Ausflug in die Schattenwelt: Über mehrere Monate haben sich Mitarbeiter des Bochumer IT-Sicherheitsanbieters G Data unter Cyber-Kriminellen umgesehen. "Wir waren in 50 bis 60 Foren unterwegs", so ein Unternehmenssprecher gegenüber cio.de. Ziel war es, die Arbeitsweise der Kriminellen kennenzulernen. Ergebnis der Undercover-Recherche ist eine Art Preisliste für illegale Waren und Dienstleistungen.
So ist zum Beispiel ein Pack von einer Million E-Mail-Adressen schon ab 30 Euro zu haben. Verifizierte Adressen kosten mehr, so dass der Preis bis 250 Euro hochgehen kann. Remote Administration Tools (RAT), mit denen Rechner von Betrugsopfern aus der Ferne gesteuert werden, sind abhängig von ihren Features zwischen 20 und 100 Euro wert.
DDoS (Distributed Denial of Service)-Attacken, mit denen Web-Server durch sehr viele Angriffe mittels tausender Zombie-PCs zum Absturz gebracht werden können, schlagen mit 10 bis 150 Euro pro Stunde zu Buche. PayPal-Accounts kosten von einem bis 25 Euro.
Generell gilt: Cyber-Kriminelle können für Accounts umso mehr Geld verlangen, je mehr Daten sie gesammelt haben. Kreditkartendaten bringen je nach Vollständigkeit zwischen zwei und 300 Euro. Daher der Tipp von G Data: Jeder Internet-User sollte sich genau überlegen, ob er Informationen wie Geburtsdatum oder Wohnort ins Netz stellt. Kriminelle sind gern in sozialen Netzwerken wie Facebook unterwegs, um ihre Datensammlung zu vervollständigen.
Die Fachleute von G Data jedenfalls finden den Begriff "Hacker" mittlerweile viel zu harmlos. Das klinge nach Jugendlichen, die aus Spaß und technischem Interesse im Netz unterwegs sind. Heute gehe es um Verbrecher mit technischem Wissen, die sich nicht von gewöhnlichen Kriminellen unterscheiden. Es sei eine Schattenwirtschaft mit Herstellern, Händlern und Dienstleistern entstanden.
Cyber-Kriminelle professionalisieren sich
Plattformen dieser Szene sind meist Diskussionsforen, die sich um Botnetze, Datendiebstahl etc. drehen. Die direkte Kommunikation zwecks Handel oder Tauschgeschäft läuft in der Regel über Instant Messaging-Dienste.
Nach den Beobachtungen von G Data geben manche Anbieter sogar eine Garantie auf die Funktionalität ihrer Waren. Wenn etwa ein Satz Kreditkartendaten nicht funktioniert, kann der Käufer reklamieren und bekommt sein Geld zurück. Das zeige deutlich, wie professionell die Betrüger arbeiten, so G Data.
Der komplette Erfahrungsbericht unter dem Titel "G Data Whitepaper 2009" kann auf der Website des Bochumer Herstellers heruntergeladen werden. Er kostet nichts bis auf ein paar Gruselschauer.