Phishing und Co.: Wie Kriminelle sich die digitale Welt eroberten
Die zeitgleiche Entwicklungslinie der Digitalisierung und derer, die sie ausnutzen
Egal ob es die „Neue Welt“ nach den Fahrten von Christoph Kolumbus ist, ob es der „Wilde Westen“ oder die „Digitale Welt“ ist: Wann immer die Menschheit neues Gebiet erschließt, dauert es nicht lange, bis auch Kriminelle hinzustoßen, Schwächen ausnutzen und unbescholtenen Leuten das Leben schwermachen.
Auch im digitalen Raum fiel ihnen das lange ausnehmend leicht und tut es das streckenweise bis heute – allein in den USA entstehen in jeder Sekunde des Tages Unsummen an Schäden durch Betrügereien, die über das Internet oder damit verbundene Techniken ablaufen. Auch das Wie der kriminellen Methoden steht in Anzahl, Variantenreichtum und Verschlagenheit dem analogen Raum in nichts mehr nach.
Die Geschichten von Viehdieben und Outlaws im Wilden Westen dürften dir wahrscheinlich in Grundzügen bekannt sein. Doch wie konnten sich Kriminelle die digitale Welt erobern? Das zeigen wir dir in unserem Themenspecial.
1. Von Phreaks und Hijackern: die 1950er
Wann begann eigentlich die Digitalisierung? Es kommt auf die Definition an:
Wenn du Digitalisierung als maschinelle Verwendung von Codes definierst, dann begann sie, als Joseph-Marie Jacquard einen lochkartengesteuerten Webstuhl entwickelte – am 19. April 1805.
Wenn du hinter dem Begriff eher die praktische Nutzung von Halbleitern und Mikroelektronik verstehst, ist der 23. Dezember 1947 dein Stichtag. Damals präsentierten drei US-amerikanische Gentlemen den weltersten Bipolartransistor und damit den Urgroßvater sämtlicher Computerchips bis zum heutigen Tag.
Doch egal, welche Definition du anlegst, in den 1950ern hatte die Welt längst Kurs in Richtung Digitalzeitalter genommen. Zugegeben, dieser Weg verlief größtenteils in Laboren und (militärischen) Forschungseinrichtungen, doch die Digitalisierung war auch in praktischen Anwendungen schon zugange – besonders prominent bei (US-)Telekommunikationsdienstleistern.
Bist du ein echter Technik-Fan? Dann abonniere unseren Newsletter!
Melde dich für denTechRadar Pro Newsletter an und erhalte alle Top-News, Meinungen, Features und Anleitungen, die dein Unternehmen für den Erfolg braucht!
Diese hatten im Verlauf der 1950er verstärkt automatisierte Vermittlungsstellen eingeführt, um Gespräche selbsttätig zu verbinden, ohne auf einen „Operator“ angewiesen zu sein. Dabei wurden zwei Techniken angewendet:
- Das Impulswahlverfahren, bei dem jeder Ziffer ein Stromimpuls bestimmter Länge und Häufigkeit zugeordnet ist (beispielsweise Ziffer 3 = drei Impulse à 100 Millisekunden).
- Das Tonwahlverfahren, bei dem jeder Ziffer zwei sich überlagernde Signaltöne festgelegter Frequenz zugeordnet sind (beispielsweise Ziffer 4 = 1209 und 770 Hertz).
Damit wurden nicht nur automatische Verbindungen hergestellt, sondern wurde den Vermittlungsstellen auch das Ende eines Gesprächs signalisiert, worauf diese die Leitung wieder freischalteten.
1955 spielte ein blinder Fünfjähriger namens Joe Engressia mit Gabelschalter eines Telefons – womit er versehentlich den Schaltkreis in schneller Folge öffnete und schloss. Damit sendete Joe Wählimpulse aus, welche die Vermittlungsstelle als Ziffern interpretierte. Diese Technik wurde auch noch von anderen „entdeckt“, was beispielsweise dazu führte, dass man an öffentlichen Telefonen, ohne zu zahlen, wählen konnte, sofern man den richtigen „Tapping“-Takt kannte.
Zwei Jahre später schlug der hochintelligente Joe (IQ wahrscheinlich >160) erneut zu. Diesmal pfiff er während eines Telefongesprächs so perfekt eine „E-Note“ der Frequenz 2637 Hertz, dass er damit der Vermittlungsstelle den gleichen Ton sendete, der auch beim Auflegen gesendet wurde.
