SÜDWESTRUNDFUNK SWR2 Wissen - Manuskriptdienst Geschäfte mit gefälschter Anti-Virensoftware Autor: Kai Laufen Redaktion: Detlef Clas Regie: Eigenproduktion des Autors Sendung: Montag, 26. April 2010, 8.30 Uhr, SWR 2 Bitte beachten Sie: Das Manuskript ist ausschließlich zum persönlichen, privaten Gebrauch bestimmt. Jede weitere Vervielfältigung und Verbreitung bedarf der ausdrücklichen Genehmigung des Urhebers bzw. des SWR. Mitschnitte auf CD von allen Sendungen der Redaktion SWR2 Wissen/Aula (Montag bis Sonntag 8.30 bis 9.00 Uhr) sind beim SWR Mitschnittdienst in Baden-Baden für 12,50 € erhältlich. Bestellmöglichkeiten: 07221/929-6030 Kennen Sie schon das neue Serviceangebot des Kulturradios SWR2? Mit der kostenlosen SWR2 Kulturkarte können Sie zu ermäßigten Eintrittspreisen Veranstaltungen des SWR2 und seiner vielen Kulturpartner im Sendegebiet besuchen. Mit dem kostenlosen Infoheft SWR2 Kulturservice sind Sie stets über SWR2 und die zahlreichen Veranstaltungen im SWR2-Kulturpartner-Netz informiert. Jetzt anmelden unter 07221/300 200 oder swr2.de SWR 2 Wissen können Sie ab sofort auch als Live-Stream hören im SWR 2 Webradio unter www.swr2.de oder als Podcast nachhören: http://www1.swr.de/podcast/xml/swr2/wissen.xml Dieses Manuskript enthält Textpassagen in [Klammern], die in der ausgestrahlten Sendung aus Zeitgründen gekürzt wurden. MANUSKRIPT Autor: Wer seinen Computer gegen die Gefahren durch Viren, Würmer und Trojaner aus dem Internet schützen will, verwendet dafür am besten Anti-Virensoftware. Diese erkennt einen Großteil der Bedrohungen, zum Beispiel, weil sie auf Datenbanken zurückgreift, die ständig mit den Erkennungsmerkmalen neuer Schadprogramme gefüttert werden. Tausende sind das jeden Tag. Viel Arbeit also für die Anbieter von Anti-Viren-Software. Zumindest für Firmen, die ihr Geschäft legal und ehrlich betreiben. Doch diese haben gefährliche Konkurrenz bekommen. Gut organisierte, aber betrügerische Unternehmen, haben eine neue Dimension der Internetkriminalität eröffnet. Ansage: Geschäfte mit gefälschter Anti-Virensoftware Von Kai Laufen Cut 1: Cornelia Mangelsdorf Ich war dabei, eine Reise zu buchen im Internet, benutze den Rechner meines Sohnes, und der war voller Viren und vor allem klappte immer ein Fenster auf, ein Pop-upFenster, es sprang auf und bot ein Anti-Virus-Programm an. Autor: Cornelia Mangelsorf ist eine aktive Internetnutzerin. Als Chefredakteurin der Zeitschrift „Woche Heute“ kennt sich die Baden-Badenerin mit Software aus. Regelmäßig kaufte sie früher im Internet Bücher, CDs oder buchte Reisen. Bis zu jenem Samstagmorgen vor etwa zwei Jahren, als sie unter Zeitdruck in eine Falle tappte, die Betrüger sehr geschickt im Internet aufgestellt hatten: Cut 2: Cornelia Mangelsdorf Ja, sehr seriös sah das aus und war die Kaufaufforderung und ich dachte: Gut – man spart sich natürlich bei Onlinekäufen die Zeit, irgendwohin zu fahren und ein Anti-VirusProgramm zu kaufen. [Wie gesagt, ich konnte die Situation nicht einschätzen, es sah halbwegs, es sah seriös aus, sonst hätte ich’s nicht gemacht und ich wollte diesen Virus loswerden.] Autor: Für vierzig Euro kaufte Cornelia Mangelsdorf eine vermeintliche Anti-Viren-Software, an deren genauen Produktnamen sie sich nicht mehr