Welche Personen sind für Cyber-Kriminelle besonders interessant?

Das sind zum einen Personen aus Politik und Wirtschaft. Menschen mit Einfluss, Macht und häufig auch Geld. Zum anderen sind das auch alle naiven und sorglosen Personen im Internet. Man kann sie ziemlich leicht dazu bringen, Informationen preiszugeben, die es uns ermöglichen, sie zu erpressen oder sie direkt zu hacken.

Ist es leicht, Daten im Internet zu stehlen?

Moment, ich würde in diesem Zusammenhang nicht unbedingt von Diebstahl sprechen. Zahlreiche Daten zu Privatpersonen und Unternehmen sind öffentlich. Wir leben in dieser Zeit der «Pseudo-Transparenz», wo man alles über jeden wissen will. Aber Transparenz bedeutet auch, dass viele Informationen verfügbar sind, was gut, aber auch sehr schlecht sein kann. Wenn ich also versuche, Daten über eine «Zielperson» zu bekommen, macht das aus mir noch keinen Dieb. Natürlich habe ich einige Tricks, um bei Bedarf mehr über sie zu erfahren.

Wie intensiv forschen Hacker vor einem Angriff?

Es gibt verschiedene Szenen und damit auch Methoden. Die «Skript-Kiddies» gehen opportunistisch vor. Wenig Recherche, sondern Angriff auf die breite Masse. Andere Hacker führen gezielte, operative Angriffe durch, die keine Fehler erlauben. Dabei muss man sich auch als Angreifer immer im Hinterkopf behalten, dass man mit dem Feuer spielt. Man kann sich Landesregierungen zum Feind machen, die Staatspolizei, Banken oder bestimmte Unternehmen, die sich ohne Zögern zur Wehr setzen. Die virtuelle Welt ist keine Demokratie; es herrscht das Recht des Stärkeren.

Wie ködern Sie potenzielle Zielpersonen?

Wenn man eine Person über die Gefahren des Internets informiert, ist die erste Reaktion in der Regel «Man muss ein Idiot sein, um auf die Tricks hereinzufallen». Tatsächlich leben wir in einer Welt, in der die Kultur der Ich-Bezogenheit und Selbstsucht zum Standard geworden ist. Schmeicheln Sie, verführen Sie, verzaubern Sie auf subtile Weise, und Sie erhalten alles, was Sie von Ihrer Zielperson wollen. Daher sind soziale Netzwerke für uns ein wahres Schlaraffenland. Um mehr über eine Zielperson zu erfahren, erzeugen wir falsche Profile auf Facebook, Twitter oder LinkedIn. Wir geben zum Beispiel vor, eine attraktive Frau zu sein, und besuchen bewusst Profile von Männern. In sehr kurzer Zeit verschafft uns diese einfache Methode eine beeindruckende Anzahl neuer Kontakte. Man kann auch vorgeben, ein potenzieller Geschäftspartner zu sein, oder mit der Zielperson flirten. Im Laufe der Zeit erhalten wir auf diese Weise private Angaben wie Adressen oder sogar Informationen über die finanzielle Situation einer Person.

Was machen Sie mit diesen Informationen?

Wir sammeln diese Daten und vertiefen unser Wissen über die Zielperson über Wochen oder sogar Monate. Häufig werden die Opfer mit uns über ihre brüchige Beziehung, über die Probleme mit ihren Kindern oder auch ihre ausserehelichen Verhältnisse reden. Jede derartige noch so kleine Information, die den ethischen Vorstellungen der breiten Masse widerspricht, ist ein Geschenk des Himmels, um unsere Zielperson zu erpressen. Wir können die Opfer auch bitten, uns unter falschem Vorwand Geld oder sensible Daten zu schicken. Wichtig ist, die emotionale Verletzlichkeit eines potenziellen Opfers zu erkennen und im richtigen Moment auszunutzen.

Erleichtern Ihnen die Smartphones die Arbeit?

Absolut. Es wäre ein Fehler, diese ausser Acht zu lassen, zumal sie häufig weniger gut geschützt sind. Der grösste Vorteil des Smartphones ist, dass die Zielperson es immer bei sich trägt. Wenn man es dann tatsächlich über verschiedene Wege schafft, eine Spionagesoftware zu installieren, eröffnet sich uns eine neue Welt. Man hat dann Zugriff auf das Mikrofon, auf Kameras, auf Passwörter für WLAN-Netzwerke, sogar auf das VPN, um Zugang zum Intranet des Arbeitgebers zu bekommen. Man sollte sich nicht nur auf die Zielperson konzentrieren, sondern auch an die Türen denken, die sie uns öffnet. Oft lässt sich ein ganzes «Netzwerk» an Kontakten wunderbar anzapfen.

Sind Sie ausschliesslich online aktiv?

