25. März 2012

Marginalie, zugleich eine Meckerecke: Datendiebstahl anno 2011. Warum sind besonders Restaurants betroffen?

"Hacktivisten haben 2011 mehr Daten geklaut als Kriminelle" war am Freitag ein Artikel bei "Heise-Online" überschrieben.

Daran hat mich gleich dreierlei geärgert. Erstens das verharmlosende "geklaut" für Diebstähle mit massivem Schaden. Aber nun gut, diese seltsame Mischung aus Kinder- und Ganovensprache ist ja inzwischen üblich geworden; Begriffe wie "Knast" und "Bulle" sind ebenso über die Unterschicht hinaus hoffähig geworden wie "Klamotten", "Staatsknete" und wie die Sitte, sich bunte Bilder in die Haut stechen zu lassen. Das ist ein Stück Entkultivierung; die Mittelschicht orientiert sich an der Unterschicht und nicht mehr, wie früher, an der Oberschicht (siehe Warum tragen Prolls Goldkettchen?; ZR vom 3. 12. 2006).

Zweitens hat mich diese Wortschöpfung "Hacktivisten" geärgert. "Aktivist" ist ein schillernder Begriff, der sowohl auf Politikriminelle als auch auf Menschen bezogen wird, die sich legal politisch engagieren; er verwischt also den Unterschied zwischen kriminellem und gesetzestreuem Verhalten (siehe Die Aktivitäten der Aktivisten. Über die fragwürdige Karriere eines Begriffs; ZR vom 21. 6. 2011). Das nun mit dem Wort "Hacker" zu einem Kofferwort für einen Datendieb zu verbinden, macht die Sache nicht besser.

Vor allem aber hat mich drittens geärgert, daß diese Überschrift "Hacktivisten" und "Kriminelle" gegenüberstellt - so als wären Hacker keine Kriminellen.

Es gibt diese eigenartige Neigung, Verbrecher bestimmter Kategorien als Edelverbrecher zu behandeln. In der älteren Folklore waren das gern Räuber, Piraten und Mörder, die besonders spektakuläre Verbrechen begangen hatten - Robin Hood, Klaus Störtebeker, Rinaldo Rinaldini, Bonnie und Clyde beispielsweise. Heute sind es überwiegend die politisch motivierten Kriminellen.

Mord gilt oft als weniger verachtenswert, wenn er aus einem politischen Motiv heraus begangen wird; und auch dann wird noch einmal zwischen links- und rechtsextremen Motiven unterschieden. So, wie das kürzlich ein deutscher Professor getan hat, der bei Extremisten "zwischen Gewalt und Gewalt ... gewaltige Unterschiede" sieht; je nachdem, ob diese Gewalt Hanns Martin Schleyer getroffen hat oder einen Einwanderer.

Und ebenso wird Datendiebstahl unterschiedlich bewertet; je nachdem, aus welchen Motiven er erfolgt. Die einen sind dann die "Hacktivisten", die anderen die "Kriminellen". Es sind aber die einen wie die anderen kriminelle Hacker; Kriminelle, die ihre Taten mit dem modus operandi des Hackens begehen. Der Unrechtsgehalt ist derselbe; die kriminelle Energie ist vergleichbar.

Motive gibt es immer viele unterschiedliche für Verbrechen; das ist weitgehend irrelevant. Ein Mörder aus Habgier ist ebenso ein Mörder wie ein Triebtäter; ein Datendiebstahl, um die Server eines Unternehmens zu zerstören - wie kürzlich im Fall Stratfor -, ist ebenso kriminelles Handeln wie ein Diebstahl, um sich zu bereichern.



Soweit der Meckerecken-Teil dieses Artikels. Jetzt die Marginalie.

Worum geht es in dem Artikel bei "Heise-Online"? Das amerikanische Unternehmen Verizon veröffentlicht jedes Jahr einen Bericht zur Datensicherheit; und der 2012 Data Breach Investigations Report ist soeben erschienen, also der Bericht über Datendiebstähle für das Jahr 2012. Auf ihn bezieht sich "Heise-Online".

Der Bericht ist vollgepackt mit Einzeldaten, von denen die meisten nur den Fachmann interessieren dürften. Er ist dabei aber so munter und witzig geschrieben, daß ich die Lektüre durchaus empfehlen kann; zumindest diejenige des Executive Summary, also der Allgemeinverständlichen Kurzfassung, aus der sich im wesentlichen auch der Bericht von "Heise-Online" speist. (Dort erfährt man übrigens auch - Seite 3 -, daß für die meisten Datendiebstähle nach wie vor organisierte Kriminalität verantwortlich ist; allerdings stehlen politisch motivierte Straftäter bei jedem einzelnen Einbruch im Schnitt größere Datenmengen, so daß 58 Prozent der gesamten gestohlenen Datenmenge auf ihre Rechnung gehen).

