Wenn sich Unternehmen und Behörden angreifbar machen

Für einmal ging es nicht um Geschäftszahlen. Die einzigen Ziffern, die am Dienstag Vormittag in einem Nobelrestaurant in Sursee interessierten, waren die 0 und die 1.

An einem Event zum Thema «Cyber-Security» demonstrierte und erklärte ein professioneller Hacker Vertretern von Luzerner Gemeinden und Unternehmen, welchen Gefahren sie und ihre Daten tagtäglich im Internet ausgeliefert sind.

Unternehmen und Institutionen im Visier

Das Thema ist im Kanton Luzern hochaktuell. Erst Anfang Juni wurde die Gemeinde Schlierbach Opfer eines Hackerangriffs. Kriminelle verschafften sich Zugang zum Server der 840-Seelen-Gemeinde in der Region Sursee.

«Personen aus dem Ausland sind in das System der Internettelefonie eingedrungen und haben dort kostenpflichtige Anrufe getätigt», sagte Gemeindeschreiberin Claudia Lustenberger gegenüber dem Fachmagazin «Inside-IT». Der vermutlich professionelle Angriff sei aber nach sechs Minuten erkannt und die Anlage sofort gesperrt worden. Der entstandene Schaden kann noch nicht beziffert werden.

Schlagzeilen machte vor einiger Zeit auch ein grossangelegter Angriff auf die Systeme des bundeseigenen Rüstungskonzerns Ruag mit Sitz in Emmen. Russische Hacker hatten damals rund 20 Gigabyte an Daten geklaut.

Von Angriffen betroffen sind indes nicht nur Gemeinden, sondern vor allem auch Unternehmen. Dabei können mitunter immense Schäden entstehen. Zum Beispiel, wenn sensible Kundendaten entwendet werden. Solche Angriffe können durchaus existenzbedrohend für ein Unternehmen sein.

Angriff ist schnell und unkompliziert

«Verliert ein Unternehmen sämtliche Kundendaten, kann es den Laden meistens gleich schliessen», sagte Alexandre Horvath, «Risk Engineer» bei Allianz Suisse. Oder werde zum Beispiel der Online-Shop lahmgelegt, könnten jede Stunde tausende von Franken verloren gehen.

Doch wer hat überhaupt Interesse daran, in fremde Systeme einzudringen? «Grund für den Angriff auf einen Online-Shop kann sein, dass man die Kunden von einem Konkurrenten fernhalten will, um die eigenen Produkte zu kaufen», sagte Horvath.

So passiere es immer wieder, dass Hacker in den USA am Black Friday oder hierzulande kurz vor Weihnachten die Bestellseiten von Unternehmen zum Erliegen brächten. Dies täten sie unter anderem, indem sie von einem Programm innert Sekunden abertausende Male die gleiche Webseite aufrufen liessen (siehe Video).

Dass dies ganz einfach und schnell gehen kann, zeigte Damian Pfammatter, IT Security Analyst, dem teils verblüfften Publikum, indem er sich Zugang zu einem fremden Computer verschaffte. Pfammatter arbeitet bei einer Schweizer Firma, die Unternehmen bei der Abwehr von Hackerangriffen unterstützt. «Hackerprogramme gibt es heute gratis im Internet. Jeder kann sie downloaden», so der Informatiker, der bereits in seiner Jugend das Hacken für sich entdeckt hat.

Sehen Sie im Video, wie einfach das E-Banking einer Bank lahmgelegt werden könnte.

Der «verlorene» USB-Stick

In einem zweiten Schritt stellte Pfammatter eine andere, sehr perfide Masche von Hackern vor. Der demonstrierte Angriff bedarf aber nicht nur IT-Kenntnisse, sondern ist auf die physische, tatkräftige Unterstützung des Opfers angewiesen.

