Ein Leben ohne Computer? Ein Leben ohne Internet? Undenkbar! Hierzulande gibt es kaum einen Haushalt ohne Internetzugang. Bis Jahresende sollen es weltweit drei Milliarden sein - also rund 40 Prozent der Weltbevölkerung. Um etwa 10 Euro pro Monat kann man in Österreich die Dienste des Internets nutzen. Innerhalb von Sekunden werden Daten über den gesamten Erdball transportiert.
Arbeiten, Einkaufen, Spielen, Urlaub buchen, Social Networking und mehr sind im virtuellen Netz möglich. Alles geht schnell, alles ist unkompliziert, alles erfolgt - scheinbar - anonym. So auch der Angriff aus dem Netz. Plötzlich geht nichts mehr. Die Motive der Cyberkriminellen sind unterschiedlich. Die Angreifer verlangen meist Geld oder spionieren private Daten aus. Manchmal werden auch gefährliche politische Botschaften verbreitet.

Leopold Löschl, Bundeskriminalamt:
„Oft verwenden diese Täter mehrere Standorte, Staaten, Server, um hier ihre Spuren zu verwischen und wenn man sich vor Augen hält wie lange ein formaler Rechtshilfe-Akt dauert und wie schnell hier die Täter die Staaten wechseln können, so ist das ein großes Problem für die Strafverfolgungsbehörden.“
Das stellt die Ermittler vor beinahe unlösbare Aufgaben. Die Aufklärungsrate bei Cyberdelikten liegt weit unter 50 Prozent. Aktuell hält die Behörden ein europaweites Phänomen in Atem. Das sogenannte Polizeivirus. Dabei wird der Computer gesperrt, angeblich im Auftrag der Bundespolizei. Die Schadsoftware installiert sich beim Surfen auf manipulierten Webseiten. Die Angreifer behaupten, dass der User illegale Programme auf seinem Rechner verwendet. Zum Freischalten des Systems soll ein Betrag von 100 Euro bezahlt werden. Allein im Vorjahr wurden in Österreich mehr als 3000 Infektionen gemeldet.

Leopold Löschl, Bundeskriminalamt:
„Die Ermittlungen laufen international, nicht nur Österreich ist betroffen, vor allem auch Deutschland, Italien und die USA. Interpol ermittelt. Es ist unklar aus welchem Land die Täter kommen.“

Auch Social Networks, allen voran Marktführer Facebook, eignen sich ausgezeichnet für Betrügereien. Schnell und oft leichtfertig wird etwas „geliked“, Freundschaftsanfragen werden angenommen - unabhängig ob die Person bekannt ist oder nicht.

Genau darauf setzt Philipp Leonhardsberger. Er hat ein neues Facebook programmiert. Facebook Gold - mit diesem Forschungsprojekt im Rahmen seiner Diplomarbeit will er an Daten, also Passwörter, Email-Adressen oder auch Kreditkartennummern herankommen. Daten-Phishing nennt sich das im Expertenjargon.

Philipp Leonhardsberger, Student:
„Meine potentiellen Ziele sind Leute, die ihre Profile öffentlich haben, ihre Privateinstellungen gering haben und viele tausend Freunde haben, denen schicke ich eine Freundschaftsanfrage. Wenn sie annehmen den Link, sag denen ‘Hey probiert das aus, ist eine tolle Seite‘, danach gelangen Opfer auf meine Seite und wenn sie Passwort und Usernamen eingeben komme ich in Besitz dieser Daten.“

Mit den notwendigen Passwörtern hat der Cyberkriminelle auch Zugriff zu wichtigen Emailadressen und könnte so Spams verschicken. Im schlimmsten Fall sind sogar Einkäufe mit der im Netz gespeicherten Kreditkarte des Opfers möglich.

Das ist ein Mobilfunknetz. Keines, das jeder verwenden kann sondern ein selbst gebautes. Die notwendigen Utensilien wie PC, Hard- und Software sowie einige Antennen wurden im Internet bestellt. Gesamtkosten 1500 Euro. Bisher kostete ein Mobilfunknetz an die 200.000 Euro. Heute soll der Eigenbau getestet werden. Am Computermonitor sehen die Studenten, wer sich in ihrem Netz einloggt.

