Читать книгу #pwned - Holger Junker - Страница 7
Dienstag, 19:28 Uhr, Bonn
ОглавлениеHubert war soeben in Bonn angekommen. Er war froh, endlich zu Hause zu sein nach diesem langen Arbeitstag. Den ganzen Tag über hatte er an nichts anderes denken können als an diesen Moment. Aus lauter Angst vor den eigenen Gefühlen hatte er sich kaum nach Hause getraut. Jetzt war er allein in diesem großen Haus, wo vor kurzen noch sein Sohn Janus getobt hatte, der mit seinem lauten Organ ihn und seine Frau auf Trab gehalten hatte. Jetzt hatte er die Stille, nach der er sich eigentlich immer gesehnt hatte. Doch es war keine Stille, sondern Leere. Er war nicht allein, sondern einsam.
Um sich etwas abzulenken, schaltet Hubert den Fernseher ein. Er wünschte sich jetzt nichts mehr als eine kleine Ablenkung. Auf dem kleinen Tisch im Wohnzimmer hatte sich Hubert die Briefe aus der Post zurechtgelegt. Dazu eine Flasche Becks, um den Frust herunterzuspülen. Eine Rechnung vom Kinderarzt legte er sich zur Seite, um sie gleich per Onlinebanking zu bezahlen. Er nahm sich sein Notebook und suchte weiter nach einem geeigneten TV-Programm, welches seine schmerzhaften Gedanken zumindest für eine kurze Zeit unterbrechen würde. Hubert hatte sich gerade bei dem Portal der Bank eingeloggt, als ihm ein kalter Schauer den Rücken hinunterlief.
»Scheiße, was soll denn das?«, rief er vor Schreck.
Während noch vor einigen Tagen über neuntausend Euro auf dem Konto gewesen waren, so belief sich das Guthaben nun auf 451,72 €. Er klickte auf die Übersicht der letzten Umsätze und staunte nicht schlecht. Karina war wohl auf Einkaufstour gegangen. Über 1.500 € Lastschrift von einer Elektrohandelskette, 1.800 € Wohnungskaution, eine Barabhebung von 2.000 € und einige weitere Umsätze, die nur von ihr kommen konnten.
Sofort nahm sich Hubert das Telefon zur Hand und wählte die Handynummer seiner Frau.
»Was ist denn?«, meldete sie sich offensichtlich genervt und mit verschlafener Stimme.
»Hallo Karina. Ich habe gerade gesehen, dass von unserem Konto nicht mehr viel übrig ist. Kannst Du mir das bitte erklären?« Hubert konnte sich kaum halten vor Zorn. Das Adrenalin schoss ihm in den Kopf und lies seine Hände zittern.
»Was meinst Du denn? Ich brauche für die Wohnung eben ein paar neue Sachen. Ohne Waschmaschine und Trockner kann ich ja kaum unsere Wäsche waschen.«
Hubert war fassungslos.
»Du hast fast das ganze Geld ausgegeben. Das gehört nicht allein Dir. Wie soll ich denn so über die Runden kommen?«.
»Jetzt hör mir mal gut zu. Ich mache das nicht für mich allein, sondern auch für mein Kind.«
»Janus ist nicht Dein Kind, sondern unser Kind.«
»Richtig, Janus ist auch Dein Kind – deswegen solltest Du doch auch ein Interesse daran haben, dass er versorgt ist und saubere Klamotten trägt.«
Hubert war so wütend, dass er laut wurde.
»Schieb nicht immer Janus vor. Du krallst Dir die ganze Kohle und ich soll sehen, wo ich bleibe. Was denkst Du Dir eigentlich?«.
Aufgelegt. Karina hatte einfach aufgelegt. Das kannte Hubert ja schon aus den vergangenen Tagen. Immer, wenn es zu einem Streit kam, entzog sie sich dem Konflikt.
Hubert musste an die Gespräche denken, die er heute mit zwei Kollegen geführt hatte. Diese waren geschieden und hatten ihm einige Ratschläge gegeben, worauf er in der nächsten Zeit achten müsse.
»Wenn die Frau weg ist, ist das Geld auch weg, wenn du nicht aufpasst«, hatte einer der beiden gesagt. Diese Erfahrung machte Hubert wohl gerade in diesem Moment auf erdrückende Art und Weise.
Als Security Consultant war Huberts Einkommen nicht schlecht. Durch die Trennungsvereinbarung und die darin vereinbarten Zahlungen für Karina und seinen Sohn ging davon aber schon ein beträchtlicher Teil weg. Noch dazu blieben die Raten für den Kredit des Hauses.