erinnert. Für den Kauf musste sie auf der Webseite nicht nur ihre Kreditkartendaten eingeben, sondern auch ihre Reisepassnummer. Cut 3: Cornelia Mangelsdorf Okay, und dann kaufte ich das Teil, die Popupfenster kamen weg, es ging etwas besser. Wir haben den Rechner trotzdem nach ein paar Monaten entsorgt. Gott sei Dank ist bisher nichts Schlimmes weiter passiert, bis darauf, dass das Geld weg ist und ich so was garantiert nie wieder mache. Autor: Cornelia Mangelsdorf ist eine von mehr als einer Million Kunden eines betrügerischen Unternehmens, dass zurzeit von der amerikanischen Verbaucherschutzbehörde FTC an 2 den Pranger gestellt wird. Ihre Telefonnummer fand sich in einer Liste, die der Hamburger IT-Sicherheitsexperte Dirk Kollberg gefunden hat. Die Liste und ihr Fundort im Internet führen direkt in das Operationszentrum der Betrügerbande. Und: Die Liste lässt den Schluss zu, dass die Zahl der Betrugsopfer in Deutschland bei mehreren Zehntausend, vielleicht über Hunderttausend liegt. Cut 4: Dirk Kollberg Ich wollte mit Ihnen mal einen Blick werfen auf die Daten, die wir bekommen haben durch die Analyse, die jetzt insgesamt zwei Jahre ging. Wir haben uns da auf eine Firma konzentriert, die in der Ukraine ist und sich ihr Business darin sucht, andere Leute reinzulegen und denen das Geld zu nehmen. Das sind sogenannte Fake-AVSoftware, [also Software die dem Nutzer vorgaukelt, er hätte ein Antivirenprodukt,] das heißt es kommen fälschliche Meldungen die sagen, der eigene Rechner ist infiziert und wenn der Nutzer dann auf „Bereinigen“ klickt, kommt erst ein Popup und dann wird gesagt: Nein – erst müssen sie kaufen, und hat man dann seine 40 – 50 Euro investiert, erhält man eine Vollversion, die wiederum jedoch keine Viren bereinigt, sondern einfach nur die Meldungen, die Warnungen, abschaltet. Autor: Dirk Kollberg zeigt auf einen der zehn, zwölf Bildschirme in seinem klimatisierten Arbeitslabor beim Anti-Viren-Hersteller McAfee in Hamburg. In dem abgeschirmten Raum stehen auf der einen Seite normale Computer, die ohne jeden Schutz im Internet unterwegs sind. – Mit den geschützten Rechnern auf der anderen Seite analysiert Dirk Kollberg, was sich die Opferrechner zuvor im Internet an Schadsoftware eingefangen haben. Zum Beispiel die Programme, die den Anfang des Betrugsschemas mit Fake-AV ausmachen, wie die Fachleute die gefälschte Anti-Virensoftware nennen. Cut 5: Dirk Kollberg Die Programme, die dort vertrieben werden, schätzen wir als Trojaner ein, weil sie halt nicht das machen, was der Benutzer erwartet. Von einem Anti-Viren-Programm erwarte ich, dass er schädliche Dateien erkennt und die entfernen kann. Die Software die dort verbreitet wurde, meldet nur, dass harmlose Dateien auf dem Rechner ganz, ganz böse sind und verleiten so den Nutzer zum Kauf der Produkte. Letztendlich wird aber kein Mehrwert für den Nutzer dargestellt, das heißt die Software repariert nichts, sie wird einfach nur leise und nimmt die Fehlermeldung weg, sodass der Nutzer denkt: Oh, jetzt bin ich sicher. Autor: Die Anbieter echter Anti-Virenprogramme wie McAfee, Kaspersky, AVG, Panda, G-Data oder Symantec investieren viel Geld und Personal in die ständige Aktualisierung ihrer Datenbanken, in denen sie die Erkennungsprofile