Die bislang bedeutendsten Cyber-Attacken der Geschichte
Angriffe von besonderer Prägnanz
Die zweifelhafte Ehre des ersten echte Hackers: Kevin Mitnick und die DEC
p>Jede Kriminalitätsform hat ihr „Erstlingswerk“. Ähnlich, wie der erste Bankraub erst stattfinden konnte, nachdem das erste Kreditinstitut nach modernem Verständnis eröffnet wurde, verhält es sich beim Thema Cyber-Kriminalität. Zwar gab es schon zuvor gewisse Formen von missbräuchlicher Computernutzung. Diese lassen sich jedoch nicht als Hacks im ernsthaft kriminellen Sinn betrachten.
Aus diesem Blickwinkel gebührt dem damals 16 Jahre alten US-Amerikaner Kevin Mitnick die zweifelhafte Ehre, der erste „richtige“ Hacker zu sein. Denn er war anno 1979 der erste, der einen gänzlich digitalen Diebstahl beging – aus den Systemen der Digital Equipment Corporation (DEC), einer Software-Firma.
Vorgehensweise und Auswirkungen
Der Teenager hatte zu diesem Zeitpunkt bereits eine gewisse Karriere als digitaler Trickser erlebt. So hatte er bereits mit Zwölf über eine Lochmaschine eigentlich weggeworfene Bus-Tickets genutzt, um den ÖPNV von Los Angeles missbräuchlich zu nutzen.
1979 bekam er von Freunden die Telefonnummer des Einwahlmodems von „The Ark“, dem Computersystem der DEC. Auf diesem lag der Quellcode für die unternehmenseigene Software. Die Freunde wollten wetten, Mitnick sei nicht in der Lage, sich Zugang zu verschaffen.
Da Mitnick aber nur die Telefonnummer des Modems besaß, nicht jedoch Zugangsdaten, brauchte er tatsächlich mehr. Er recherchierte den Namen des DEC-Systemadministrators, gab sich ihm gegenüber telefonisch als DEC-Chefentwickler Anton Chernoff aus und behauptete, sich nicht in The Ark einloggen zu können. Im guten Glauben legte ihm der Administrator einen neuen Account an, gab ihm alle Passwörter und der Hack war vollzogen. Mitnick demonstrierte seinen Freunden den Erfolg, woraufhin einer aus der Gruppe Quellcodes aus dem System herunterlud. Anschließend informierte die Gruppe die DEC von ihrem Hack.
Mitnick wurde daraufhin von der Firma auf vier Millionen Dollar Schadensersatz verklagt, diese Summe wurde jedoch von der Staatsanwaltschaft auf realistischere 160.000 Dollar reduziert. Jedoch: Erst 1988 wurde er dafür zu einem Jahr Gefängnis verurteilt. Zuvor fehlte dem US-Rechtssystem schlicht die Grundlage, um Hacks passend strafrechtlich ahnden zu können.
Nach einer weiteren Karriere mit zahlreichen spektakulären Hacks, die diesen Artikel getrost füllen würden, eröffnete Mitnick anno 2000 eine Beratungsfirma für digitale Sicherheit.
Evaldas Rimasauskas: Ein Litauer phisht bei Facebook und Google
Phishing hat sich längst zu einem der bedeutendsten Modi Operandi der digitalen Welt entwickelt. Immer geht es darum, durch gefälschte E-Mails oder ähnliche Nachrichten Opfer zur Herausgabe von wichtigen Account-Daten oder gleich Zahlungen zu bringen, um ihnen somit Geld zu stehlen. Meist handelt es sich dabei um Privatmenschen und kleinere Unternehmen.
Der Litauer Evaldas Rimasauskas allerdings zeigte zwischen 2013 und 2015, wie solche Maschen selbst bei digitalen Giganten verfangen können: Er phishte Google und Facebook erfolgreich um die Rekordsumme von über 120 Millionen Dollar.
Vorgehensweise und Auswirkungen
Mit bislang unbekannten Mittätern gab sich Rimasauskas als Mitarbeiter von Lieferanten aus, die mit den beiden Unternehmen zusammenarbeiteten. Etwa Quanta Computer aus Taiwan, mutmaßlich ein Server-Lieferant für die digitalen Giganten.