Abermals machten auch andere Personen ähnliche Entdeckungen. So entstand die Subkultur der „Phreaks“, die „Phreaking“ betrieben, indem sie solche Lücken „hijackten“, um kostenlos zu telefonieren oder auf andere Weise Schabernack zu treiben.
Ja, sogar zwei Lichtgestalten der heutigen Zeit machten damit ihre Anfänge: Steve Wozniak und Steve Jobs, dir vielleicht besser als Apple-Gründer bekannt. Sie verdienten ihr erstes Geld mit einer sogenannten „Blue Box“, die fürs Phreaking gedacht war.
Ob du die Phreaks (die in den 60ern zu einer richtigen Bewegung wurden) „Kriminelle“ nennen möchtest, bleibt dir überlassen. Definitiv waren sie aber zumindest Proto-Hacker, auch wenn sie nicht an Computern saßen – das allerdings änderte sich bald:
Der erste Hack der Welt: die 1960er
In diesen digitalen Frühtagen saßen die Vorreiter vor allem an US-Hochschulen. Speziell das „Massachusetts Institute of Technology“ (MIT) galt als Sammelbecken für extrem fähige Köpfe. An dieser Hochschule wurde nicht nur der Begriff des Hackens geprägt, sondern auch erstmals in großem Stil gehackt:
1955 bat ein Laborleiter die sehr elektronikaffinen Mitglieder des MIT-eigenen „Tech Model Railroad Club“: „…that anyone working or hacking on the electrical system turn the power off to avoid fuse blowing“. Die ständig bastelnden Modelleisenbahner sollten also bitte den Strom abdrehen, damit keine Sicherungen durchbrannten.
1963 brachte die Studentenzeitung des MIT einen kurzen Artikel namens „Telephone hackers active“. Darin wurde über Studierende berichtet, die die Telefonanlagen der Hochschule für vielfältigen Phreaking-Schabernack heranzogen, riesige Telefonrechnungen anhäuften und sogar den institutseigenen Rechner PDP-1 (damals das Hightech-Nonplusultra) missbrauchten. Dementsprechend hatte der Artikel auch einen ziemlich mahnenden Tenor.
Und so, wie in den frühen 1960ern Computer in immer mehr Hochschulen Einzug hielten, gab es plötzlich auch immer mehr junge Menschen, die damit herumexperimentierten. Abermals bleibt es dir überlassen, ob du dies kriminell nennen möchtest. Zumindest, weil dabei oft hohe Telefonrechnungen angehäuft wurden, wäre zumindest die Grunddefinition erfüllt.
Übrigens: Ende der 1960er war auch aus Joe Engressia ein solcher Student geworden. An der „University of South Florida“ war er als „Whistler“ (Pfeifer) dafür bekannt, für einen Dollar seinen Kommilitonen durch Pfeifen der passenden Wähltöne normalerweise deutlich teurere Ferngespräche zu ermöglichen – was ihn sogar ins Visier des FBI brachte.
Zu gleicher Zeit nutzte ein US-Luftwaffensoldat namens John Draper nicht nur die Telefonsysteme seiner Basen auf ähnliche Weise, sondern betrieb zeitweilig auch einen Piratensender. Er wurde im Verlauf dieser und der folgenden Jahre als „Captain Crunch“ eine Legende in der Phreak- und später Hacker-Szene – der Grund war, dass er eine Spielzeugpfeife aus den namensgebenden Frühstückszerealien zum Phreaken nutze.
3. Kriecher und Sensenmänner im Verteidigungsnetzwerk: die 1970er
1969 und 1970 hatten das US-Verteidigungsministerium und die Verteidigungs-Denkfabrik „Advanced Research Projects Agency“ (ARPA) das erschaffen, was heute als Urvater des Internets bekannt ist: das ARPANET.
Ein Computerverbund, der erstmalig auf dem Prinzip der Paketvermittlung basierte und auf diese Weise mehrere Hochschulen und ähnliche Einrichtungen verband – konträr zu dem, was häufig kolportiert wird, war das ARPANET aber kein Netzwerk, das die Befehlsketten des US-Militärs gegen Atomschläge absichern sollte. Lediglich in den theoretischen Vorüberlegungen zehn Jahre zuvor war diese Nutzung kurz aufgetaucht.
