Aus der Sicht von Experten der Informationstechnologie aber ergibt sich ein ganz anderes Bedrohungsbild. Für sie ist die neue Art der Kriminalität nicht harmloser als die herkömmliche. Denn das Internet ist ein Marktplatz, der mit seinen wertvollen Gütern immer stärkere Anreize für Diebstahl und Betrug bietet. Hauptangriffspunkt sind die Browser, also Programme, mit denen man sich im Internet bewegt.
Das Ganze gleicht einem Katz-und-Maus-Spiel. Harmlose Hacker oder Kriminelle – der Übergang kann fliessend sein – investieren Zeit und Mühe, um Browser wie den Internet Explorer von Microsoft, den Mozilla Firefox oder den Safari von Apple auf Schwachstellen abzuklopfen. Heerscharen von seriösen Technikern arbeiten wiederum daran, diese Schwachstellen so schnell wie möglich zu beseitigen. Dazu versenden die zuständigen Techniker Patches oder Updates. Diese werden von den neueren Browserversionen automatisch heruntergeladen und installiert. Der Nutzer merkt das daran, dass der Browser sich kurzzeitig abmeldet und dann mit einer neuen Versionsnummer startet.
Kriminelle Dienstleistungen
Was macht die Schwachstellen für kriminelle Machenschaften so interessant? Kriminelle können durch sie Programme einschleusen, mit denen Passwörter oder Zugangscodes zu Banken und Konten oder Kreditkartennummern abgefragt werden. Mit Hilfe noch anderer Malware kann der Computer dazu benutzt werden, unbemerkt zahllose E-Mails – Spams – in alle Welt zu versenden. Manche Programme werden erst nach einer gewissen Zeit aktiv, etwa wenn ein Antivirenprogramm vermeintlich alle Schädlinge aufgespürt und neutralisiert hat.
Der Software Ingenieur Thomas Dübendorfer, bei Google Schweiz für die technische Sicherheit verantwortlich und Präsident der Information Security Society Switzerland (ISSS), schätzt den Profit, der mit Cyber-Kriminalität in den USA erzielt wird, auf inzwischen über 100 Milliarden US Dollar pro Jahr. Damit übertrifft dieser Zweig der Kriminalität die Einnahmen aus dem Drogenhandel in den USA.
Cyberkriminelle bieten ihre „Dienstleistungen“ für jedermann zugänglich im Internat an. Kreditkartennummern, Zugangscodes von E-Mail-Adressen, Bankdaten, aber auch Attacken auf Server, um diese mit einer Flut von Anfragen zeitweilig lahm zu legen, werden zu erstaunlich niedrigen Preisen offeriert. Wer dem Angebot nicht traut, kann zum Beispiel für den Angriff auf einen Server eine kostenlose Demo von ein paar Minuten verlangen.
"The Art of Deception"
Dem Laien stehen jetzt also Möglichkeiten zur Verfügung, die bis vor wenigen Jahren nur Spezialisten gegeben waren. Man kauft sich das Know How schlicht und einfach ein, um die Computer eines Konkurrenten auszuspionieren oder oder sie gleich ganz zu ruinieren, um an Kreditkartennummern zu gelangen oder um Spams zu versenden. Dadurch hat sich nach Auskunft der Fachleute auch die Hacker-Szene verändert. Was man früher aus Jux und Tollerei betrieb, wird für den einen oder anderen zur grossen Versuchung, schnell an leicht zu verdienendes Geld zu kommen.
Allerdings hat die Technik ihre Grenzen. Kevin Mitnick, einer der bekanntesten Ex-Hacker in den USA, dem langjährige Gefängnisaufenthalte Zeit und Musse zum Nachdenken beschert haben, hat in seinem Buch „The Art of Deception“ dargelegt, dass 50 Prozent aller wichtigen Informationen durch Social Engineering und nicht durch Hacking gewonnen werden. Trotz aller technischen Raffinesse ist es immer noch interessant, die Opfer so zu täuschen, dass sie von sich aus sensible Daten preisgeben. Das sogenannte Social Engineering besteht darin, im persönlichen Kontakt Geltungsbedürfnis, Redseligkeit oder auch Neid und Rachsucht so auszunutzen, dass man an Informationen über Betriebsabläufe, Kollegen oder die Lancierung neuer Produkte erhält.
Rufschädigung inbegriffen
Immer raffinierter wird das Phishing. Das Wort ist aus fishing, angeln oder fischen, und vermutlich aus harvesting, ernten, gebildet. Phishing besteht darin, Websites von Banken, Kreditkartenunternehmen, Internethändlern und anderen seriösen Anbietern täuschend ähnlich nachzubauen und die Opfer unter einem Vorwand darauf zu locken. Dieser Vorwand besteht häufig darin, dass Daten aus irgendwelchen Gründen aktualisiert werden müssten. Diese Websites enthalten in der Regel Fehler. So können Schreibfehler auftreten, die Grammatik kann Misstrauen erwecken oder aber schlicht die Tatsache, dass zum Beispiel keine seriöse Bank von ihren Kunden verlangen wird, vertrauliche Daten einfach so in eine Eingabemaske online einzutippen. Leider lassen sich aber allzu viele mit allzu einfachen Tricks täuschen.
Die Schäden, die mit dem Diebstahl vertraulicher Daten gesetzt werden, gehen über das Materielle weit hinaus. Inzwischen gibt es zahlreiche Beispiele dafür, dass völlig unbescholtene Menschen aufgrund des Diebstahls und Missbrauchs ihrer persönlichen Daten in falschen Verdacht gerieten oder auf andere Weise Rufschädigungen erleiden mussten. Weil Internetkriminalität keine oder nur sehr schwer nachweisbare Spuren hinterlässt, kann es für die Opfer zur schier unlösbaren Aufgabe werden, falsche Anschuldigungen zurückzuweisen oder auch nur falschen Verdacht zu entkräften.
Die meisten Nutzer des Internet unterschätzen die Gefahren durch Kriminalität und überschätzen die Aussagekraft von scheinbar objektiven Daten. Zu wünschen ist eine Sensibilisierung für Gefahr und Täuschung. Nicht alles, was aus dem Netz kommt, muss stimmen. Es gibt Betrug, und es gibt falsche Anschuldigungen.