Auf diese Weise wurden immer wieder mit Phishing-Techniken echt wirkende Rechnungen versendet – und von den Opferfirmen prompt bezahlt. Das Geld wanderte auf Konten in Litauen und auf Zypern und wurde von dort auf verschiedene Konten in aller Welt transferiert, um es zu verschleiern.
Ende 2016 wurde nach Ermittlungen bekannt, wer hinter den Angriffen steckte. Evaldas Rimasauskas wurde von der litauischen Polizei festgenommen, in die USA überstellt und dort vor Gericht gestellt. Dort wurde er dann Ende 2019 zu fünf Jahren Haft verurteilt.
The Fappening: Der Super-GAU für das Cloud-Image
Ein Merkmal vieler Hacks ist, dass Kriminelle hierbei Unbedarftheit, ein zu geringes Empfinden der Gefahr oder schlichte Unwissenheit ihrer Opfer ausnutzen. 2014 gipfelte dies in einem Hack, der als „The Fappening*“ nicht nur besondere Berühmtheit erfuhr, sondern unsagbar tief in die Privatsphäre vieler, vor allem weiblicher, Prominenter eingriff.
*Kofferwort aus (to) fap (lautmalerischer Internet-Slang für Selbstbefriedigung) und Happening
Dabei drangen der US-amerikanische Hacker Ryan Collins und andere in die iCloud- und Gmail-Accounts der Prominenten ein. Dort entwendeten sie zahlreiche Bilder und Videos, auf denen die Personen in sehr intimen Situationen sexueller Natur zu sehen waren – die Prominenten hatten die Dateien selbst von sich aufgenommen und in ihrer persönlichen Cloud abgespeichert, statt auf dem Gerät.
Anschließend wurden die Medien in mehreren Wellen auf Portalen wie 4chan anonym veröffentlicht, wodurch sie eine globale Verbreitung erfuhren – mit zahlreichen Auswirkungen auf die Psyche der Opfer.
Vorgehensweise und Auswirkungen
Zunächst wurde vermutet, Collins habe ganz gezielt Sicherheitslücken in anderen Diensten von Apple ausgenutzt. Die Ermittlungen brachten jedoch abermals simples Phishing ans Licht. Collins hatte die Prominenten mit gefälschten Mails dazu aufgefordert, sich in ihre Accounts einzuloggen und so die Daten entwendet.
Das FBI ermittelte intensiv und konnte so vier Haupttäter herausfinden. Sie wurden in mehreren Verfahren zu Haftstrafen zwischen 9 und 18 Monaten verurteilt. Die gestohlenen Medien sind indes trotz zahlreicher Versuche immer noch im Netz zu finden.
Der Citibank-Hack: Die erste Bank im Visier
Das World Wide Web als für jeden frei zugängliche Anwendungen war gerade einmal seit drei Jahren freigeschaltet, als das Netz seinen ersten Bankraub erlebte. Dieser Hack war jedoch nicht nur deshalb so bedeutend, sondern weil er überdies erstmalig aufzeigte, was für eine gigantische Welle der Kriminalität der Welt bevorstand – ohne dass sich Täter vor Ort befinden. Insofern gilt der Citibank-Hack bis heute als historische Zäsur.
Vorgehensweise und Auswirkungen
Aus heutiger Sicht mag die damalige Vorgehensweise, die selbst das FBI verblüffte, geradezu archaisch wirken – und Dank heutiger Sicherheitsmaßnahmen nicht mehr reproduzierbar. Damals jedoch war die Vorgehensweise sehr clever, wenn man es in diesem Zusammenhang so nennen möchte.
Der russische Hacker Wladimir Levin operierte von St. Petersburg aus – und zwar nur mit einem Laptop. Von dort hackte er sich in das digitale Geschäftskundensystem der US-Citibank. Ein System, das solchen Kunden das einfache Verschieben von Geldern zwischen verschiedenen Konten ermöglichte.
Schlüsselpersonen hierfür war ein russisches Pärchen, das zeitweilig in den USA gelebt hatte und deshalb Konten bei dieser Bank hatte. Durch Eindringen in besagte Geschäftskonten konnte Levin zwischen Juni und Oktober 1994 ungefähr 40 illegale Überweisungen tätigen. Insgesamt mehr als zehn Millionen Dollar.