Und auch wenn sich im ARPANET keine Hacker tummelten (dazu war es viel zu wenigen Personen bekannt und vor allem zugänglich), so war 1971 doch ein wichtiger Meilenstein sowohl für Cyberkriminalität wie Cybersicherheit:
Zunächst programmierte der ARPANET-Wissenschaftler Bob Thomas den „Creeper“. Dieser welterste Computerwurm „kroch“ durch ARPANET-Computer und hinterließ dort nur die Botschaft „I’m the Creeper; catch me if you can“. Sinn und Zweck war es, zu erforschen, wie sich ein solches Programm verhalten würde. Und da spätere Versionen des Creepers sich selbst kopierten, waren rasch viele ARPANET-Rechner „infiziert“.
1972 programmierte Ray Tomlinson, der schon die selbstvervielfältigende Creeper-Version erschaffen hatte, das Gegenstück: Der „Reaper“ war ebenfalls ein Wurm. Er sollte jedoch sämtliche Spuren tilgen, die Creeper auf Computern hinterlassen hatte – womit der „Sensenmann“ die erste Anti-Viren-Software wurde.
Du fragst dich, warum die Forscher das machten? Nun, wie auch ihre Kollegen war ihnen klar, dass die neue Netzwerktechnik auch ein neues Sicherheitsdenken benötigte. Über kurz oder lang sollten ARPANET bzw. ähnliche Netzwerke zentrale Aufgaben der Kommunikation und Sicherheit übernehmen. Da war es wichtig, frühzeitig herauszufinden, wie potenzielle Gegner vorgehen könnten und was man dagegen tun könnte.
Creeper und Reaper waren deshalb knallharte experimentelle Computerwissenschaft – dass später viele Cyberkriminelle auf ähnliche Methoden zurückgriffen, zeigt nur, wie richtig Thomas und Tomlinson lagen.
Wie wichtig derartige Gedankenspiele und Vorarbeiten waren, zeigte sich bereits 1979: Der 16-Jährige Kevin Mitnick nutzte einen Akustikkoppler (ein Modem, auf das man den Telefonhörer legt), um damit ins System der „Digital Equipment Corporation“ einzudringen. Dort kopierte er deren Betriebssystem „RSTS/E“.
Zwar wurde Mitnick für diesen Datendiebstahl erst neun Jahre später inmitten einer langen Hacker-Karriere verurteilt; dennoch darf man mit Fug und Recht behaupten, dass er 1979 den ersten kriminell motivierten Hack durchzog – solche, hinter denen staatlich motivierte Spionagetätigkeiten standen, einmal ausgenommen. Übrigens zu einer Zeit, in der Hacking so neu war, dass kein Gesetz dagegen bestand.
4. Spione und nigerianische Prinzen: die 1980er
Die wilden 80er waren für die breitgesellschaftliche Digitalisierung das wichtigste Jahrzehnt überhaupt. Erstmals kamen jetzt viele Normalbürger mit digitalen Produkten in Kontakt – nicht zuletzt dem Erfolg früher PCs wie dem „Commodore C64“ und diversen Computerspielen geschuldet.
Gleichsam war dieses Jahrzehnt auch von einer rasant aufblühenden Vernetzung der Computersysteme geprägt. Was die im ARPANET Involvierten Anfang der 1970er vorausgesehen hatten, wurde nun Realität:
Egal ob Zielcomputer für Atomraketen, verstreute Forschungseinrichtungen oder aufblühende Computerunternehmen: immer stärker wurde digitalisiert und vernetzt. Schon 1983 kam mit „WarGames“ der erste große Kinofilm, der sich der Hacker-Thematik widmete und dabei trotz unrealistischem Szenario überraschend gut den kulturellen Ton traf.
Dementsprechend waren die 80er auch das Jahrzehnt, in dem Hacking zu einem echten Problem wurde. Tatsächlich kamen dabei schon alle Formen der Cyberkriminalität vor, die auch heute noch relevant sind und praktisch zum „Markenkern“ gehören:
- Staatliche Spionageaktionen. Die 80er waren das letzte und ausnehmend heiße Jahrzehnt des „Kalten Krieges“. Dementsprechend waren beide Seiten daran interessiert, der jeweils anderen Informationen aus digitalen Netzen zu stehlen oder den Gegner darüber zu behindern.
- Eindringen in Netze bzw. Systeme zum Spaß, zur persönlichen Bereicherung oder auch, um auf Sicherheitslücken aufmerksam zu machen.
- Ausnutzen von Gutgläubigkeit, um Geld oder Informationen zu erlangen. In den 80ern wurde beispielsweise erstmals die „Nigerianischer Prinz“ Betrugsmasche in großem Stil durchgeführt – damals noch hauptsächlich via Fax und tatsächlich von Nigeria aus; als Ende der 1980er die E-Mail zum Massenphänomen wurde, wurden ähnliche Maschen auch dort durchgezogen.