Dabei installieren die Angreifer einen Trojaner auf einem USB-Stick, den sie dann beispielsweise im Lift eines grossen Unternehmens «verlieren». Die Absicht ist, dass jemand den Stick findet, ihn aufhebt und dann bei seinem Gerät einsteckt.

«Um sicherzugehen, dass ein Stick tatsächlich eingesteckt wird, schreiben Hacker diesen oftmals an. Wenn man ‹Löhne 2018› auf einen Stick schreibt, können Sie davon ausgehen, dass die Daten von jemandem angeschaut werden», so Pfammatter. Ist der Stick erst einmal eingesteckt, hat das Opfer schon verloren, denn der darauf gespeicherte Trojaner installiert sich und beginnt zu arbeiten (siehe Video). Die Anwesenden schienen überrascht zu sein, wie einfach es Hacker heute haben. Immer wieder hörte man ungläubiges Raunen im Saal.

Sehen Sie im Video, wie einfach und schnell der Trojaner vom USB-Stick Daten stiehlt:

Jedes Jahr werden Unsummen erbeutet

Während früher oft noch zum Spass gehackt wurde, seien heute fast alle Angriffe auf das Erbeuten von Geld angelegt, sagte Pfammatter. Das Business sei enorm attraktiv. Ganze 450 Milliarden US-Dollar seien 2016 durch Cyber-Angriffe weltweit ergaunert worden.

Wie gewaltig diese Summe ist, zeigt ein Blick auf das Bruttoinlandprodukt (BIP) aller Länder. Von den 190 Staaten dieses Planeten liegen rund 160 beim BIP unterhalb dieses Betrages. Gemeinden, Kantone und andere Institutionen, auch in Luzern, tun also gut daran, sich entsprechend zu schützen.

Kaum Kriminelle in der Schweiz

Trotzdem sollte man nicht in Panik verfallen. «Wer ein begabter und erfahrener Hacker ist, kann in der Schweiz heute gutes Geld verdienen. Dies ist der Grund, weshalb es in der Schweiz nur wenige Hacker gibt, die kriminelle Machenschaften verfolgen», erklärte Pfammatter. Hacker wie Pfammatter sind in der Schweiz also gefragte Leute.

Die überwiegende Mehrheit der Angriffe auf Schweizer Computer komme folglich aus dem Ausland. «China, Singapur, die USA und immer mehr auch Afrika werden zu Hacker-Hotspots», so Pfammatter. Dies mache es sehr schwierig, zu eruieren, von wo der Angriff stamme.

«Immer häufiger werden Angriffe heute zum Beispiel über Server in Nordkorea lanciert, obwohl die Täter an einem ganz anderen Ort sitzen. Um diese zu erwischen, müsste man die Server in Nordkorea vor Ort untersuchen können.» Dafür bräuchte man allerdings Zugang zu den Servern in dem abgeschotteten Land.

Zeichen der Zeit erkannt

Trotz der gewonnenen Eindrücke sollten die Besucher aber nicht mit schlechten Gefühlen nach Hause gehen. «Glauben Sie jetzt nicht, dass die ganze Welt schlecht ist und Sie deshalb nicht mehr schlafen können», wandte sich Alexander Gschwend, Generalagent der Allianz Sursee, an die Gäste, die tatsächlich ein etwas mulmiges Gefühl erfasst zu haben schien. Jedenfalls blieb es nach dem Referat für ein paar Augenblicke sehr ruhig im Saal. Wenn man ein gutes Sicherheitsdispositiv habe und dieses einigermassen aktuell halte, könne man schon viel erreichen, so Gschwend.

Die Erkenntnis, dass Cyber-Sicherheit immer wichtiger wird, hält auch in Luzern Einzug. So bietet die Hochschule Luzern ab dem kommenden Herbst den Bachelor-Studiengang «Information & Cyber Security» an. Einen entsprechenden Master gibt es an der ETH in Zürich. Den Hackern wird also auch künftig nicht einfach so das Feld überlassen.