Bereits im Juli fiel der Hack auf, als mehrere Unternehmen sich meldeten, es seien Summen von insgesamt 400.000 Dollar verschwunden. Die Citibank alarmierte sofort das FBI. Ausländische Zielkonten für das Geld wurden eingefroren, wodurch die Täter kein Geld mehr davon abheben konnten. Daraufhin kam das Pärchen erneut ins Spiel. Die Gelder wurden auf seine Konten überwiesen, mussten aber persönlich in den USA abgehoben werden.
Hier schlug das FBI zu, verhaftete die Kurierin und bekam durch ihre Aussage erst einen Gesamtüberblick über den Hack. Zwar kooperierten die russischen Behörden, jedoch konnte Levin erst 1995 festgenommen werden, als man ihn unter einem Vorwand nach London lockte. Er wurde 1997 zu drei Jahren Haft in den USA verurteilt.
Allerdings: 2005 meldete sich ein Mitglied einer damaligen St. Petersburger Hacker-Gruppe und behauptete, Levin hätte gar nicht die Fähigkeiten gehabt. Vielmehr hätte der anonyme Hacker selbst den ursprünglichen Angriff durchgeführt und Levin die Zugangsdaten für 100 Dollar verkauft.
Gary McKinnon: Wenn die UFO-Jagd viel zu weit geht
Das Thema UFOs und Aliens beschäftigt viele Menschen. Nicht eben wenige glauben, Regierungen würden großangelegte Vertuschungsaktionen betreiben, um die Weltöffentlichkeit über eine diesbezügliche „Wahrheit“ im Unklaren zu lassen.
Viele solcher Personen übertreten Gesetze auf der Suche nach Beweisen für ihre Theorien. Den Gipfel dürfte jedoch der Schotte Gary McKinnon erreicht haben. Er stieg Anfang der 2000er in nicht weniger als 97 verschiedene Computersysteme des US-Militärs, des Pentagons und der NASA ein.
Vorgehensweise und Auswirkungen
Der Systemadministrator war dabei gezielt auf der Suche nach Informationen über Außerirdische sowie „freie Energie“. Laut eigenen Aussagen musste er dafür nicht einmal großartig hacken, sondern die Computer seien nicht durch Passwörter abgesichert gewesen.
Er nutzte deshalb offenbar einen schlichten Port-Scanner, frei erhältliche Software sowie einige simple Scripts, die er selbst geschrieben hatte. Nach eigenen Angaben wurde er nur deshalb geschnappt, weil er beim Zugriff auf die fremden Desktops die Zeitzonen nicht beachtete, wodurch anwesende Mitarbeiter auf den sich bewegenden Mauszeiger aufmerksam wurden. Allerdings hatte McKinnon wohl auch Botschaften hinterlassen und Daten gelöscht – weshalb die US-Marine behauptete, die Munitionsversorgung ihrer gesamten Atlantikflotte sei für mehrere Tage verunmöglicht gewesen.
Im März 2002 wurde er von der britischen Polizei vernommen, seine Computer durchsucht, jedoch wurde keine Anklage erhoben, weil man keine Profiterzielungsabsichten sah. Ein halbes Jahr später wurde McKinnon allerdings von einem US-Gericht in mehreren Fällen angeklagt. Die Haftstrafe hätte sich insgesamt auf 70 Jahre belaufen. Mehrfach wurde sowohl von US- als auch britischer Seite versucht, ihn in die USA zu überstellen. 2012 jedoch blockierte die damalige britische Innenministerin Theresa May jegliche weiteren Versuche, zudem wurde McKinnon nicht in Großbritannien angeklagt.
Allerdings: Bis heute behauptet der Schotte, dabei tatsächlich sehr interessante Informationen gefunden zu haben, die mit UFOs, freier Energie und ähnlichen Themen zu tun hätten.
Colonial Pipeline: Von der Verletzlichkeit unserer modernen Welt
Nicht immer geht es beim Hacken darum, schlicht illegal an Gelder zu kommen – aber oft. Die diesbezüglich dreisteste Masche dürfte Erpressersoftware beziehungsweise Ransomware sein. Software also, die einen fremden Rechner kapert, sperrt und unter Androhung der Datenlöschung oder anderer Manipulationen Lösegeld fordert.