Bei der Aufschlüsselung der Anzahl der Datendiebstähle nach Branchen bin ich auf einen Befund (Seite 11) gestoßen, der mir überraschend erschien: Den mit Abstand größten Anteil (54 Prozent) stellt die Branche Gastronomie und Beherbergung! Mit großem Abstand folgen der Einzelhandel (20 Prozent) und Finanz- und Versicherungsunternehmen (10 Prozent).

Wie kommt das? Wieso sind ausgerechnet Hotels und Restaurants so anfällig für den Diebstahl ihrer Daten? Die Antwort fand ich in einem Artikel im Online-Magazin Slate mit dem hübschen Titel "A burger, an order of fries, and your credit card number. Why it's so easy for hackers to steal financial information from restaurants" - Einen Hamburger, einmal Pommes und die Nummer Ihrer Kreditkarte. Warum Hacker so leicht bei Restaurants finanzielle Informationen stehlen können.

In Deutschland ist das noch weniger weit verbreitet - aber in den USA und in vielen Ländern Europas ist es üblich: Nicht nur das Speisen in einem guten Restaurant, sondern auch jedes Essen im Imbiß oder der Pizzeria wird mit der Kreditkarte bezahlt.

Oft werden dabei die Daten so wenig verdeckt eingelesen, daß jeder Kellner sie leicht ausspähen könnte. In Deutschland ist es noch immer weit verbreitet, daß nicht etwa der Kellner mit dem Lesegerät an den Tisch kommt, sondern er sich die Kreditkarte nimmt und mit ihr zwecks Einlesens der Daten irgendwohin verschwindet. Im Prinzip kann er dort kopieren, was er will.

Aber nicht das ist das größte Problem; denn ein Betrug auf diese Weise würde in der Regel schnell entdeckt werden. Die Schwachstelle sind die sogenannten point-of-sale-systems, die elektronischen Kassensysteme, in denen die Daten der Kunden gespeichert sind, die mit einer Kreditkarte gezahlt haben. Dorthin brechen die Täter ein, die meist der organisierten Kriminalität angehören. Führend ist dabei Rußland; aber auch die USA, Rumänien und Vietnam sind gut im Geschäft.

Im Einzelnen sieht das typische Vorgehen so aus: Zunächst wird ein Programm verwendet, das nach IPs sucht, die danach aussehen, daß sie zu Restaurants oder Restaurantketten gehören könnten. Hat man diese gesammelt, dann werden im nächsten Schritt mit Hilfe eines anderen Programms gängige Paßwörter durchprobiert. Besonders kleinere Franchise-Unternehmen richten oft nicht einmal eigene Paßwörter ein, sondern benutzen diejenigen der gesamten Kette. Mit einem einzigen gefundenen Paßwort können die Kriminellen damit unter Umständen in hunderte von Restaurants einbrechen.

Ein weiteres Programm sucht sodann in den erbeuteten Datensätzen nach Nummern von Kreditkarten. Diese werden, um die Aufdeckung zu erschweren, nicht sofort verwendet, sondern in Listen zusammengefaßt und an Hehler verkauft. Der Preis richtet sich zum Beispiel danach, ob auch die persönlichen Informationen mit erfaßt sind, oder gar die Prüfnummer.

Der bestohlene Kunde merkt das alles erst nach langer Zeit, wenn plötzlich unerklärliche Abbuchungen von seiner Kreditkarte erscheinen. Die Täter haben inzwischen natürlich ihre Spuren verwischt.



Was kann man dagegen tun? Als Kunde wenig; außer bar zu zahlen. Der Besitzer oder Pächter eines Restaurants allerdings könnte solche Sicherheitslücken mit relativ geringem Aufwand schließen. Verizon hat in seinen diesjährigen Bericht auf Seite 62 einen kleinen Merkzettel dazu eingebaut. Wer den Bericht liest, der kann ihn sich ausdrucken, ihn ausschneiden und beim nächsten Besuch dem Besitzer seines Restaurants unauffällig zukommen lassen. Der Merkzettel beginnt so:
Greetings. You were given this card because someone likes your establishment. They wanted to help protect your business as well as their payment and personal information.

Guten Tag. Sie erhalten diesen Merkzettel, weil jemand Ihr Unternehmen schätzt. Die Betreffenden möchten Ihnen helfen, Ihr Geschäft zu schützen, aber auch ihr eigenes Geld und ihre persönlichen Informationen.
Es folgen die wichtigsten Maßregeln, die der Inhaber befolgen sollte.­
Zettel



© Zettel. Für Kommentare bitte hier klicken. Mit Dank an Thomas Pauli