neuer Schadsoftware eintragen. Die gefälschten Produkte dagegen tun nur so, als ob sie Viren erkennen. Die teure Forschung, Entwicklung und Logistik, die dafür wirklich nötig ist, sparen sich die betrügerischen Anbieter, erklärt der schweizerische IT-Sicherheitsexperte Candid Wüest. Für das US-Unternehmen Symantec arbeitet er in Zürich mit ähnlichen Methoden wie Dirk Kollberg in Hamburg – die IT-Sicherheitsbranche bringt ihre ganz eigenen Privatdetektive hervor: Cut 6: Candid Wüest Die klassischen Beispiele, die wir sehen, sind im Hauptfeld natürlich sicher diese Pseudo-Security-Tools, also meistens Anti-Viren-Scanner oder Spy-Ware-Detektion3 Tools und wenn man die installiert, die Free-Ware-Version, also die, die noch kostenlos ist, dann hat man innerhalb von 10 Sekunden die ganzen zwei Terabyte auf der Festplatte durchsucht und dann heißt’s eben 200 ganz schwer wiegende Fehler gefunden, Viren gefunden und zum Entfernen braucht’s jetzt die Vollversion, die dann 40, 50 Euro kostet. [Das ist bei den ganz frühen, die wir gesehen haben, vor fünf Jahren war’s wirklich noch so, dass egal wie groß die Festplatte ist, es dauerte immer 10 Sekunden dieser Scan. Es war ganz klar, dass hier nicht wirklich die Festplatte durchsucht wurde. Heutzutage sind sie doch ein bisschen cleverer geworden, das heißt, es werden die realen Daten angeschaut, quasi, ja ein Ordner wird aufgemacht, alle Dateien kurz durchsucht, der Name wird irgend wo kurz auftauchen, dass man sieht, ach doch, das sind wirklich meine Dateien, aber es werden dann irgend welche Dateien erfunden, die es gar nicht gibt und eben diese als Viren deklariert.] Autor: Das Sortiment der Internetbetrüger ist noch größer: Zurzeit verbreiten sie Programme, die die Festplatte der infizierten Rechner teilweise verschlüsseln. Der Nutzer hat keine Chance mehr, an seine eigenen Daten heranzukommen – es sei denn, er zahlt 50 Dollar, dann bekommt er ein Passwort für die Entschlüsselung zugeschickt. Cut 7: Candid Wüest Diese Kopfgeldtrojaner [oder Kopfgeldtools] sind eigentlich das nächste, die haben angefangen eben auch im quasi Optimisierungsumfeld, das heißt beim Scannen heißt’s oh, ich hab gefunden, dass alle deine Word-Dateien eben korrupt sind, sprich – irgend wo beschädigt und zum guten Glück kann ich’s aber reparieren, du musst einfach eben die teure Vollversion kaufen. Die Dateien sind aber natürlich nicht beschädigt, sondern wurden im Vorfeld während dem Scannen verschlüsselt und nur diese Vollversion hat eben den Entschlüsselungscode. Autor: Niemand hat verlässliche Daten über das Ausmaß der Betrugsmasche. Symantec kann immerhin indirekte Schlüsse ziehen. Wenn ein Rechner, auf dem eine Norton-AntiVirus-Lösung aus dem Haus Symantec installiert ist, von einer solchen Schadsoftware angegriffen wird und Norton das erkennt, gibt das Programm automatisch Rückmeldung an die Firma, erklärt Adam Palmer in einem der Symantec Sicherheitszentren in Los Angeles: Cut 8: Adam Palmer (engl., darüber Übersetzer) Cybercrime nimmt stark zu und wird immer komplexer, ein simples Anti-VirenProgramm reicht da nicht mehr aus. Deswegen entwickeln wird zusätzliche Sicherheitsmechanismen wie unsere Reputationsdatenbanken. Die 35 Millionen Nutzer von Norton-Produkten bilden darin