Uns Pfälzern wird ja gern unterstellt, wir seien allesamt genusssüchtig und Duzfreunde von Bacchus, dem Römischen Gott des Weins und der Vegetation. Das ist natürlich barer Unsinn und zeigt lediglich, dass uns unsere Mitmenschen um die Fähigkeit beneiden, genießen zu können.

Und der Genuss würde uns natürlich auch niemals die Sinne derart vernebeln, dass wir Sternchen sehen oder ähnliche Symptome zeigen. Von einer Ausnahme womöglich abgesehen: Die Geschichte, die ich Ihnen – dem Fleisch gewordenen Deutschen Mittelstand – erzählen möchte, beginnt mit einem süddeutschen Sondermaschinenbauer. Ob es sich dabei tatsächlich um einen Pfälzer handelt, ist nicht überliefert, aber auch nicht auszuschließen. Jedenfalls hat er nach einem "stilvollen" und womöglich auch weinseligen Geschäftsessen bis heute einen rotchinesischen Kater. Das Schlimme ist: Es ist absehbar, dass das blöde Vieh in regelmäßigen Abständen erneut aufkreuzt und dabei auch noch immer fetter wird. Und das noch dazu auf des Unternehmers Kosten.

Der Knaller im Video

Doch der Reihe nach! - Der Maschinenbauer ist Kunde von Götz Schartner, einem Sicherheitsexperten aus dem pfälzischen Neustadt. Und Schartner berichtete kürzlich – allem Anschein nach übrigens stocknüchtern – vom Unglück seines Auftraggebers bei einer Konferenz des Kölner Veranstalters Computas (1). Ein Mitarbeiter des Maschinenbauers war geschäftlich in Hongkong. Die abendlichen Feierlichkeiten anlässlich der erfolgreich beendeten Verhandlungen wurden auf Video festgehalten, das Ergebnis per Mail nach Deutschland geschickt. Der eigentliche Knaller aber war im Video – versteckt.

Ähnlich wie in der Erzählung um Troja, handelte es sich bei dem Video um ein ’vergiftetes’ (2) Geschenk: Beim Öffnen des Videos installierte sich eine Schadsoftware mit deren Hilfe der Angreifer die Kontrolle über das Zielsystem übernehmen konnte. Dabei fielen den Kriminellen unter anderem die Konstruktionsunterlagen des Maschinenbauers in die Hände. Und zwar nicht nur die Zeichnungen auf dem System des reisenden Mitarbeiters, sondern auch die Daten seiner Kollegen, an die er das Video weitergeleitet hatte.

Inzwischen bietet ein chinesischer Wettbewerber die gleichen Maschinen zu Dumpingpreisen an: "Die machen sich noch nicht einmal die Mühe, das Logo meines Kunden von den Konstruktionszeichnungen zu entfernen", entrüstet sich Schartner. Der Schaden allein für 2008 beläuft sich nach seinen Angaben auf 5 Millionen Euro. Und das trotz einer – so betont der Sicherheitsexperte - "guten IT-Sicherheit".

Der Fall zeigt: Es sind nicht nur anonyme Großkonzerne für Cyberkriminelle interessant. Auch mit Mittelständlern läßt sich prima Geld machen. Um deren oftmals hochgradig spezialisiertes Wissen abzuschöpfen, wird langfristig Vertrauen aufgebaut, um sie dann in einem unachtsamen Augenblick auszusaugen.

Hausbesuche bei Steuerberatern

Doch man muß nicht unbedingt nach China reisen, um sich Kriminellen als fette Beute zu präsentieren, wie das zweite Beispiel in Schartners Vortrag zeigt. So machen die argentinischen Gauner etwa auch gern bei unbekannten Kleinunternehmen Hausbesuche. Glücklicherweise nur virtuell. Diese Erfahrung jedenfalls hat ein Steuerberater aus Hessen – mittlerweile ebenfalls auf Schartners Kundenliste – gemacht. Seine 12 PC wurden mit Hilfe von infizierten PDF Dateien ausgespäht. Wieder wurden Trojaner für den Angriff eingesetzt. Platteninhalte, Tastatureingaben und Bildschirmmasken wurden innerhalb weniger Stunden auf Server nach Russland kopiert. Die Forderung über 100.000 Euro war mit der Drohung verbunden, die Mandantendaten ansonsten im Internet zu veröffentlichen; sie traf aber erst erst ein halbes Jahr später ein.

Götz Schartner’s Erklärung: Die Kriminellen hätten bei der Durchsicht der Beute festgestellt, dass die Kanzlei vorher nicht ausreichend ’flüssig’ gewesen sei. Schartner unterstreicht die hohe Professionalität der Angreifer: Sie hätten sehr gutes betriebswirtschaftliches Wissen und gute Kenntnisse Deutscher Steuerberatungssoftware nachgewiesen. Aus technischer Sicht hätte der Steuerberater "nichts falsch gemacht". Schartner rät, sich der Datev anzuvertrauen. Die Genossenschaft schleust jegliche Internetkommunikation der Nutzer von "Datevnet" durch ihre Server.

