EM: Die Gewinner stehen schon fest

Beitrag von Raimund Genes, Chief Technology Officer

Noch rollt der Ball in Frankreich. Doch noch bevor am 10. Juli in Paris dann die beiden (wahrscheinlich) besten Fussballmannschaften Europas im Finale aufeinandertreffen, stehen die eigentlichen Gewinner schon lange fest.


Denn Welt- oder Europameisterschaften, olympische Spiele oder der Super Bowl sind nicht nur in sportlicher und medialer Hinsicht ein echter (Saison-)Höhepunkt, sie sind es auch für Cyberkriminelle.

Wenn wir aus der Vergangenheit eines gelernt haben, dann das: Cyberkriminelle handeln sehr opportunistisch. Sobald es irgendwo auf der Welt ein lokales, regionales oder globales Grossereignis gibt, kann man förmlich darauf warten, dass sie es ausnutzen. Auch schlagzeilenträchtige Neuigkeiten aus der Showbranche („Wer hat was mit wem?“) oder Katastrophen zeigen: Jedes Thema ist willkommen, und auf Fair-Play braucht man nicht zu hoffen.

Aber warum ist das so?

Klares Foulspiel

Cyberkriminelle haben inzwischen vor allem finanzielle Interessen, genauso wie im Profifussball dreht sich alles ums Geld. Der Weg dorthin führt über die Infizierung möglichst vieler Opfer. Gewinn machen sie dann mit dem Verkauf gestohlener Daten oder der Vermietung infizierter Geräte für fragwürdige Aktionen. Häufig erfolgt die Infektion über den Besuch (kompromittierter) Webseiten, auf denen sogenannte Exploit-Kits Sicherheitslücken im Web-Browser oder in Plug-Ins ausnutzen. Aktuell enthalten 93 Prozent der Phishin-Mails Verschlüsselungs-Ransomware. Das Ziel der Cyberkriminellen muss es also sein, möglichst viele Nutzer auf diese Seiten zu locken. Wie schaffen Sie das?

Zum einen ist es dank technischer Hilfen wie „Google Trends“ einfach nachzuvollziehen, was zu einem bestimmten Zeitpunkt aktuell ist – genauer gesagt, wonach Nutzer weltweit gerade suchen. Im nächsten Schritt werden ganze Farmen von untereinander verlinkten Webseiten mit zum Thema passenden Inhalten sowie Schlüsselwörtern erstellt und bei Suchmaschinen angemeldet. Man spricht hier von „Black-Hat-SEO“ – also der Suchmaschinenoptimierung für bösartige Seiten. Das Ziel ist es, ähnlich wie in der Fussballtabelle, möglichst weit oben zu stehen. Im Endeffekt führt dies dazu, dass Nutzer, die nach diesen Begriffen suchen, mit hoher Wahrscheinlichkeit die kompromittierten Seiten auf einem der oberen Plätze bei den Suchergebnissen finden. Und genau damit ist das Ziel nur noch einen K(l)ick entfernt!

Zum anderen zeigt es die Europameisterschaft gerade wieder: Fussball begeistert junge und alte Fans. In ihrer Euphorie sind viele von ihnen dann offenbar sorgloser als sonst, wenn es um ihre Daten geht.

Immer am Ball

Bei den meisten Ereignissen sind Cyberkriminelle nicht ganz auf Ballhöhe, im Schnitt sind sie etwa 24 Stunden hinten dran. Aber während sich die 24 EM-Nationen erst noch für die Endrunde qualifizieren mussten, stand die Teilnahme von Cyberkriminellen schon lange fest. Sie konnten sich also in aller Ruhe „warmspielen“ und hatten genug Zeit, an ihrer Taktik zu feilen. Und die lautet, wie bereits beschrieben: Aufbau ganzer Netzwerke von kriminellen Websites.

Wo gibt es kostenlose Live-Streams? Aktuelle Spielberichte? Was passiert gerade im Mannschaftsquartier? Man kann davon ausgehen, dass weit vorne unter den Suchergebnissen auch kompromittierte Seiten auftauchen! Spätestens damit ist auch das immer wieder gehörte Argument „ich surfe doch nur auf guten Seiten“ obsolet. Woher soll „Otto Normalnutzer“ einschätzen können, welches der vorderen Suchergebnisse bösartig ist? Immerhin hat er bei der Suchmaschine ja nur einen „normalen“ Begriff eingegeben.

Frei nach Sepp Herberger

Auch wenn der cyberkriminelle Untergrund scheinbar nie schläft: Wenn sportliche Grossereignisse bei uns (spät)abends stattfinden, ist das ein kleiner Vorteil. Immerhin findet ein Grossteil der Zugriffe dann nicht aus dem Firmennetz statt. Weil das andererseits niemanden daran hindert, abends zuhause mit dem Firmen-Smartphone oder Notebook auf diese Seiten zuzugreifen, müssen Schutzmechanismen zu jeder Zeit greifen – unabhängig von Ort und Gerät!

Ganz abgesehen von EM – interessante Ereignisse gibt es schliesslich immer und überall: Wir müssen unsere Nutzer und unsere Infrastruktur vor diesen Gefahren schützen und entsprechende Aufklärung betreiben. Und egal, welche Mannschaft am Ende den Pokal in Händen hält: Gewinnen werden auf jeden Fall die Cyberkriminellen – und zwar eine ganze Schar neuer Opfer.

Und mit den Olympischen Spielen steht das nächste Grossereignis schon in den Startlöchern. Frei nach Sepp Herberger: Nach dem Angriff ist vor dem Angriff…