ein Netzwerk, denn die Daten ihrer Rechner werden bei uns anonymisiert gespeichert und ausgewertet. Dazu untersuchen wir bis zu 3 Milliarden Webseiten pro Tag auf Gefahren hin und können daher schon ein ganz gutes Bild der aktuellen Internetgefahren abbilden. Autor: Solche und ähnliche Daten haben zuletzt Internetdetektive des spanischen Anti-VirenHerstellers Panda Security ausgewertet. In seinem Virenlabor in Bilbao beobachtet Luis Corrons das Phänomen der Fake-AV-Programme schon seit drei, vier Jahren – seit 2008 aber hätten die Kriminellen sich perfekt organisiert und das ganz große Geld verdient: 4 Cut 9: Luis Corrons (span., darüber Übersetzer) Noch im Jahr 2007 kamen jeden Monat etwa 300 neue Varianten von gefälschter AntiVirensoftware auf den Internetmarkt. Aber im zweiten Quartal 2008 explodierten die Zahlen plötzlich [– und zwar sowohl die der Varianten, als auch die der Opfer]: Am Ende des Jahres 2008 hatten wir fast 10.000 Varianten entdeckt. Und im ersten Drittel von 2009 hatten wir schon wieder 10.000 neue Schadprogramme entdeckt. Ende 2009 hatte unsere Datenbank mehr als 700.000 Fake-AV-Virenvarianten gespeichert, die alle eingesetzt wurden, um Leuten fälschlicherweise einzureden, sie hätten einen Virus auf ihrem Rechner. Autor: Offensichtlich haben die kriminellen Organisationen vor etwa zwei Jahren ihre Betrugsmasche perfektioniert. Und sie scheffelten Millionen. Mit einem aufwendigen Rechenprozess verknüpfte Luis Corrons vorhandene Zahlen über Internet-Betrugsopfer und die Infektionsraten der speziellen Fake-AV-Viren: Cut 10: Luis Corrons (span., darüber Übersetzer) Mit diesen Daten kamen wir auf eine Zahl von rund einer halben Million Internetnutzer die jeden Monat im Jahr 2009 ein solches gefälschtes Produkt gekauft haben. Sie zahlten im Durchschnitt 59 Dollar 95. Multipliziert mit einer halben Million ergibt das knapp 35 Millionen Dollar im Monat, also 415 Millionen US-Dollar, die die Betrüger im Jahr 2009 umgesetzt haben. Autor: Auch wenn diese Zahl nur ein Schätzwert ist – sie passt zu den Befunden, die Dirk Kollberg in Hamburg aus internen Daten eines der größten betrügerischen Unternehmen schließen konnte. Cut 11: Dirk Kollberg [Wir haben auch sehr viele verschiedene Server uns angekuckt, während unseren Untersuchungen. Das heißt,] los ging es eigentlich im August 2008, da gab’s eine Schwachstelle im Adobe-Flash-Player und diese wurde ausgenutzt von bösen Buben um darüber halt diese Schadsoftware zu installieren. Autor: Dirk Kollberg war elektrisiert: Auf verschiedenen Servern hatte er riesige Datenmengen gefunden, die über ihre IP-Adresse alle einer Firma zuzuordnen waren: „Innovative Marketing Ukraine“ in Kiew. Dabei musste der IT-Forscher nicht einmal tief in die Trickkiste greifen: Die Server, also die Internet-Großrechner, die das Unternehmen benutzte, waren für ihn ganz legal und offen über das Internet zu erreichen. Denn merkwürdigerweise hatten ausgerechnet die Betrüger einen Fehler gemacht: Die Server waren nicht durch Passwörter geschützt. Cut 12: Dirk Kollberg Ich denke, dass da einfach nur ein Fehler passiert ist, und das hat uns den ersten Tipp gegeben, wo man nachschauen muss. Im Weiteren haben wir um die 20 Server gefunden, die wirklich offen waren, wo wir vollen Zugriff drauf hatten. Autor: Nun begann eine schlaflose Zeit für Dirk Kollberg: Tagsüber ging er seinem Job als Virenanalyst nach – nachts begann er seine Funde auszuwerten ... 