Den Schädling vielfach verwenden

Wie strategisch die Kriminellen bei ihren Beutezügen vorgehen, läßt sich am Beispiel der Attacken auf Google China skizzieren: Da werden nach Informationen (3) der Financial Times zunächst die Mitarbeiter mit spezifischem Firmenwissen identifiziert. Dann wird in den "sozialen Netzen" nach "Freunden" dieser Mitarbeiter gefahndet. Anschließend werden ihre virtuellen Postfächer geknackt und falsche Mails im Namen der Freunde an die Mitarbeiter geschickt. Die wiederum öffnen nichts ahnend die angegebenen Links und fangen sich dabei virtuelle Schädlinge ein.

Der Treiber dieser Entwicklung sind die riesigen Gewinnspannen in Höhe von tausenden Prozent, die sich hier erzielen lassen: Wer einmal einen Trojaner entwickelt, kann den beliebigen "Fachkollegen" anbieten: Diese können den Schädling in jeder beliebigen Branche, in jedem beliebigen Land und jeder beliebigen Sprache vielfach verwenden. Er muß nur jeweils in einer anderen "Trägerdatei" eingebettet werden – mal in einem Video, mal in einem PDF – je nachdem, was der Empfänger jeweils gerade so erwartet. Dadurch entwickeln sich standardisierte Abläufe, die denen der legalen Wirtschaft ähneln. Diese industrieähnlichen Abläufe führen zu einer Effizienz, die ihresgleichen sucht.

Ähnlich sieht es bei den "Fachkompetenzen" aus: "Die momentan offenkundigste Entwicklung ist die Tatsache, dass Cyberkriminelle damit begonnen haben, High- End-Virustechnologien zu entwickeln, das ist hoch komplizierte Malware, die nur sehr schwer zu identifizieren und zu entfernen ist", sagt (4) Eugene Kaspersky, Chef des Sicherheitsunternehmens Kaspersky (5).

"Social Engineering"

Das Ausnutzen der menschlichen Neugier und ähnlicher Schwächen, neudeutsch "social engineering" genannt, zählt (6) das Beratungsunternehmen Trend Micro zu den "größten Bedrohungen der IT- Sicherheit". Das alles erstaunt die Fachleute nicht mehr. Erstaunlich finde ich aber durchaus, dass inzwischen auch BWL, Deutsches Steuerrecht und die dazu gehörige Fachsoftware auf dem Stundenplan der Untergrundökonomie zu stehen scheinen. Soweit zum Stand der Cyberkriminellen im Frühjahr 2010.

Doch ist damit das Ende der Fahnenstange erreicht? Mitnichten. Zumindest John Walker glaubt an die Entwicklungsfähgkeit dieser Leute. Und Walkers Meinung hat Gewicht: Bereits in der Royal Air Force Ihrer Majestät hat er sich mit Computersicherheit beschäftigt. Mittlerweile hat er ein Sicherheitsunternehmen (7) gegründet, lehrt (8) als Professor an der Nottingham Trent University Informationssicherheit und ist Mitglied der ISACA (9), "eine" so behauptet (10) Wikipedia "anerkannte Prüfungsstelle in den Bereichen IT-Governance, Controlling, IT-Sicherheit und IT-Assurance". Walker sagt:

Die Verbrecher haben bislang ihr vollständiges Potential noch nicht erreicht. Wir sollten uns darauf gefasst machen, dass Cyberangriffe und sogar Cyberterrorismus innerhalb der nächsten fünf Jahre zu einer sehr ernsthaften Angelegenheit werden.

Offenbar sind die Erfahrungen der eingangs erwähnten Unternehmer noch nicht ernsthaft. Das wird’s erst noch. Doch selbst wenn’s der Datenmafia bislang am Ernst mangelt, haben die Mittelständler keine Chance. Und das, obwohl ihnen ihr Sicherheitsberater keine wirklichen Fehler nachweisen kann.

Kein nennenswerter Widerstand bei Ärzten, Anwaltskanzleien, Einzelhändlern, Krankenhäusern usw.