Hubert fühlte eine neue Angst in sich aufkommen. Die Angst davor, den gewohnten und lieb gewonnenen finanziellen Spielraum zu verlieren. Nicht immer auf das Geld achten zu müssen, sich und der Familie immer mal wieder etwas leisten zu können – das war nun in Gefahr. Ein mieses Gefühl, das er so nicht kannte. Es war nicht so, dass er ansonsten kein finanzielles Polster hatte. Doch all das war längerfristig angelegt und erst in einigen Jahren verfügbar.
Hubert öffnete Bier Nummer zwei. Er dachte an die Diskussion, die er heute mit seinem Kunden geführt hatte. Ein typischer Mittelständler, dessen IT Systeme selbst einem mittelmäßigen Angriff hoffnungslos ausgesetzt wären und dem Hubert auch die entsprechenden Mängel in den Bericht zum Security Audit geschrieben hatte. Bei seinen Kundenprojekten steckte Hubert besonders viel Aufwand in die sogenannte Management Summary, der Zusammenfassung für die Unternehmensleitung. Nicht nur verzichtete er dabei auf technisches Blabla, sondern er wählte auch immer anschauliche Vergleiche und zeigte mögliche Schadensfolgen auf, um den Handlungsbedarf zu verdeutlichen. Doch das alles war eigentlich sinnlos, wenn es an der prinzipiellen Bereitschaft zur Veränderung mangelte.
Hubert liebte seine Arbeit. Aber er konnte nicht eine gewisse Frustration darüber leugnen, dass der Stellenwert der IT-Sicherheit und damit auch das Einkommensniveau eines technisch versierten Spezialisten alles andere als angemessen war. Hochglanzberater ohne fundiertes technisches Verständnis verdienten dabei auch noch teilweise deutlich mehr als viele echte Experten.
»Das ist doch alles viel zu teuer in der Umsetzung! Unsere Kunden scheren sich auch nicht darum, die wollen die Produkte kaufen die wir herstellen und fragen nicht nach der Sicherheit unserer Computer.«, hatte der IT-Leiter des Kunden gesagt.
Aus seiner Perspektive hatte er ja durchaus Recht. Die Frage, die sich Huberts Kunde aber nicht stellen wollte, war, wie es mit dem Unternehmen weitergehen sollte, wenn erst einmal die Konstruktionspläne seiner tollen Produkte in den Händen der Konkurrenz aus China waren und der Markt von kostengünstig produzierten Plagiaten in originaler Qualität überflutet würde. Schließlich war es nicht die Billigproduktion aus China, die die westliche Welt bedrohte. Vielmehr war es das Prinzip von High Tech und Low Cost – denn durch gestohlenes Knowhow konnte man in Fernost kostengünstig in hoher Qualität fertigen. Schließlich sparte man sich dort ja das Budget für Forschung und Entwicklung. Und natürlich war es nicht nur eine chinesische Bedrohung, denn bei einem Informationsabfluss war es erst einmal unerheblich, ob dieser nach Norden, Süden, Osten oder Westen stattfand. Aber es war nun mal die typische Erfahrung eines Security Consultant, die Hubert einmal mehr gemacht hatte. Wenn Sicherheit, dann nur, wenn es nicht zu viel kostet und nur soviel, dass man gerade so die Anforderungen und Regularien erfüllt. Die Kunden wollten gar keine Security, sie wollten nur Compliance, also die Bestätigung der Erfüllung butterweicher Kriterien nach irgendeinem Standard, damit sie mit irgendwelchen Zertifikaten werben konnten. Sicherheit musste nur auf dem Papier attestiert werden, aber nicht tatsächlich vorhanden sein. Hubert musste an die jüngst in der Presse berichteten Hacks von Webshops denken, bei denen sich die Angreifer auch nicht von Siegeln für sicheres Onlineshopping und vertrauenswürdige Verkäufer hatten abhalten lassen.
Das Thema Geld ließ Hubert nicht los. Vielleicht könnte er seinen Chef von einer Gehaltserhöhung überzeugen. Die letzten Projekte waren sehr gut gelaufen und Hubert war immer dazu bereit, Überstunden zu machen und die Kunden zur vollsten Zufriedenheit zu bedienen. Insgeheim hoffte er ja auch immer noch auf die vakante Stelle des Geschäftsbereichsleiters. Vielleicht könnte er auch nebenbei etwas als Freiberufler machen, wie früher schon einmal. Aber selbst wenn er mehr verdienen würde – die Hälfte davon würde direkt an Karina gehen. Eigentlich müsste er eine Möglichkeit finden, Geld zu verdienen, an das Karina nicht herankommen konnte. Auch wenn es nach dem Trennungsjahr wirklich zur Scheidung kommen sollte, würde sicherlich noch einmal viel verloren gehen. Es musste also ein anderer Plan her.
