Mikko Hyppönen: „Dämlicher Wichser“ und „Hurensohn“ gehören noch zu den schmeichelhaften Bezeichnungen, die kriminelle Hacker für Mikko Hyppönen finden. Das liegt daran, dass er sich zwar ebenfalls als Hacker versteht, aber einen der Guten. Er arbeitet als Chief Research Officer beim finnischen Sicherheitsunternehmen F-Secure und sprach mit uns nicht nur über Denial-of-Service-Angriffe aus dem Internet of Things, sondern auch darüber, wie Russland mit Hilfe von Hackern Einfluss auf die US-Wahlen nimmt und warum er glaubt, dass die Regierung von Nordkorea mittels Cyberangriff versucht hat, eine Milliarde US-Dollar zu stehlen.

t3n Magazin: Mikko, wir haben kürzlich den vielleicht größten Denial-of-Service-Angriff in der Geschichte des Internets erlebt. Wie wurde der Angriff in einer solchen Größenordnung möglich?

Mikko Hyppönen: Wir gießen eben besonders viel Öl ins Feuer, indem wir immer mehr Geräte online bringen. Mit Geräten meine ich das Internet of Things – Geräte also, bei denen es sich nicht wirklich um Computer oder traditionelle Anwendungen handelt. Wir warnen seit zwei Jahren vor den Gefahren schlecht abgesicherter Internet-of-Things-Geräte und 2016 zeigt uns, dass es dabei um reale Gefahren geht. In kurzer Abfolge haben wir gleich zwei der größten Denial-of-Service-Angriffe in der Geschichte des Internets erlebt. Beide Angriffe gingen nicht von einem Botnet infizierter Computer aus, sondern wurden von einem Botnet bestehend aus IoT-Geräten lanciert. Und das war nur der Anfang. Ich bin mir sicher, wir werden schon sehr bald noch viel größere Botnets und wesentlich mehr derartige Angriffe erleben.

t3n Magazin: Was veranlasst dich zu dieser Vermutung?

Mikko Hyppönen: Viele Gadgets und Geräte, die wir in Zukunft kaufen, werden IoT-Devices. Sie werden mit dem Internet verbunden sein und wir werden vielleicht noch nicht mal wissen, dass das Gerät, das wir gekauft haben, online geht. Heutzutage handelt es sich bei den meisten IoT-Features um Features, von denen der Nutzer profitiert. Wenn beispielsweise eine IoT-Waschmaschine dem Nutzer eine SMS sendet, sobald sie fertig ist, dann ist das ein nützliches Feature – ein Feature, das der Nutzer selber bemerkt. Aber in Zukunft wird es viele Geräte geben, die keinerlei offensichtliche Online-Features bieten, sondern Konnektivität über einfache LTE-Chips, von der die Hersteller profitieren.

t3n Magazin: Geht es dabei um die Übermittlung von Informationen, wie das entsprechende Produkt genutzt wird?

Mikko Hyppönen: Genau darum geht es. Google macht Milliarden mit der Analyse, wie die eigenen Produkte und Dienste genutzt werden. Genauso werden die Hersteller von Toastern Informationen darüber sammeln, wie ihre Produkte genutzt werden. Dabei geht es um Fragen wie: Wie viele Kunden nutzen unsere Produkte am Tag? Wo genau befinden sich diese Kunden? In welchen Städten haben wir besonders viele Kunden? Haben wir in Frankfurt mehr Kunden im Osten der Stadt? Vielleicht sollten wir mehr Marketing im Westen von Frankfurt betreiben? Welches Brot wird von unseren Kunden besonders häufig getoastet? Der Kunde selbst profitiert von keiner Antwort auf diese Fragen, aber die Informationen sind für den Hersteller sehr wertvoll. Dazu kommt, dass sich diese Geräte nicht über das WLAN des Kunden mit dem Internet verbinden werden, sondern über integrierte LTE-Chips, die immer günstiger werden und die ohne das Wissen der Kunden online gehen. Aus diesem Grund wird die Zahl von Geräten, die mit dem Internet verbunden sind, explodieren. Und genauso werden die Risiken steigen.

t3n Magazin: Was wollen denn die Angreifer erreichen?

Mikko Hyppönen: Die meisten Angreifer zielen darauf ab, beispielsweise Onlineshops für einige Zeit offline zu bringen. Das tut besonders großen Stores richtig weh. Ein großer Onlineshop muss nicht lange down sein, bevor der Schaden spürbar wird. Oft läuft es so ab, dass die Angreifer ihr Botnetz auf den Shop ansetzen und dem Betreiber mitteilen: „Okay, zahl uns fünf Bitcoin und wir hören auf.“ Eine klassische Lösegeldforderung also, die vergleichbar mit Ransomware und jedem beliebigen Ransom-Trojaner ist, nur dass eben kein Trojaner die Daten auf einem Computer verschlüsselt.

t3n Magazin: Ransomware hast du ja bereits im vergangenen Jahr zum großen Trend erklärt. Warum ist Ransomware für Unternehmen denn so ein großes Problem?