Diese Problematik gipfelte zwischen 1985 und -89. Damals drangen mehrere deutsche Hacker in verschiedene Computersysteme ein, stahlen nicht nur Daten, sondern boten sie dem sowjetischen Geheimdienst „KGB“ zum Kauf an – der natürlich dankend annahm und sogar weitere Aufträge vergab.
Dazu musst du verstehen, dass dieser sogenannte „KGB-Hack“ nicht nur wegen seiner Dimensionen so dramatisch war, sondern weil er erstmalig zeigte, wie rasch Privatpersonen zum Spielball der Mächte werden konnten und von ihnen ausgenutzt wurden. Das hatte es zuvor noch nicht gegeben.
Und wo in diesem Jahrzehnt eine neue Form der Kriminalität so aufblühte, dürfte es wohl auch nicht verwundern, dass man den Kampf dagegen aufnahm. Das führte dazu, dass 1987 mit „Ultimate Virus Killer“, „NOD Antivirus“ und „VirusScan“ die ersten freiverkäuflichen Softwares herauskamen, die sich der Virenbekämpfung widmeten – und die alle um den Titel des ersten kommerziellen Anti-Viren-Programms ringen.
Dazu auch ein Fun Fact: Schon 1983 wurden erstmals die Begriffe „Virus“ und „Trojanisches Pferd“ für derartige Schadsoftwares genutzt, nachdem es zuvor jahrelang an passenden Begriffen gemangelt hatte.
5. Startschuss für das WWW und zigtausende Betrüger: die 1990er
Fassen wir kurz zusammen: In den 80ern hatten sich staatliche Stellen und Unternehmen immer stärker digital vernetzt und Privatleute waren im großen Stil mit Digitaltechnik in Kontakt gekommen, waren aber noch nicht so vernetzt, wie man es heute definiert.
Das änderte sich in den frühen 1990ern: Ende April 1993 gab das CERN das „World Wide Web“ (WWW) für den allgemeinen Gebrauch frei – nach über zwei Jahrzehnten abgeschotteter Netzwerke war das die Geburtsstunde des globalen, freizugänglichen Internets.
Jetzt geschahen in rascher Folge mehrere Dinge zeitgleich:
- Computer verbreiteten sich rasend schnell auch auf dem Markt der Privatanwender.
- Die Bedienung wurde immer simpler. Speziell als mit „Windows 95“ ein äußerst erfolgreiches Betriebssystem mit grafischer Benutzeroberfläche veröffentlicht wurde, das keinerlei Codes oder Programmiersprachen mehr benötigte.
- Im aufblühenden WWW entstanden binnen weniger Jahre immer mehr Websites – schon 1997 war die Millionenmarke überschritten.
- Modems für normale Telefonanschlüsse sowie ISDN-Anschlüsse verbreiteten sich ebenfalls schnell, wodurch jeder auf simpelste Weise ins Internet gelangen konnte.
Mit diesen Zutaten war der perfekte „Cocktail“ der Internetkriminalität gemixt: Jeder konnte ins Netz, alles war (wirklich noch) „Neuland“. So konnten Cyberkriminelle reiche Beute machen – damals noch stärker als heute war die Neugierde in der digitalen Welt deutlich größer als das Sicherheitsbedürfnis. Dementsprechend gingen die Schäden in die Milliarden.
Kein Wunder also, dass schon 1990 in Erwartung der baldigen WWW-Freischaltung das „European Institute for Computer Antivirus Research“ (EICAR) gegründet worden war und die NASA 1995 die erste Firewall programmierte.
Tatsächlich entstanden speziell in der zweiten Hälfte der 90er so viele Viren, dass wir dir dazu einen eigenen Artikel präsentieren könnten. Deshalb an dieser Stelle nur ein Beispiel von vielen. Der zeitliche Ablauf eines der größten und teuersten Hacks der damaligen Geschichte, der bis heute zudem zu den schnellsten Verbreitungen überhaupt gehört:
- Im März 1999 programmierte der US-Hacker David Lee Smith einen Virus namens „Melissa“ – benannt nach seiner Lieblings-Stripperin.
- Smith kaperte im Anschluss einen AOL-Account.
- Unter diesem Account postete er eine Word-Datei in einer Newsgroup und versprach, dass sich in ihr Dutzende gestohlene Account-Daten für Porno-Websites befänden.