Student 1: „ Schaut ganz so aus, als ob das der Prof. Kolmhofer wäre…“
Student 2: „Da haben wir den Professor Fuß, ist auch schon bei uns gelandet.“
Student 1: Schau, der Kolmhofer ruft den Fuß an. Schau ma mal, was da geredet wird. Besprechen Prüfungsfragen!"

Die beiden Professoren telefonieren nicht mehr in ihrem eigenen Netz, sondern in dem der Studenten. Das bemerken sie jedoch nicht, ebenso wenig dass sie abgehört werden. Das selbst gebaute Handynetz nutzt einen Fehler im GSM-System. Anders als bei UMTS überprüft es nämlich nicht, ob sich das Handy auch tatsächlich im echten Netz einloggt oder in einem fremden.

Robert Kolmhofer, FH Hagenberg:
„Bei GSM ist es aber ganz einfach, weil bei GSM das Mobilfunknetz bestimmt wie sicher die Mobiltelefone funktionieren und ob die Sprachtelefonie verschlüsselt übertragen wird oder nicht. Unser Mobilfunknetz sagt den Handys einfach ‚Dreh die Verschlüsselung ab‘. Das ist der Trick und daher können wir dann einfach mithören. Mitschneiden und uns selbst einklinken."

Abhören ist nur eine Sache. Die Studenten können auch SMS abfangen und Nachrichten unter einem anderen Namen verschicken. So wird auch der SMS-Verkehr zwischen einer Institutsmitarbeiterin und dem Professor am Bildschirm mitgelesen. Was hier getestet wird kann jeden passieren. Mit einem Mobilfunknetz-Eigenbau könnten Unternehmen ausspioniert werden. Auch Privat-Detektive würden davon profitieren.

Robert Kolmhofer, FH Hagenberg:
„Die beste Verhaltensregel ist bewusst mit dem Mobiltelefon umzugehen und vielleicht kritische Dinge in einem Unternehmen, wenn es etwa um Anbotsverhandlungen geht, nicht übers Handy zu machen, sondern dass man sich einen Termin vereinbart, das persönliche Gespräch sucht und vertrauliche Dinge nicht übers Handy telefoniert. Das soll die Message sein, dass es einfach ist Handys abzuhören, sich sein eigenes Mobilfunknetz zu bauen. Ein unbedarfter Anwender kann das nicht erkennen, dass er nicht im Original-Mobilfunknetz ist, sondern in einem, wo er belauscht wird.“

Für Newton testet Redakteurin Bibiane Presenhuber im Selbstversuch wie einfach es ist überwacht zu werden. Ihr wurde eine App auf das Smartphone geladen, mit dem sie bespitzelt werden kann. Mit diesem Programm kann die Redakteurin überall geortet werden. Am Handy ist diese Software meist unsichtbar und NICHT als App erkennbar. Wird man überwacht, bemerkt man daher auch nicht, dass das Programm sämtliche GPS-Daten aufzeichnet. Die versteckte App installiert sich ganz von selbst, wenn man leichtfertig auf einen Link im Netz klickt oder Apps in einem dubiosen Online-Shop herunterlädt. Diese Schadprogramme können auf den Speicher des Smartphones zugreifen. So ist es möglich Adressbuch und Kontaktdaten zu löschen oder kostenintensive SMS ohne Wissen des Smartphone-Benutzers zu verschicken.

Eine Hotellobby mitten in Wien. Hier gibt es freies WLAN, also ungeschütztes Internet. Jeder Gast kann gratis und sofort via Smartphone die Vorteile der drahtlosen Kommunikation nutzen. So auch dieser Besucher der Hotellobby. Was er nicht weiß - der Angreifer lauert nur wenige Meter daneben. Unter dem Motto "Feind schaut mit" kann er auf seinem Computer sämtliche Aktionen aller WLAN-Benutzer in der Umgebung mitverfolgen. So ist es etwa kein Problem die Inhalte unverschlüsselter E-Mails mitzulesen. Auch die Surfgewohnheiten seiner Opfer könnte ein Cyberkrimineller mitverfolgen, inklusive der Eingabe von Passwörtern, die dem Angreifer sprichwörtlich an der Nase vorbeischweben. Noch einfacher ist, wenn er seine Opfer gleich auf ein falsches Netz, ein gehacktes WLAN umleitet.