Mikko Hyppönen: Wenn Ransomware ein Unternehmen trifft, dann wird dieses Unternehmen gestoppt. Es kann nicht mehr vernünftig arbeiten. Das ist also ein sehr binäres Problem, denn entweder ist alles in Ordnung, oder es heißt: Nichts geht mehr! Das ist auch der Grund dafür, dass Unternehmen erstaunlich häufig das geforderte Lösegeld bezahlen. Sie wollen die Downtime minimieren. Wir wissen sogar von Unternehmen, die sich auf Angriffe durch Ransom-Trojaner vorbereitet und entsprechende Pläne in der Schublade haben. Für den Fall der Fälle haben diese Unternehmen sogar vorgesorgt und Firmenvermögen in Bitcoin umgewandelt, um eine Lösegeldforderung schneller begleichen zu können.

t3n Magazin: Wie viele solcher Gruppierungen gibt es und wie funktioniert der Ransom-Markt genau?

Mikko Hyppönen: Mein Team und ich haben aktuell 110 unterschiedliche Banden auf dem Radar, die ihre Angriffe mit Ransom-Trojanern monetarisieren. Im laufenden Jahr wurde das Geschäft mit Ransom-Trojanern weiter professionalisiert und organisiert. Die verschiedenen Gruppierungen stehen miteinander in Konkurrenz und es gibt mittlerweile sogar Ransom-Franchises, die ganz ähnlich wie McDonald’s funktionieren. Anbieter für Ransom-as-a-Service finden sich im Darkweb zuhauf und auch Ransom-Angriffe mit Umsatzbeteiligung sind keine Seltenheit mehr. Das alles sind Anzeichen dafür, dass der Markt erwachsen wird. Ransomware ist seit mittlerweile fünf Jahren ein Problem und der Markt ist mittlerweile so weit, dass es Anbieter gibt, die nur noch die Tools bauen und sie verkaufen, ohne selber jemanden zu infizieren. Stattdessen setzen sie auf Franchise-Nehmer, die dann die dreckige Arbeit und damit den riskantesten Part für sie erledigen.

t3n Magazin: Unternehmen sind lohnende Ziele für solche Hacker-Banden. Wie sieht es mit Privatpersonen aus?

Mikko Hyppönen: Ich prognostiziere, dass sich das Problem der mit Ransomware infizierten Computern bereits 2017 auf IoT-Devices übertragen wird. Auf die Art und Weise können Kriminelle nicht nur mit der Instrumentalisierung von IoT-Geräten für Botnetze, sondern auch mit Lösegeldforderungen in Bezug auf einzelne Devices Geld verdienen. So könnte beispielsweise der Fernseher nicht mehr funktionieren, weil Android, das auf dem Smart-TV läuft, mit einem Ransom-Trojaner infiziert wurde. Oder das Smart-Car springt nicht mehr an und stattdessen hast du eine Nachricht auf dem Display: „Wollen Sie ihre Kinder pünktlich aus dem Kindergarten abholen? Dann zahlen Sie einen Bitcoin!“ Diese Art von Angriffen haben wir noch nicht beobachten können, aber es ist nur eine Frage der Zeit.

t3n Magazin: Das sind aber wahrscheinlich nur Peanuts im Vergleich zu vergleichbaren Angriffen auf Unternehmen. Hast Du eine Einschätzung darüber, wie viel diese Gruppierungen im Jahr „verdienen“?

Mikko Hyppönen: Es ist durchaus möglich, ungefähr abzuschätzen, wie viel bei derartigen Angriffen rumkommt. Im Silicon Valley spricht man von einem Unternehmen als Einhorn, wenn die Bewertung circa eine Milliarde beträgt. Insofern könnte man fast von Cybercrime-Einhörnern sprechen, denn: Was wäre, wenn es bei diesen Organisationen um Unternehmen und nicht um Verbrecher-Banden ginge und sie Umsätze oder gar Gewinne im Bereich von mehreren hundert Millionen – oder gar Milliarden – Euro generieren?

t3n Magazin: Wie ist es denn möglich, überhaupt einen Einblick in die Umsätze von Cyberkriminellen zu erhalten, die ja nirgendwo öffentlich Rechenschaft ablegen?

Mikko Hyppönen: Wir können das zumindest abschätzen, weil viele der modernen Schurken Bitcoin verwenden. Bitcoin basiert auf der Blockchain und die ist von Natur aus öffentlich. Jeder kann die Blockchain herunterladen und einen Einblick in jede einzelne Transaktion seit 2009 erhalten. Wenn wir also die Wallet-Adresse einer Cybercrime-Bande kennen, wissen wir auch, wie viele Bitcoin sich darin befinden. Bei manchen Gruppierungen geht das sogar – bei den meisten jedoch nicht. Viele Gruppierungen setzen auf mehr als nur eine Wallet. Sie verfügen über breit verteilte Möglichkeiten, um Geld zu bewegen. Es gibt aber auch Ausnahmen. Wir wissen beispielsweise von einer Gruppierung, die mit Ransomware Geld erpresst und die mittlerweile 12.000 Bitcoin in ihrer Wallet hat. Bei einem Bitcoin-Kurs von 660 Euro wären das 7.920.000 Euro. Das ist zumindest ein Beispiel für eine Organisation, bei der wir wissen, wie viel sie wert ist.

t3n Magazin: Auch wenn es spekulativ ist – glaubst du denn ernsthaft, dass es Gruppierungen gibt, die an Bewertungsmaßstäbe von Startup-Einhörnern herankommen?

