Vorweg gesagt handelt es sich bei der einleitenden Überschrift um eine rein rhetorische Frage. Crime as a service, oder besser gesagt die Kommodifizierung von Daten zu kriminellen Zwecken ist bereits eingetroffen, weit fortgeschritten und wird in Zukunft noch in weitere Lebensbereiche fortschreiten. Mit zunehmender Intensität ist der Begriff mehrmals wieder in die Aufmerksamkeit gerückt worden, zuletzt vor einigen Tagen durch den Heise Verlag. Anlaß des Artikels war ein kürzlich veröffentlichter Bericht von Europol, der einige Angriffsvektoren bereits gut aufzählt. Zusammen mit Berichten über Angriffe immer größeren Ausmaßes lässt sich bereits ein stimmiges Bild ausmachen. Anbei möchte ich einige Bereiche des Berichts hervorheben und mit einigen aktuellen Nachrichten anreichern um zu verdeutlichen, wohin die Reise geht und wie man sich potentiell schützen kann.
Online-Handel und Dienstleister
Firmen mit umfassenden Zahlungsdaten ihres Kundenstammes sind schon lange ein bevorzugtes Angriffsziel für Hacker. Ein Ziel solcher Angriffe könnte das Reinwaschen von ergaunertem Geld sein. Durch das Knacken fremder Benutzerkonten, eine Form des Identitätsdiebstahls, wird es Angreifern ermöglicht in fremden Namen Geschäfte zu tätigen oder mit fremden Geld zu bezahlen. Durch den Wiederverkauf der erhaltenen Waren oder Dienstleistungen erhalten Ganoven „frisches“ Geld, während ein dermaßen kompromittiertes Benutzerkonto Verdacht auf den ursprünglichen Inhaber lenken könnte.
Gegenmaßnahme
Zum einen ist es unabdingbar die eigenen Zugangsdaten zu Kundenkonten selbst gut zu schützen. Ein langes, kompliziertes Passwort kann helfen genauso wie Zwei-Faktor-Authentifizierung. Verantwortung liegt jedoch auch bei den Dienstanbietern. Riesige Hacks mit enormen Datenverlusten bei vielen namhaften Firmen machten in letzter Zeit in den Nachrichten die Runde. Etwas Skepsis ist Anbietern gegenüber daher angebracht. Viele verlangen weit mehr Daten, als zum erfolgreichen Abschluß eines Rechtsgeschäfts notwendig sind und schützen diese dann nur unzureichend. Meiden Sie Firmen die unverantwortlich mit fremden Daten umgehen und zu neugierig sind.
DDoS Angriffe größer als je zuvor
Die vorangegangenen Wochen haben einige spannende Entwicklungen und die größten Angriffe gegen Internetinfrastruktur hervorgebracht, die es je gegeben hat. Getroffen hat es beispielsweise den bekannten IT-Sicherheitsforscher Brian Krebs und seinen Blog zum gleichen Thema. Obwohl er dort in erster Linie keine wirtschaftlichen Interessen verfolgt haben es einige Hacker persönlich auf ihn abgesehen und einen Angriffsturm entfacht, den sogar einen der größten Infrastrukturanbieter, Akamai, zur Aufgabe gezwungen hat. Was wir aus diesem Angriff schließen können ist, daß jedes Angebot im Internet nach Belieben ausgeknippst werden kann, sofern das benötigte Kleingeld vorhanden ist. Vor allen Dingen gewerbliche Anbieter müssen sich also darauf gefasst machen besondere Vorsicht walten zu lassen oder sich mit Schutzgeldforderungen konfrontiert sehen. Denn auch solche Angriffe können natürlich für Geld gegen jedes beliebige Ziel gerichtet werden.
Gegenmaßnahmen
Einem Angriff wie oben zitiert ist nur schwer und unter Zuhilfenahme professioneller Unterstützung beizukommen. Aber auch gegen kleinere Attacken erfordert das Härten eines Servers Hingabe eines Profis, der nicht nur darauf achtet das Angebot irgendwie lauffähig zu machen. Mögliche Themen sind Standardkonformität, Offenlegung des Quellcodes (Open Source), Transparenz, zertifizierte Sicherheit. Automatismen und Out-of-the-Box Lösungen bieten meist das genaue Gegenteil davon. Gefragt sind Spezialisten und wer selbst keiner ist, der findet für wenig Geld (oder sogar kostenlos) welche im Internet.
Desweiteren steigt die Intensität der DDoS-Attacken deshalb, weil auch die Anzahl der Mikroprozessoren steigt die mit dem Internet verbunden sind. Ich spreche vom sogenannten Internet of Things, wo auch Kleinstgeräte mit dem Internet verbunden werden und nach dem Kauf oft nie wieder Unterstützung oder Updates erfahren. Der letzte Angriff wurde zum großen Teil durch IP-Kameras verübt. Denkt mal daran, wenn ihr euch so ein Ding zulegen wollt, wozu es fähig ist.
Kommodifizierung von Daten
Wenn auch nicht selbst strafbar ist dies das größte Risiko überhaupt. Benutzerdaten werden überall und mit jedem Schritt im Netz oder zum Beispiel durch Apps auf Smartphones erhoben. Die aggregierten Daten können auf Dauer nicht geschützt werden, das wollen uns die vielen Nachrichten sagen die uns jede Woche aufrütteln. Sie werden gehackt oder oftmals auch einfach legal weiterverkauft ohne einen kriminellen Hintergrund zu vermuten.
Stellt euch vor jemand möchte in einer Stadt Einbrüche begehen. Durch gekaufte Daten kann er erfahren in welchen Wohnungen er mit Beute rechnen kann und praktischerweise weiß er auch, wann niemand zuhause sein wird. Oder ein Arbeitgeber möchte herausfinden, wann bei seinen weiblichen Angestellten eine Schwangerschaft zu erwarten ist, um sie rechtzeitig loszuwerden bevor ein Mutterschutz greift. Das alles ist bereits mit legalen Datenkäufen möglich und es ist noch nicht auszudenken, auf was für Ideen man mit passenden Daten kommen könnte und welche illegalen Geschäftsmodelle sich daraus entwickeln können.
Gegenmaßnahme
Ein vollkommener Schutz ist sehr schwierig, denn Teilnahme am Netz erfordert immer auch eine Preisgabe. Vielleicht hilft das Credo „öffentliche Daten nützen, private Daten schützen“. Ein gewisse Abwägung zu entwickeln, welche Preisgabe wirklich in die Öffentlichkeit gehört und was vielleicht besser privat und geheim bleiben sollte, ist durchaus angebracht. Dies ist übrigens das beste Argument für ubiquitäre Verschlüsselung. Auch wenn diese ebenfalls zu illegalen Zwecken mißbraucht werden kann, so existiert für diese keine Alternative. Denkt daran, daß auch herkömmlicher Handel oder Bankgeschäfte über das Internet nicht möglich wären, gäbe es keine geheime Kommunikation.