Nein. Einige von uns sind auch in der «realen Welt» aktiv. Beispielsweise in Hotels, wo sich viele interessante Zielpersonen aufhalten. Wir bevorzugen die Hotelzimmer, die mithilfe von Chipkarten verriegelt sind. Während der Mahlzeiten schleichen wir uns mit nachgemachten Schlüsseln in die Zimmer von Geschäftsleuten und laden in wenigen Sekunden mithilfe eines USB-Sticks Malware auf ihren Laptop. Eine weniger riskante Möglichkeit ist zum Beispiel, ein Zimmermädchen diesen Job machen zu lassen und es dafür gut zu bezahlen. Andere wiederum dringen in Unternehmen ein und schleusen ihre Malware direkt in firmeninterne Netzwerke.

Einige Hacker nutzen auch das Telefon, um an Informationen zu kommen. Warum?

Das Telefon ist aus mehreren Gründen ein gutes Werkzeug. Zunächst kann man mit dem Klang der Stimme, dem Tonfall usw. spielen. So hat man mehr Spielraum als per E-Mail. Ausserdem bekommt man eine direkte Reaktion des Gesprächspartners. Man kann sofort einschätzen, ob er misstrauisch ist oder sich sicher fühlt. Im Allgemeinen ist der Mensch darauf «programmiert», freundlich und hilfsbereit zu sein. Beispielsweise kann man die Mutter der Zielperson anrufen und sagen «Ich habe die alte Nummer Ihres Sohnes und kann ihn nicht erreichen. Können Sie mir seine aktuelle Nummer geben?» oder auch die Schule der Kinder unserer Zielperson anrufen, um mehr Informationen über die Eltern zu bekommen. Das alles klappt auch mit dem Sportverein, Verbänden usw.

Gibt es noch andere Möglichkeiten, um an sensible Daten zu kommen?

Ja, was man in Fachkreisen als «IoT» oder «Internet of Things» bezeichnet. Das sind miteinander verbundene Geräte wie Fernsehen, Kamera, Kühlschrank. Im Allgemeinen haben sie wenig gesicherte Betriebssysteme. Und zwar häufig aus Kostengründen, denn Sicherheit hat ihren Preis. Man findet sich also in Hacking-Techniken der 90er-Jahre wieder, was auch die Arbeitsweise für uns sehr spielerisch macht. Denn mit Windows 10 oder Mac OSX Mojave ist es derart schwer geworden, Schwachstellen zu finden, dass es nicht mehr unbedingt Spass macht.

Wie sieht es mit öffentlichen Räumen aus?

Es gibt einen alten Angriff, der noch immer funktioniert: «Evil Twin Attack». Dabei handelt es sich um den Aufbau eines ähnlichen Wifi-Netzwerks wie das einer öffentlichen Einrichtung. Wenn Sie sich beispielsweise bei Starbucks einwählen, erstellt der Hacker einen Zugangspunkt «Starbucks». Um Ihre Geräte dazu zu bringen, sich mit seinem Netzwerk zu verbinden, sendet der Hacker ein stärkeres Signal aus als das richtige Netzwerk. Sobald die Verbindung steht, wird der Hacker zum «Man in the Middle» und kann somit die ausgetauschten Daten abfangen. Um chiffrierte Verbindungen auszuspionieren, muss man aber natürlich noch andere Tricks anwenden.

Haben Sie es auch auf kontaktlose Zahlungsmittel abgesehen?

Ja, auch die sind unser Ziel. Früher gab es noch Technologien ohne umfassenden Schutz, die es uns ermöglichten, eine Karte kontaktlos sehr leicht zu kopieren. Mittlerweile wurde die Kryptografie verstärkt, daher macht es keinen Spass mehr, Karten zu duplizieren. Mit versteckten Antennen kann man allerdings das von der Karte einer Zielperson ausgegebene Signal abfangen und von einer Hosentasche bis zu einem Zahlungsterminal, etwa in einem Geschäft, übertragen. Die Verbindung bleibt vollständig chiffriert; als Angreifer hat man keine Ahnung, was übermittelt wird, aber für Kleinbeträge bis 40 Franken, für die man keine PIN benötigt, ist das ausreichend.

Wie kann man Ihnen das Leben schwerer machen?

Wenn ein Rechner durch eine Zwei-Faktor-Authentifizierung geschützt ist, macht das die Arbeit etwas komplizierter, da man eine Aktion des Nutzers benötigt, um darauf zuzugreifen. Dies ist zum Beispiel der Fall, wenn Sie Ihre Identität durch Eingabe eines per SMS erhaltenen Codes bestätigen. Es gibt natürlich noch immer Möglichkeiten, die Zwei-Faktor-Authentifizierung zu umgehen, aber einige Geheimnisse müssen wir behalten. Andererseits können Sie Schäden deutlich begrenzen, indem Sie systematisch verschiedene Passwörter für verschiedene Konten nutzen.

Was halten Sie von elektronischen Passwort-Safes?

Wenn wir das Hauptpasswort knacken, steht uns der komplette Safe offen. Falls Sie sich zu 100 Prozent schützen wollen, behalten Sie alle Ihre Passwörter im Kopf oder schreiben sie in ein Notizbbuch und bewahren dieses zuhause auf.