Michael Kafka, Experte für Netzwerksicherheit:
„Schwierig wird’s dann, wenn man zum Beispiel wirklich sensitive Sachen wie Bankaccounts oder Passwörter überträgt, abspeichert oder anschaut, die dann Zugang zum Konto ermöglichen. Dann wird’s wirklich gefährlich.“

Ein winziges Loch im Bildschirm - eine sogenannte Webcam. Ein lustiges Utensil zum Skypen. Werner hat seine Webcam immer eingeschaltet, obwohl er sie für seine Arbeit kaum benötigt. Sein Kollege Sebastian gönnt sich mal eine Arbeitspause und sucht laufende Webcams im Internet. Wenn er Glück hat, findet er eine und kann direkt in das Wohnzimmer von fremden Menschen schauen. Kriminelle nutzen diese Sicherheitslücke, um Wohnungen auszurauben oder auch für Spionagezwecke. Heute macht sich Sebastian jedoch einen Spaß und überwacht seinen Kollegen Werner bei der Arbeit.

Zurück nach Hagenberg. Die Studenten haben im Hörsaal einen USB-Stick entdeckt, auf dem ein passwortgeschütztes Dokument gespeichert ist. Die Herausforderung ist groß, dieses Passwort zu knacken. Das Equipment dafür steht zur Verfügung. Ein Supercomputer, der sogenannte Cute Force Analyzer. Dabei handelt es sich um handelsübliche PCs und Grafikkarten, die in Zusammenarbeit mit mehreren Coprozessoren Passwörter herausfinden können. Pro Sekunde werden gleichzeitig mehrere Milliarden Möglichkeiten überprüft. Dabei nutzt das System jene Regeln, mit denen sich die User Passwörter ausdenken. Dieses High-Tech-Gerät kann sogar relativ schwierige Passwörter ausfindig machen.

Nur drei Minuten dauert es und der kryptografische Schlüssel für das Dokument ist geknackt.

Michael Kafka, Experte für Netzwerksicherheit:
„Wir haben jahrelang eingebläut bekommen Passwörter müssen Groß-Kleinbuchstaben, Ziffern und Sonderzeichen haben, aber auf die Länge hat kaum jemand geachtet. Wir haben inzwischen viele Programme, wo ich viele Typen von Passwörtern in wenigen Minuten knacken kann, wenn sie kurz sind. Dabei ist es unerheblich, ob Groß-Kleinbuchstaben oder Sonderzeichen drinnen sind. Was heute wesentlich wichtiger ist die Länge. Lange Passwörter sind wesentlich sicherer als Passwörter mit sehr viel verschiedenen Typen, Groß-Kleinbuchstaben. Da ist die Länge wesentlich hilfreicher.“

Cyberkriminelle nutzen jede kleine Sicherheitslücke. Verzichtet ein User etwa auf Firewall und regelmäßige Updates, dann kann er schnell zum Opfer werden. Angreifer erlangen oft unbemerkt die Kontrolle über einen fremden Computer. Meist wird der Rechner in ein Netzwerk von tausenden Computern eingegliedert - ein sogenanntes Botnetz.

Otmar Lendl, Sicherheitsexperte, CERT:
„Man kann durchaus ein iPhone und ein Android-Gerät sicher betreiben. man darf nur nicht jedes Spiel installieren und schauen, was gebe ich diesem Spiel für Rechte. Warum braucht ein Spiel etwa Zugriff auf SMS auf meinem Handy. Schauen, bewusst umgehen, weil Achtung - das Handy hat Zugriff auf mein Geldbörsel indirekt. Es kriegt die MTANs von Onlinebanking, das heißt die Sicherheit von meinem Smartphone ist direkt geldrelevant für mich.“

Großes Risiko besteht bei der Durchführung von E-Banking auf Smartphones. Potentielle Angreifer können relativ einfach TANS oder PINS abfangen und so auf das Bankkonto zugreifen. Doch wie sicher ist mein Smartphone wirklich? Wie kann ich das überprüfen? Darüber haben sich Techniker an der TU Wien Gedanken gemacht und eine App entwickelt. ANDRUBIS nennt sich das Programm. Damit ist es möglich Apps auf eine etwaige Infektion mit Viren oder Trojanern zu überprüfen. Die suspekte App wird an ein Analyseservice geschickt. Kurz darauf erhält man die Rückmeldung mit einer Einschätzung des Programms. Rot bedeute, dass es entweder Viren enthält, überwachen kann oder bereits Zugriff auf SMS, E-Mail oder Passwörter hat. Gibt’s grünes Licht, dann kann man die App problemlos verwenden. Bald ist Andrubis für Handys mit Android- Betriebssystem gratis erhältlich.