Da lohnt es, zu gucken, wie andere Freiberufler mit dem Thema Sicherheit umgehen. Neulich beim Arzt etwa: Nach der Behandlung kommen wir ins Gespräch. Ich frage ihn, wie er das so sieht, wie er seine Abläufe EDV-technisch abbildet etc... Immerhin achtet er bislang darauf, seine Patientendaten nicht ans Internet zu klemmen. Aber ansonsten sieht er das doch recht entspannt: Klar macht er seine Bankgeschäfte online. Mal in der Praxis, mal zu Hause. Ist ja so praktisch. Der rauhe Praxisalltag ließe ihm ja nun wirklich keine Zeit auch noch zwischendurch zur Bank zu rennen. Ich frage ihn, wie er ins Internet geht – als ’Administrator’ oder als ’Benutzer’. Antwort: "Admin? Benutzer? gibt’s da einen Unterschied? Ich glaub’ da wird ziemlich viel Wind um nix gemacht. Ich hab’ von ’Cyberkriminellen’ noch nie was gehört und auch meine Kollegen haben noch nie was derartiges erzählt." Ende des Gesprächs.

Mit anderen Worten: Der Arzt weiß es nicht, dass etwaiger Schadcode auf seinem Rechner die gleichen Rechte hätte wie er selbst – nämlich die des Systembetreuers. Schlimmer noch: Er will es auch gar nicht wissen – er ist beratungsresistent! Wenn der Arzt selbst so drauf ist – was stellt dann erst sein Personal so alles an?

Die nächste Frage ist: Sind die Ärzte die einzige Branche, der es an Sensibiltät für den Wert der Daten fehlt? Vermutlich sieht es in Anwaltskanzleien, Einzelhändlern, Krankenhäusern und -kassen, Lohnbüros, Versicherungsunternehmen oder beim Zoll nicht wesentlich anders aus. Ich bin mir sicher: Wer immer den ’ernsthaften’ Versuch unternimmt, die Kunden- und Mitarbeiterdaten dieser Leute zu löschen, zu manipulieren oder zu ’überschlüsseln’ (um anschließend ein Lösegeld fürs Paßwort zu erpressen) – er wird keine nennenswerten Widerstand zu überwinden haben. Jedenfalls werden die Kriminellen solche Vollpfosten zum Frühstück verspeisen, die sich nicht nur weigern, auf die veränderten Bedingungen zu reagieren, sondern sogar dem Wissen über die Veränderungen verschließen.

Diese Leute können die Empfehlung von Matthias Gärtner, dem Pressesprecher des Bundesamts für die Sicherheit in der Informationstechnik (BSI) nicht kennen:

Aufgrund der professionellen Ausführung der Angriffe sollte der Empfänger einer E-Mail hinterfragen, warum er diese Mail von diesem Absender erhält und im Zweifelsfall keinesfalls auf den Link oder Dateianhang klicken.

Aber auch das kann aber nur ein erster Schritt sein – was wir brauchen, ist eine clevere Kombination aus Bildung und der Haftung der Verantwortlichen.

Bildung bedeutet, dass sich jeder der Beteiligten seiner Verantwortung bewußt wird und nicht nur sein Handeln, sondern auch seine IT-Infrastruktur systematisch auf Schwachstellen abklopft. "Vollständige Risikoanalyse" nennt das der Düsseldorfer Sicherheitsexperte Niels Lepperhoff von der Xamit Bewertungsgesellschaft (11).

Innerhalb von fünf Jahren wird’s ernst

Haftung bedeutet, dass nicht nur die Anwender, sondern auch die Softwareentwickler, die Systembetreiber und die Politik für ihr Tun gradestehen müssen. Der Gesetzgeber hat mit denen einen Anfang gemacht, die besonders sensible Daten sammeln – Steuerberater, Ärzte und viele andere müssen ihre Mandanten und Patienten über etwaige Datenverluste seit 1. September 2009 informieren (12); tun sie das nicht, riskieren (13) sie ein Bußgeld in Höhe von 300.000 Euro oder unter Umständen auch noch mehr. Das war gut so!

Was aber ist mit Banken, die Millionen Kreditkartendaten verlieren? Wie gehen wir mit Softwareentwicklern um, die sich aus Kostengründen weigern, ihre löchrigen Systeme abzudichten? Wer ist verantwortlich, wenn ein Kessel eines Chemieunternehmens nach einer Softwarepanne platzt? Wie können Politiker haftbar gemacht werden, deren populistische Entscheidungen massive Schäden in der Informationsgesellschaft hinterlassen?

Lieber Rainer Brüderle: Sie haben Ende Januar die Initiative "Gründerland Deutschland" ins Leben gerufen (14), mit Hilfe des "mobilen Internet" wollen Sie den ländlichen Raum erschließen (15). Das alles sind prima Ideen, um dem geschundenen Mittelstand zu helfen. Ich fänd’s aber auch prima, wenn die Bundesregierung bei diesen Initiativen die Prognose von John Walker in Erinnerung behielte: Innerhalb von fünf Jahren wird’s ernst.

In der Hoffnung, dass uns ein nationales Delirium erspart bleibt, verbleibe ich

mit herzlichen Grüßen