5 Cut 13: Dirk Kollberg Die Daten sind verschlüsselt auf einer externen Festplatte. Jetzt werde ich mir die als weiteres Laufwerk einbinden und dann können wir mal gemeinsam auf der schauen ... Autor: Der IT-Forscher fand jede Menge Hinweise, die einen direkten Zusammenhang zwischen den bekanntesten Schadprogrammen und dem Unternehmen „Innovative Marketing Ukraine“ in Kiew belegten: Cut 14: Dirk Kollberg ... so, wie haben hier zum Beispiel ein paar Screenshots – ein Produkt von denen war zum Beispiel „Secureanonimity“, das heißt, das ist eine Software, die dem Benutzer verspricht, dass er damit sicher im Web surfen kann, ohne seine Identität preiszugeben. Autor: Die verschiedenen Angebote der fragwürdigen Firma – die nur eine von mehreren Betrugsorganisationen ist – hatten alle eines gemeinsam: Sie versprachen viel und hielten nichts. Nicht nur vermeintliche Anti-Virenlösungen gab es da. Mal sollte ein Produkt die Festplatte beschleunigen, ein anderes sollte helfen, Strom zu sparen. Am Ende geht es bei solchen nutzlosen Anwendungen aber nur darum, schnelles Geld zu verdienen. Cut 15: Dirk Kollberg Was wir hier sehen ist wirklich nur eine ganz kleine Auswahl und wenn wir uns mal die Liste angucken, das ist ne aktuelle Liste, oder aktuell war die im August letzten Jahres, alles betreffend von dieser einen Firma „Innovative Marketing Ukraine“ und das war für uns ein guter Ansatz, weil man da einmal die Produktnamen sehen kann, [aber auch den ... Betreiber dieses Produktes.] Autor: Der Einblick in die Firmendaten von „Innovative Marketing Ukraine“ zeigt sogar das Vertriebssystem der Betrüger. Die Firma setzt – womöglich auch noch bis heute – eine ganze Reihe von Zwischenhändlern ein, um es Ermittlern schwer zu machen, die wahren Urheber der Internetseuche ausfindig zu machen. Dirk Kollberg fand eine Liste der Mitarbeiter und ihrer Telefonanschlüsse. Sie lässt einen erschreckenden Rückschluss auf die Größe des Kiewer Unternehmens zu – und damit auch auf seine Umsätze, denn die Liste hat 666 Einträge. Viele der Namen darauf finden sich auch in sozialen Netzwerken, wo die Personen teilweise selber angeben, bei „Innovative Marketing Ukraine“ zu arbeiten oder gearbeitet zu haben. [Wie ein Kriminalist ging Kollberg über zwei Jahre allen verwertbaren Spuren nach und setzte das Puzzle zu einem großen Bild zusammen: Cut 16: Dirk Kollberg Es sind teilweise Kleinigkeiten, wo Mitarbeiter zum Beispiel Sachen machen, die vielleicht nicht von der IT-Abteilung abgesegnet sind. Dass sie Sachen mitnehmen, dass sie sich Arbeit mit nach Hause nehmen per E-Mail, sich zum Beispiel dabei vertippen und die Mail kommt ganz woanders an, dass sie kurz was verschieben auf ihren eigenen Web-Space den sie haben. Und wenn man aber weiß, wer bei welcher Firma arbeitet und dann weiter sucht und wir haben insgesamt 63 GigaByte an Daten, wenn man die auswertet, bekommt man ein sehr gutes Bild, wer da ist und was er macht und darüber haben wir auch weitere Informationen gefunden.] 