Erneut sind davon häufig Privatmenschen und kleinere Unternehmen betroffen. 2021 jedoch zeigte ein solcher Hack der Welt auf, wie verletzlich sie längst durch die Digitalisierung und Vernetzung geworden ist. Denn Ziel war nicht weniger als die Colonial Pipeline Company, Betreiber des gleichnamigen Systems und damit der wichtigsten und längsten US-Pipeline für raffinierte Erdölprodukte. Drei Millionen Barrel werden darin täglich zwischen Texas und New York bewegt – fast die Hälfte des Kraftstoffs, der an der US-Ostküste verbraucht wird.
Vorgehensweise und Auswirkungen
Verantwortlich war offenbar die in Russland vermutete „DarkSide“ Hacker-Gruppierung. Sie ging folgendermaßen vor:
- Am 29. April 2021 verschaffte DarkSide sich Zugang zu einem VPN-Remote-System von Colonial Pipeline für Mitarbeiter. Die dafür nötigen Passwörter stammten offenbar aus einem zurückliegenden Leak und waren im Darknet verfügbar. Da das System nicht per Zwei-Faktor-Authentifizierung abgesichert war, wurde der Zugriff zunächst nicht bemerkt.
- Am 7. Mai 2021 wurde bemerkt, dass das Rechnungssystem betroffen war. Die eigentliche Technik der Pipeline war unbetroffen. Das Erpresserpotenzial entstammte aus 100 Gigabyte gestohlener Daten und der Drohung mit Veröffentlichung.
- Aufgrund dessen entschied sich Colonial Pipeline am selben Tag, sicherheitshalber den gesamten Betrieb einzustellen. Man befürchtete, die Hacker könnten auch andere Systeme übernommen haben und dadurch katastrophale Schäden verursachen – nicht zuletzt für die Umwelt.
DarkSide forderte 75 Bitcoin (damals etwa 4,4 Millionen Dollar) – und bekam sie auch. Jedoch war das daraufhin bereitgestellte Entschlüsselungs-Tool so langsam, dass die Pipeline sechs Tage lang nicht funktionstüchtig war. US-Präsident Biden musste einen Notstand ausrufen und unterzeichnete bereits am 12. Mai einen Gesetzesentwurf, der unter anderem die Sicherheitsstandards für so kritische Systeme erhöht. Das US-Außenministerium lobte ein Lösegeld von zehn Millionen Dollar zur Ergreifung der Mitglieder der Gruppierung aus.
Epsilon: Der bislang wohl teuerste Einzelhack
Ziel dieses Artikels ist es, Hacks zu präsentieren, die aus verschiedenen Gründen „besonders“ sind. Dazu gehört natürlich unter anderem die reine Schadenssumme. Was das anbelangt, so dürfte das Eindringen in die Firma Epsilon, ein zu Alliance Data gehöriges Marketing-Unternehmen, den bisherigen Gipfel darstellen. Also der mutmaßlich teuerste einzelne Hack.
Bei Epsilon handelt es sich um nicht weniger als eine der größten Marketing-Firmen der USA. Als solche besitzt das Unternehmen Millionen von E-Mail-Datensätzen, um beispielsweise darüber Werbung zu versenden – zum Zeitpunkt des Hacks für nicht weniger als 2.500 gewerbliche Kunden.
Also eine Firma, die für Hacker sehr interessant ist. Denn mit legitimen E-Mail-Adressen und dazugehörigen Daten lassen sich beispielsweise sehr umfassende Phishing-Angriffe fahren und im Darknet sind solche Datensätze selbst zu Geld zu machen.
Vorgehensweise und Auswirkungen
Anfang April 2011 gelang es Hackern, in diese reichhaltige „Schatzkammer“ von Epsilon einzudringen. Und zwar über einen „unautorisierten Eingriff“ in das E-Mail-System der Firma und somit mutmaßlich einmal mehr durch Phishing – genauere Details wurden niemals veröffentlicht, um keine Nachahmer anzuspornen.
Schätzungsweise 60 Millionen Namen und E-Mail-Adressen und somit zwei Prozent des gesamten Firmenbestandes wurden dabei entwendet – vor allem von so bekannten Unternehmen wie Walgreens, JPMorgan und Kroger. Insgesamt waren 75 Kunden von Epsilon betroffen.