Mikko Hyppönen: Es gibt durchaus Banden, die man zumindest von den Umsätzen als Cybercrime-Einhörner bezeichnen, denen man das allerdings nicht so einfach nachweisen kann. Aber ich gebe zu: Da es sich bei kriminellen Organisationen nicht um Unternehmen handelt, hinkt der Vergleich. Sie zahlen keine Steuern, sie müssen nicht bilanzieren und sie werden nie an die Börse gehen oder übernommen werden. Es kann für die Gründer also keinen Exit geben, es wird keine Investoren geben und daher kann man natürlich nicht wirklich von einem Einhorn sprechen.

t3n Magazin: Neben Ransomware und den Gefahren durch das Internet of Things – was sind weitere bemerkenswerte Sicherheitsprobleme in diesem Jahr?

Mikko Hyppönen: Im vergangenen Jahr hat es zwei wichtige Entwicklungen gegeben, die Nationen und Hacking betreffen. Zum einen so genannte SWIFT-Angriffe und zum anderen die offensichtliche Einflussnahme russischer Hacker auf die US-Wahlen und Vorgänge in anderen Nationen.

t3n Magazin: Was genau hat es mit den SWIFT-Angriffen auf sich?

Mikko Hyppönen: Dabei geht es um das Netzwerk für internationale Überweisungen, das bereits im Januar 2016 zum Ziel von Angriffen wurde. Diese Angriffe waren in mehrfacher Hinsicht einzigartig. Erstens versuchten die Angreifer rund eine Milliarde US-Dollar zu stehlen. Das ist eine Menge Geld. Zweitens haben wir Anlass, davon auszugehen, dass es sich bei dem Angreifer nicht um eine kriminelle Organisation handelte, sondern um die Regierung von Nordkorea. Sollte diese Vermutung der Realität entsprechen, wäre das der erste Fall in der Geschichte, bei dem eine Nation nicht aus Gründen der Spionage oder der Sabotage auf Hacker setzt, sondern um schlicht Geld zu stehlen. Das hat sich noch kein Staat getraut, aber Nordkorea könnte verrückt genug sein, um so etwas zu tun.

t3n Magazin: Eine ziemlich steile These…

Mikko Hyppönen: Das behaupte ich natürlich nicht einfach nur so. Vor ein paar Jahren wurde öffentlich, dass die Einrichtungen, in denen Nordkorea seine Nationalwährung druckt, auch fast perfekte Fälschungen von US-Dollars erstellten. Wenn man es also mit einer Regierung zu tun hat, die mehr oder weniger die offizielle Herstellung von Falschgeld verantwortet, ist es nicht abwegig, dass diese Regierung auch dazu bereit ist, die Nationalbanken anderer Länder zu hacken, um eine Milliarde US-Dollar zu stehlen. Im Januar gelang zwar „nur“ die Entwendung von etwas weniger als 100 Millionen US-Dollar, aber selbst das ist eine Menge Geld.

t3n Magazin: Und was meinst du, wenn du von russischer Einflussnahme durch Hacker sprichst?

Mikko Hyppönen: Da gibt es gleich mehrere Beispiele. Zum einen wurden die Ermittler, die den Abschuss der Passagiermaschine von Malaysian Airlines über der Ukraine untersuchten, zum Ziel von Hacker-Angriffen, die wir ganz klar nach Russland zurückverfolgen können. Das ist allerdings bei weitem nicht so bemerkenswert wie der Versuch, die Wahlen in den USA zu beeinflussen.

t3n Magazin: Wie das denn?

Mikko Hyppönen: Erst kürzlich hat das FBI darauf hingewiesen, dass Hacker versucht haben, 20 Wahlsysteme in 20 verschiedenen Staaten zu infiltrieren. Vier davon waren erfolgreich. Dazu kommen Angriffe, die zum Ziel haben, die öffentliche Meinung zu beeinflussen. Dazu gehört der Hack der E-Mail-Server der Clintons, Hacks der demokratischen Partei und die Instrumentalisierung von Wiki-Leaks, um die gesammelten Informationen zu verbreiten.

t3n Magazin: Und was sollte das Ziel sein?

Mikko Hyppönen: Das Ziel ist, die USA zu schwächen. Das wird so oder so gelingen, denn ganz unabhängig vom Wahlausgang – am Ende wird der Verlierer das Gefühl haben, als hätte sein Kontrahent geschummelt, oder dass Hacker für den Ausgang der Präsidentschaftswahl verantwortlich sind. Damit werden die USA zu einem Land, das sich sehr schwer regieren lässt.