6 Autor: Einen der Mitarbeiter auf der Telefonliste von „Innovative Marketing Ukraine“ fand Dirk Kollberg auch als eingeschriebenen Studenten der Universität Kiew. Der Student hatte sich offenbar Arbeit mit nach Hause genommen, denn auf dem Internetserver der Universität fand Dirk Kollberg wiederum Teile der einschlägigen Betrugsprogramme – aber auch Fotos aus dem Arbeitsalltag in dem Betrugsunternehmen lagen dort: Die Bilder zeigen junge, fröhliche Mitarbeiter auf einem Ausflug. Auf einem Foto ist der Eingangsbereich des Gebäudes samt Firmenlogo zu sehen: „Innovative Marketing Ukraine“ steht da. Andere Bilder wiederum zeigen Luxusautos vor Fünf-Sterne-Hotels in Thailand, größere Päckchen Marihuana und dicke Geldbündel in verschiedenen Währungen: Stoff für Spekulationen, wie das Leben eines Internetkriminellen wohl aussieht ... Cut 17: Dirk Kollberg Das sind jetzt die aus dem Büro ... da haben wir die Rezeption. Und das sind halt Bilder ... wenn wir das Datum angucken, ist das hier vom 1. April 2008, das heißt, da müssen die wahrscheinlich in das neue Gebäude umgezogen sein, beziehungsweise sind noch dabei, wie man das an den Kabeln erkennt. Und die Rezeption sieht doch eigentlich auch sehr nett aus! Autor: Das ukrainische Justiz- und das Innenministerium in Kiew ließen mehrere Anfragen des SWR unbeantwortet – so bleibt unklar, wie es im Moment um „Innovative Marketing Ukraine“ und seine Mitarbeiter steht. Wie es dagegen den Opfern des Betrugs erging, konnte Dirk Kollberg anhand eines weiteren atemberaubenden Fundes auf den Großrechnern von „Innovative Marketing Ukraine“ nachvollziehen: Das Unternehmen gab sich alle Mühe, einen Schein von Legalität aufzubauen. Daher gab es sogar zwei Callcenter, bei dem Kunden anrufen und sich bei Problemen beraten lassen konnten. Unbemerkt von den Tätern, schnitt die Software der Telefonanlage in diesen Callcentern jedes Gespräch mit: Cut 18: Dirk Kollberg Als wir die ganzen Telefongespräche runtergeladen haben, habe ich, glaube ich, ein ganzes Wochenende kaum geschlafen und hab wirklich rund um die Uhr gesessen und hab mir nur was angehört. Und einerseits weiß man ja was den Kunden jetzt bevor steht und man hofft, dass sie irgendwie noch die Kurve kriegen und der gesunde Menschenverstand sagt, das kann ja so nicht ganz wahr sein. Leider ist es in den meisten Fällen nicht so und am Ende dieser Gespräche ist der Kunde meistens auch noch glücklich und zufrieden. Er ist zwar sein Geld los, aber es hat jemand zugehört und dadurch, dass er es gekauft hat, wird ja die Fehlermeldung abgeschaltet, das heißt er sieht die Probleme nicht mehr, die er hat. Das reicht den meisten Leuten schon aus. Wir können ja mal in so ein Telefongespräch mit reinhören: Cut 19 - „Guten Tag, Software Kundendienst” - „Ja, hier ist XXX, ich glaube, wir hatten gestern schon mal zusammen telefoniert. Ich hatte bei ihnen das Sicherheitspaket da gekauft, den sicheren Anti Virus. Jetzt habe ich folgendes Problem, ich kriege hier laufend wieder noch Meldungen von XP-Anti Virus 2008, den habe ich gar nicht installiert, das war an einem Morgen mit einem Mal drauf bei mir auf dem Rechner und der sagt mir, ich hätte noch 27 Bedrohungen und so ein 7 Kram, das kriege ich nicht weg und der Rechner ist auch irre langsamer, obwohl ich gestern bei euch ne Bereinigung durchgeführt habe.