Wer die Hacker sind und wie viel Geld sie aus den gestohlenen Daten herausschlagen können, ist weiterhin unbekannt. Was den Hack so teuer macht, sind die bekannteren Summen: Epsilon selbst hatte wohl einen Schaden von geschätzt 225 Millionen Dollar. Bei den betroffenen Unternehmen waren es um die 410 Millionen. Mit den Ermittlungen, entgangenen Einnahmen und allen weiteren Faktoren rechnen Experten mit einer Schadenssumme, die bis zu vier Milliarden Dollar betragen könnte.
MafiaBoy legt das Internet lahm
Schon seit den frühen 1980ern werden Hacker medial meist als einzeln agierende jugendliche Nerds dargestellt. Tatsächlich handelt es sich jedoch schon wegen der Arbeitsbelastung oftmals eher um Gruppierungen – zumindest, bei Angriffen auf fähige Gegner wie beispielsweise größere Unternehmen.
Einem jugendlichen Hacker allerdings gelang es tatsächlich, im Alleingang fast das gesamte „Internet“ der damaligen Zeit lahmzulegen. Der Kanadier Michael Calce, besser bekannt unter seinem Alias MafiaBoy.
Vorgehensweise und Auswirkungen
Im Jahr 2000 war die heute mit Abstand größte Suchmaschine der Welt nur eine unter vielen – und stattdessen Yahoo! in vielen Ländern die wichtigste Suchmaschine überhaupt. Calce war damals erst 15 und hatte sich vorgenommen, sich in der Hacker-Welt einen Namen zu machen. Das Pseudonym war da, jedoch fehlte eine „Ruhmestat“. Anfang 2000 hatte der Jugendliche das Projekt Rivolta (italienisch für Aufstand) programmiert. Eine DDoS-Attacke, die also Server mit so vielen Anfragen überhäuft, bis diese nicht mehr reagieren können.
Im Netz behauptete damals ein anderer Hacker, die Seite des Nachrichten-Giganten CNN sei uneinnehmbar. Das sah MafiaBoy als seine Chance – er ließ Rivolta los. Das Ergebnis war zu erwarten. CNN.com war bald nicht mehr zu erreichen. Da Calce sich aber einen richtigen Namen machen wollte, machte er weiter. Unter anderem griff er Amazon, eBay und Buy.com an. Angeblich war es zwar ein Versehen, weil er das Script vor Schulbeginn nicht ausgeschaltet hatte, aber an einem der nächsten Tage wurde Rivolta zudem auf Yahoo! losgelassen.
Und obwohl eine Suchmaschine schon damals dafür ausgelegt war, sehr viele gleichzeitige Anfragen zu bewältigen, brach sie zusammen. Ähnlich, als wenn heute Google zusammenbräche, war damals quasi die „Startseite des Internets“ weltweit nicht mehr erreichbar und somit das ganze Netz nur noch eingeschränkt nutzbar.
Vielleicht wäre MafiaBoy niemals erwischt worden. Im jugendlichen Übereifer reklamierte er jedoch den Ruhm der Tat in Internetforen für sich. Am 12. September 2001 wurde er von einem kanadischen Jugendgericht zu acht Monaten offenem Vollzug, einem Jahr Bewährung und eingeschränktem Internetzugang verurteilt. Ähnlich wie der weiter oben genannte Kevin Mitnick wurde Michael Calce ebenfalls Sicherheitsberater in Sachen IT.
Fazit
Viele Menschen, Unternehmen und Regierungsorganisationen wurden bis zum heutigen Tage bereits mit Cyber-Kriminalität konfrontiert. Sie werden Opfer von gehackten Social-Media-Accounts, sehen ihren Rechner mit Schadsoftware infiziert oder gleich ganze Großnetzwerke durch DDoS-Attacken längere Zeit lahmgelegt. Tatsächlich jedoch sind die meisten dieser Fälle gegenüber der hier gezeigten Liste „Peanuts“ – so hart dies klingen mag.
Unterstrichen sei zudem die Unvollständigkeit der Liste. Da sich die Digitalisierung immer noch in einer globalen Aufbauphase befindet, werden die möglichen Ziele – und Vorgehensweisen der Täter – immer vielfältiger. Somit wird künftig weiterhin mit Angriffen zu rechnen sein. Wahrscheinlich sogar in Maßstäben, die wiederum einige der hier vorgestellten Attacken wie „Peanuts“ wirken lassen.
