«Heute macht die Cyberkriminalität mehr Geld als der internationale Drogenhandel», sagt Lorenz Inglin. Der Leiter des Cyber Defense Teams bei der Swisscom weiss, wovon er spricht: «Jeden Monat warnen wir drei Millionen Mal unsere Kunden vor einem Zugriff auf eine bösartige Seite, finden 4000 neue Webseiten, von denen ein sogenannter Phishing-Angriff droht und filtern 60 Millionen Spam-Mails.»
30 Spezialisten in Zürich
In einem unscheinbaren Bürogebäude irgendwo in Zürich führt mich der Sicherheitsexperte in die Einsatzzentrale des Telekom-Unternehmens. Hier treffen alle Meldungen zu verdächtigen Ereignisse ein und werden auf einer grossen Anzeige aufgelistet. 30 Spezialisten analysieren die Vorfälle und treffen Massnahmen.
Lorenz Inglin erklärt, was so ein Ereignis sein könnte. Kauft jemand den Domain Namen «bluewin.gr», so erscheint dieser Vorgang auf der Anzeige. Ein Teammitglied klärt dann ab, wer dahintersteckt: Ist es ein Angreifer, der ahnungslose Bluewin-Kunden auf eine gefälschte Webseite locken will, um ihnen dort Passwörter oder Kreditkarten-Daten abzuluchsen? Falls ja, wäre es ein Hinweis für eine Phishing-Attacke, und der Spezialist leitet Massnahmen ein.
Jeden Monat warnen wir drei Millionen Mal unsere Kunden vor einem Zugriff auf eine bösartige Seite.
Ein Grossteil der Überwachung läuft automatisiert im Hintergrund ab. Spezielle Software sucht auf Webseiten, die Kunden besuchen, nach Indizien für einen Betrugsversuch: Muss eine Nutzerin Kreditkarten-Daten eingeben oder Passwörter? Wird der Name einer Schweizer Bank erwähnt, obwohl die Adresse einer anderen Firma gehört? Falls ein Mitarbeiter entscheidet, dass eine Webseite tatsächlich gefährlich ist, weil sie für einen solchen Phishing-Angriff verwendet werden könnte, kommt die Adresse auf eine Liste und Kunden werden in Zukunft vor dem Öffnen der Seite gewarnt.
Angreifer gehen gezielt vor
An diesem Montagmorgen ist es ruhig in der Einsatzzentrale, alle Pendenzen sind abgearbeitet. Die Vorfälle häuften sich jeweils am Freitagnachmittag und vor Feiertagen, erzählt Lorenz Inglin. Angreifer gehen davon aus, dass Sicherheitsteams in Unternehmen dann nicht oder nur reduziert aktiv sind und starten ihre Angriffe bevorzugt vor freien Tagen.
Hinter den Attacken stehen professionelle Banden, die immer raffinierter vorgehen. Vor wenigen Monaten noch versuchten sie, flächendeckend möglichst viele PCs lahmzulegen und verlangten dann von den Opfern ein Lösegeld von 200 Euro, erklärt Lorenz Inglin. Heute gehen sie gezielt auf KMUs los, wo sie nicht nur die Rechner, sondern auch die Backups kapern und dann von den Firmen mehrere hunderttausend Euro verlangen.
Grosse Firmen oder Internet-Anbieter sind deshalb auf solche Teams angewiesen. Auch der Bund hat mit der GovCERT eine eigene Abteilung, die ähnliche Aufgaben übernimmt.
Hochmotivierte Mitarbeiter
«Unsere Leute haben alle einen IT-Background, eine Informatik-Lehre oder eine Ausbildung zum Wirtschaftsinformatiker», sagt Lorenz Inglin. «In unserem Beruf sind die meisten mit Herzblut dabei und schalten nicht einfach nach Feierabend ab.» Regelmässig finden Übungen statt, bei denen Mitarbeiterteams sich gegenseitig angreifen und sich so nach Feierabend neues Wissen aneignen – bei Pizza und Bier.
Der Kreis von Sicherheitsspezialisten sei eine kleine Szene in der Schweiz. Man kenne sich und tausche Informationen aus, täglich. So lässt sich Schlimmeres verhindern.
Sendebezug: Donnerstag, 14:10 Uhr aus SRF 3.