“ - „Können Sie noch bitte die Bestellnummer sagen?” – Bestellnummer ist 610755. Autor: 18 Minuten dauert allein dieses Gespräch, bei dem der Kunde zunächst alle seine Probleme schildert. Die Frau mit dem osteuropäischen Akzent meldet sich mit „Software Kundendienst“ – also einem nichtssagenden, allgemeinen Begriff – und fragt nach der Bestellnummer. Denn erst mit dieser kann sie in ihrem Verzeichnis erkennen, welche der unzähligen Varianten der betrügerischen Software dieser Anrufer gekauft hat. Ob die stets freundliche Telefondame wohl wusste, dass sie für ein Betrugskartell arbeitet – oder ob sie als einfache Callcenter-Mitarbeiterin im guten Glauben und nur nach klaren Anweisungen handelte, kann auch Dirk Kollberg nicht mit Sicherheit sagen: Cut 20: Dirk Kollberg Ich vermute, dass die in Polen ist, sie selber hat von sich gesagt in den Gesprächen, dass sie Polin ist. Kann auch sein, dass die als Polin in die Ukraine gegangen ist, so weit ist das ja auch nicht weg und kann sein, dass sie von dort aus gearbeitet hat. Autor: 2930 mitgeschnittene Gespräche aus nur zwei Monaten hat Dirk Kollberg von den offenen Servern abgesaugt – nicht immer waren die Kunden so geduldig wie im ersten Beispiel: Cut 21 - „Software-Kundendienst, guten Morgen“ - „Guten Morgen, mein Name ist Ostermeier, ich habe heute morgen zwangsweise ein Update gekauft von ihrer Software und ich kann sie nicht nutzen, weil da wurde ein Passwort angezeigt aber permanent pop ... you have a security problem, dann kommen Fenster, Fenster, Fenster, Fenster ...“ Autor: Karl-Heinz Ostermeier ist ein Geschäftsmann aus Untermeitingen, südlich von Augsburg. Er handelt mit Hard- und Software und berichtete in der geräuschvollen Umgebung der diesjährigen CeBIT-Messe von seinen unangenehmen Erfahrungen mit den Produkten aus dem Hause „Innovative Marketing Ukraine“ – wobei er diesen Firmennamen nie gehört hatte: Cut 22: Karl-Heinz Ostermeier Ja, er hat eben gemeldet, dass ich einen Virus hätte und das ich diesen Virus eben mit einer bestimmten Software beseitigen könnte und eben ich auf eine bestimmte Seite gehen sollte, um mir diese Software zu laden. Andere Virensoftware, die ich bisher verwendet hab, Antivir zum Beispiel, konnte dieses Problem nicht lösen. Und letztendlich konnte man am PC nur weiterarbeiten, wenn man den Rechner komplett neu gestartet hat und nach kurzer Zeit kamen diese Fenster eben immer wieder, sodass man irgendwann wirklich nicht mehr arbeiten konnte. Und es ging ja über mehrere Tage, weil am Anfang habe ich mich ja versucht dagegen zu wehren, nur irgend wann war man dann so genervt, dass ich einfach gesagt habe: Okay, jetzt lade ich diese Software runter, damit ich wieder arbeiten kann. 8 Autor: [Doch auch bei dem Kaufmann versagte das Produkt, an dessen Namen sich KarlHeinz Ostermeier heute nicht mehr genau erinnert. Es sei ein Name gewesen, der ihm vertraut vorkam und der seriös erschien, denn er erinnerte an die Namen von legalen und funktionstüchtigen Programmen. So etwas wie WinAntivirus, WinFixer, Drivecleaner, ErrorSafe oder XP Antivirus 2008. Die Betrügerbande hatte eine Unmenge solcher Namen erfunden und für jedes einzelne Scheinprodukt jeweils eine Webseite angelegt. Der Zweck dieses Aufwands war