Es war eine gefährliche Mischung aus Frust, Wut und der Sorge um die finanzielle Zukunft, die da in Hubert brodelte. Er musste immer noch an den Kunden denken. Der war nicht bereit für Security zu zahlen. Eines Tages würde sich ein Angreifer in das Unternehmen hacken und damit wahrscheinlich sehr viel mehr Schaden anrichten, als Hubert zur Absicherung der IT des Kunden gebraucht hätte. Mit Sicherheit ließ sich nicht das große Geld verdienen, aber vielleicht mit der Unsicherheit. Oft genug fanden sich in den Fachmedien der IT Artikel dazu, wie Hackerbanden mit Botnetzen oder Ransomware viel Geld machten. Ransomware, welche die Daten auf den PCs der betroffenen Nutzer verschlüsselte und vorgab diese nach Zahlung eines Lösegelds wieder zu entschlüsseln, hatte es in letzter Zeit sehr häufig gegeben. Durch die öffentliche Berichterstattung war davon auszugehen, dass immer weniger Betroffene die geforderte Summe bezahlen würden. Schließlich war zwischenzeitlich auch bei nicht IT-affinen Menschen bekannt, dass selbst nach der Zahlung an die Kriminellen nicht wirklich die Entschlüsselung der Daten erfolgen würde. Auch für Botnetze gab es einen Markt. An einschlägigen Stellen im Internet konnte man ganze Legionen befallener Rechner – die sogenannten Bots – mieten, um darüber Spam und Viren zu verteilen oder durch das Überfluten mit Datenpaketen Internetdienste außer Betrieb zu nehmen. Letztere Denial of Service Angriffe – so etwas wie der virtuelle Sitzstreik – wurde häufig zur Erpressung der Diensteanbieter genutzt. Die Konkurrenz war groß. Solche Angriffe konnte man mittlerweile stundenweise im Internet für 20 Dollar mieten. Ein Unternehmen mittels eines Denial of Service Angriffs zu erpressen wäre zudem moralisch besonders bedenklich, bestrafte man damit doch das Opfer für das Fehlen von Maßnahmen, die nicht nur bei diesem, sondern vielmehr bei den Providern etabliert sein müssten.
Selbst ein Botnetz zu betreiben und dessen Kapazitäten zu vermieten war beispielsweise in der ehemaligen Sowjetunion sehr viel einfacher als in Deutschland, wenn man nicht die nächsten Jahre hinter Gittern verbringen wollte. Vor einigen Jahren konnte man auch noch Geld damit verdienen, mittels Trojanern gestohlene Kreditkartendaten im Internet zu verkaufen. Mittlerweile wurden diese zu Cent-Beträgen angeboten und waren nahezu wertlos. Die Kriminellen, die solche Angebote offerierten, warben mittlerweile ja sogar auf Plattformen wie Youtube für ihr Portfolio. Neulich hatte Hubert sogar von einem Nutzer gehört, der sich ein Video von Händlern gestohlener Kreditkarteninformationen angeschaut hatte. Die Werbung, die von Youtube vor dem Start des Videos eingeblendet worden war, war die eines weltweit renommierten Kreditkarteninstituts gewesen. Die Kriminellen bewegten sich auf einem hohen Niveau und es würde, wenn dies überhaupt mehr als nur ein kurzes Gedankenspiel sein sollte, andere Methoden brauchen, um mit derartigen Methoden Geld zu verdienen.
Solche Angriffe aus technischer Sicht durchzuführen war eine Sache – eigentlich gar nicht so kompliziert. Auch das Verwischen der eigenen Spuren war machbar. Aber wie sollte man damit Geld verdienen? Und zwar so, dass es sich lohnte und man nicht ertappt werden würde?
Hubert kam ins Grübeln. Das deutsche Rechtssystem und die Rahmenbedingungen in Deutschland waren nicht die Besten, aber Geld verdienen mit Hacking war dennoch risikoreich, wenn man selbst aus Deutschland heraus agierte und sich somit innerhalb der Reichweite der Strafverfolger befand. Schlimmer als die Trennung von Frau und Kind wäre, durch so eine blöde Idee noch den Job zu verlieren oder sogar ins Gefängnis zu müssen. Im Kopf spielte Hubert weitere Angriffsszenarien durch. Es lief jedoch immer darauf hinaus, dass wegen dem typischen Ansatz der Strafverfolger, dem Prinzip „Follow the money“, wohl die Wahrscheinlichkeit ertappt zu werden zu hoch war.
Hubert trank sein Bier aus. Er legte sich auf die Couch, und während er noch das eine oder andere Gedankenspiel durchlief, fielen ihm schließlich die Augen zu.