa 50 bis 80 Cent pro Benutzer-Klick – verdienen sie durch Antworten auf diese Mails und Aufrufe von Webseiten und Pop-Ups. Identitäts-Diebe hingegen könnten eine E-Mail-Adresse benutzen, um ein Phishing-Schema zu erstellen, das nach Konto- oder Kreditkartendaten fragt.
Rod Rasmussen, Präsident und CTO von Internet Identity, einer US-Internet-Sicherheitsfirma sagt, dass Cyber-Kriminelle diese Informationen untereinander handeln, um ein komplexeres Bild eines Individuums zu erstellen. "Die Idee dahinter ist, dass man Informationen über Einzelpersonen zusammenfügt, um größeren Schaden anzurichten. Man holt sich den Namen, die Kreditkartennummer, den PIN-Code, die E-Mail-Adresse und Telefonnummer aus verschiedenen Quellen und bekommt so die komplette Information."

Welchen Geldwert haben diese Informationen?

Der Wert eines Namens oder einer E-Mail-Adresse reicht von Cent-Bruchteilen bis hin zu etwa 80 Cent pro Eintrag – abhängig von der Qualität und der Aktualität der Daten. "Es fließen heutzutage so viele Daten, dass man wirklich viele haben muss, um damit auf dem Schwarzmarkt Geld zu machen", sagt Rasmussen. "Selbst Kreditkartennummern sind mittlerweile weniger als 80 Cent wert." Das mag zwar nicht gerade nach dem großen Coup klingen, wenn man diesen Betrag jedoch mit Millionen von Nutzerdaten multipliziert, summiert sich einiges an. Nehmen wir als Beispiel nur mal den Zappos-Fall: Wenn Hacker tatsächlich die Daten aller 24 Millionen Kunden entwenden konnten und auch nur fünf Millionen E-Mail-Adressen für je fünf Cent verkaufen würden... macht das mal eben 250.000 Euro auf einen Streich.
Botnet-Betreiber machen sogar noch mehr Reibach. Mal angenommen, Sie besäßen ein Botnetz, bestehend aus 100.000 Computern. Sie könnten es beispielsweise als Spammer für rund 800 Euro pro Stunde verleihen – behauptet Stu Sjouwerman, Gründer und CEO von KnowB4, einem Anbieter von Internetsicherheits-Aufmerksamkeits-Trainings in Florida. Er fügt hinzu: "Wenn Sie die 24 Millionen Kundendaten von Zappos leihen oder sogar kaufen, können Sie Malware an die neuen E-Mail-Adressen versenden. Und selbst, wenn sich nur 20 Prozent der Empfänger Ihre Malware einfangen, bedeutet das einen Zuwachs von fünf Millionen Computern in Ihrem Botnetz – mit ausgesprochen wenig Aufwand. Mit fünf Millionen Computern mehr im Botnetz können Sie nun sogar 4.000 Euro statt 800 Euro pro Stunde Spam-Versand verlangen", sagt Sjouwerman. "Diese Typen scheffeln Kohle quasi ohne Verschnaufpause."

Was ist die minimale Menge an Informationen, die Cyber-Kriminelle brauchen, um damit wirklichen Schaden anzurichten?

Sjouwerman erklärt: Alles, was Cyber-Kriminelle zu Beginn brauchen, um Schaden anzurichten, ist eine E-Mail-Adresse. Denn damit können sie den Posteingang ihres Opfers quasi mit Spam ertränken. "Um hingegen die Identität einer Person zu stehlen oder Schindluder mit einer Kreditkarte zu treiben, brauchen die Verbrecher ein Passwort, Kreditkarten- oder Sicherheitsnummern", stellt Rasmussen klar. Sjouwerman fügt hinzu: "Wenn Cyber-Kriminelle einmal die E-Mail-Adresse eines Opfers haben, locken sie die restlichen Informationen oft mit Phishing-Mails oder Malware aus ihnen heraus." Manche Malware installiert etwa eine Tastendruckerkennung, die Passwörter und Nutzernamen beim Einloggen aufzeichnet. Loggt man sich dann bei seinem Online-Banking-Konto ein, können Cyber-Kriminelle es schnell leerräumen.
"Sind hingegen nur die letzten vier Ziffern Ihrer Kreditkarte bekannt, könnten Kriminelle damit Ihr Passwort zurücksetzen", sagt Rasmussen. Einige Unternehmen benutzen etwa die letzten vier Kreditkartenziffern als PIN-Code für ein Kundenkonto und fragen dementsprechend danach, wenn das Passwort geändert werden soll. "Viel wahrscheinlicher ist aber", erklärt Rasmussen, "dass solche Daten an andere verkauft werden, die dann wiederum andere Angriffe planen."
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 1 von 2
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

- Anzeige -
Marktplatz

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

1331360
Content Management by InterRed