- Wie zu erwarten wurde die Datei viele Male heruntergeladen. Bei jedem, der sie öffnete, verbreitete sich Melissa.
- In der Folge scannte Melissa die jeweils 50 ersten Kontakte im Outlook-Adressbuch des Infizierten und versendete sich weiter.
Du fragst dich, wo der kriminelle Erfolg lag? Den gab es nicht. Melissa konnte keine Rechner blockieren oder Dateien löschen. Allerdings zwangs sie durch ihre rasend schnelle Verbreitung zahllose Mail Server in die Knie, sorgte dafür, dass mehrere hundert Firmen und Ämter nicht mehr richtig oder gar nicht mehr arbeiten konnten – darunter sogar Microsoft. Und in den Infektionsschwerpunkten war der durch Melissa ausgelöste Traffic so immens, dass das Internet kaum noch benutzbar war.
Die Folge waren 80 Millionen Dollar Schaden. Nicht viel im Vergleich zu späteren Hacks. Deutlich schlimmer war, dass Melissa vielen anderen Cyberkriminellen aufzeigte, wie verwundbar das noch junge Internet war – und wie leicht es vor allem mit dem Versprechen auf Pornos sein konnte, Leute auszutricksen. Eine Masche, die bis heute bestens funktioniert.
6. Zu viele Maschen, um sie aufzuzählen: die 2000er
Über die 2000er musst du dementsprechend auch nur eines wissen: In diesem Jahrzehnt, in dem via DSL und Flatrates erstmals sehr viele Rechner 24/7 online waren und außerdem immer mehr Informationen gänzlich in die digitale Welt verlagert wurden, begann der letzte Akt: Cyberkriminalität in Umfang und Vielfalt, wie wir sie heute kennen.
Die 2000er brachten:
- die ersten Zero-Day-Angriffe;
- endlich Gesetze, die sich des Themas annahmen;
- diverse großangelegte Phishing-Methoden und andere Diebstähle von persönlichen Daten im ganz großen Stil;
- die Beteiligung klassischer Mafia-Organisationen, die Hacker nutzen um an Geld und Informationen zu gelangen oder andere Ziele zu erreichen – etwa zur Erpressung;
- ein Verlagern der Spionage, sodass netzbasiertes Ausspähen zum vorherrschenden Weg der Informationsbeschaffung wurde – was Ed Snowden 2013 publik machte, hatte in den 2000ern begonnen.
Natürlich, seitdem wurde Cybercrime nur noch größer. Vor allem, weil sich seit den 2010ern Smartphones, Smarthomes und ähnliche Anwendungen so stark verbreiteten. Der Hauptfokus in den 2010ern lag jedoch vor allem im Kampf gegen das Verbrechen – erstmals seit dem Beginn des Internetzeitalters gelang es nun den „Guten“, zumindest nicht mehr dauernd nur reagieren zu können.
Heute kann man deshalb von einem grob „ausgeglichenen“ Verhältnis sprechen. In manchen Bereichen haben die Cyberkriminellen die Oberhand, in anderen ihre Bekämpfer. Damit folgt auch die „Entdeckung der digitalen Welt“ den gleichen Mustern, die du bereits im Eingangstext mit Kolumbus und dem Wilden Westen gelesen hast: Die ersten Jahre und Jahrzehnte sind immer von hoher Gesetzlosigkeit geprägt. Irgendwann jedoch gleicht sich alles aus.
Zusammenfassung und Fazit
Die digitale Welt existiert noch kein Menschenleben lang. Und das Internet, wie wir es kennen, ist immer noch ein „Twen“. Im Angesicht eines so kurzen Zeitraumes, ist es schon bemerkenswert, wie rasch und vor allem allumfassend Kriminelle in diese Welt vordringen konnten.
Wird es irgendwann ein Ende haben? Höchstwahrscheinlich nicht. Denn in der analogen Welt gehört Kriminalität zum Menschen seit dessen Anfängen. Und solange es in der digitalen Welt irgendetwas von Wert zu holen gibt, wird es jemanden geben, der versucht, es sich zu nehmen.
Verdruss bereiten sollte dir das aber nicht. Schließlich ist das Internet längst kein rechtsfreier Raum mehr. Kriminalität und der Kampf dagegen halten sich also ebenso die Waage wie im analogen Leben. Außerdem gilt dort wie im Netz die gleiche Grundregel: Wer sich umsichtig verhält, keine unnötigen Risiken eingeht, der muss auch nicht befürchten, zum Opfer zu werden.