Wenn es brennt kommt die Feuerwehr. Doch was ist, wenn das nicht der Fall ist? In großen Gebäuden sind meist Rauchmelder angebracht. Kommt es zu starker Rauchbildung, so leiten die Geräte diese Information an eine Brandmeldezentrale im Gebäude weiter. Diese ist vernetzt mit vielen weiteren Brandmeldezentralen. Innerhalb von Sekunden wird der Alarm ausgelöst und via Internet die Feuerwehr verständigt. An der TU Wien testen Techniker jetzt, ob und wie solche Geräte gehackt werden könnten. Mit speziellen Messinstrumenten werden Signale in einer Testumgebung untersucht.

Markus Kammerstetter, iSecLab, TU Wien:
„Was passieren könnte, dass ein Angreifer ins System einbricht und die Alarmierung unterbindet. Somit könnte in einem Gebäude ein Brand stattfinden und dieser Brand würde nicht vom Gebäudemanagement festgestellt, Feuerwehr nicht alarmiert. Somit würde es zu einem Großbrand kommen. Auf der anderen Seite könnte ein Angreifer das Gegenteil machen und ständig Alarmierungen auslösen, obwohl es in Wirklichkeit gar keinen gibt.“

Ähnlich wie Brandmelder nutzen auch andere technische Systeme das weltweite Netz. Obwohl die Anlagen modernst ausgestattet und verschlüsselt sind, bieten sie eine Angriffsfläche für Cyberkriminelle.

Walter Unger, IT-Security, Heeresabwehramt:
„Besonders gefährlich wären Angriffe auf die zentralen Infrastrukturen, Telekommunikation, Stromversorgung, Wasserversorgung, Banken. Alles das würde uns alle unmittelbar betreffen. Wie Studien zeigen, würde das innerhalb weniger Tage zu Todesfällen führen. Das ist das, wogegen wir vorkehren müssen.“

Seit vier Jahren treibt ein Computerwurm weltweit sein Unwesen. Conficker heißt die Schadsoftware, die vor allem über infizierte USB-Sticks in Microsoft-Betriebssysteme eingeschleust wird. Anfang Jänner 2009 legte der Wurm 3000 Arbeitsplatzrechner der Kärntner Landesregierung lahm und sorgte dafür, dass die Ämter tagelang offline waren.

Zum Schutz der nationalen Sicherheit in Österreich arbeiten Bundeskriminalamt, Innenministerium, Bundeskanzleramt, das Computer Emergency Response Team kurz CERT und das Militär eng zusammen. Die Angst ist groß, dass das Land durch Cyberattacken blockiert werden könnte.

Walter Unger, IT-Security, Heeresabwehramt:
„Wir haben hier ein Szenario entwickelt. Ursprünglich war die Meinung, da wird man Kompanien, hunderte, tausende Leute brauchen um das durchzuführen. Wir befürchten allerdings, dass das mit wenigen Dutzend gut ausgebildeten Leuten funktionieren könnte.“

Die beste Vorsorge gegen Cyberkriminalität ist Prävention. Neben einer funktionierenden Firewall sind regelmäßige Updates des Betriebssystems und der einzelnen Programme unverzichtbar.

Vorsicht ist geboten beim Online-Einkauf. Auf Webseiten wird mit Bank-Accounts, Kreditkarten und Amazon-Zugängen gehandelt. Kreditkarten können um 100 Euro erstanden werden. Belastbar sind sie mit 7500 Euro.

Während shoppen bei großen renommierten Anbietern unbedenklich ist, kann ein Download aus dem Netz Viren Eintritt auf den eigenen Computer gewähren. Manchmal macht ein Angriff nicht einmal vor den vorsichtigsten Internet-Usern halt.

Michael Kafka, Experte für Netzwerksicherheit:
„Wir Security-Spezialisten haben inzwischen eingesehen, dass nichts 100 Prozent sicher ist. Mit dem entsprechenden Aufwand kann man alles knacken.“

Die aktuellen Zahlen zeigen es. 10.231 angezeigte Delikte. Damit hat sich die Internet-Kriminalität in Österreich innerhalb eines Jahres mehr als verdoppelt.