Verschleierung: Wenn die geprellten Kunden sich zum Beispiel bei ihren Kreditkartenunternehmen beschwerten, sollten möglichst nicht so viele Kunden den selben Produktnamen angeben, damit das Kreditkarteninstitut nicht misstrauisch würde.] Noch immer im Glauben, eine legale Software gekauft zu haben, die aber nun leider nicht richtig funktionierte, rief Karl-Heinz Ostermeier bei der angegebenen Service Nummer an – und bekam einen fatalen Tipp: Cut 23 - „Hatten Sie vorher irgend welche Anti-Viren-Programme auf ihrem Rechner?“ [- „Ich hatte vorher schon ihr Programm und seit gestern meldet er, dass es ein Update 2009 gibt und dass ich das installieren muss, weil ich sonst nicht mehr arbeiten kann und ich kann eigentlich nicht wegen dem Virus nicht arbeiten, sondern wegen eurer Scheiß Software.“ - „Ne ich meine, ob Sie vorher schon irgend welche Anti-Viren-Programme hatten außer unserer?“] - „Ich habe noch Antivir laufen.“ - „Haben Sie das deinstalliert oder haben Sie das noch laufen?“ - „Ich kann’s nicht installieren, weil weder eure Software noch die andere deinstallieren kann. Es gibt keine Möglichkeit, die zu deinstallieren.“ - „Antivir zu deinstallieren?“ - „Ja“ - „Wieso?“ - „Sagen Sie mir doch, wie ich ihre Software deinstalliere.“ - „Wieso möchten Sie das deinstallieren? Also ich kann jetzt Ihnen sagen, warum Sie solche Probleme haben“ - „Okay“. - „Sie haben ein Antivir auf ihrem Rechner und zwei Anti-Viren-Programme auf einem Rechner können nicht funktionieren. Damit unser Programm funktionieren kann, sollen Sie Antivir löschen und ...“ - „Okay. Sagen Sie mir, wie es geht.“ - „Es geht über Start, Systemsteuerung, Software ...“ Autor: ... und Karl-Heinz Ostermeier wird durch das Windows-Menü geführt, mit dem er sein altes Anti-Virenprogramm deinstalliert. Wohlgemerkt: Dieses ältere Programm war eine echte, funktionstüchtige Software, die aber die neue Bedrohung noch nicht erkannt hatte. Daher erschien sie dem Kaufmann als untauglich. Dabei hatten die Betrüger genau darauf spekuliert und ihre Viren technisch so getarnt, dass rechtmäßige Programme es durchaus schwer hatten, die Schädlinge schnell zu erkennen. Auch in diesem Fall, belief sich der Schaden auf weit mehr als nur die knapp 40 Euro für das betrügerische Produkt, die preisgegebene Kreditkarteninformation und die Tatsache, dass der Rechner nach dem Deinstallieren der echten Anti-Viren-Software nun völlig ungeschützt im Internet unterwegs war: 9 Cut 24: Karl-Heinz Ostermeier Ja gut, erst mal waren schon mal mindestens zwei, ich glaub eher drei Tage, wo man sich rumgeschlagen hat, immer wieder neu gebootet hat, bis ich die Software runter geladen hab, dann der Ärger, dass es dann wieder nicht ging. Und wenn man, so wie ich jetzt, sag ich mal, von Office-Anwendungen über diverse andere Anwendungen, wenn man die wieder neu installieren muss, da gehen einfach drei, vier Tage drauf, bis das wieder alles so funktioniert und eingerichtet ist. Autor: Die Telefonanlage der Betrüger hat nicht nur diese Gespräche mitgeschnitten: Dirk Kollberg fand auch Listen, in denen jeder Anruf automatisch verzeichnet wurde. In nur zwei Monaten, im Dezember 2008 und Januar 2009, enthalten die Listen 1890 Nummern mit deutschen Vorwahlen. Darunter auch die der Baden-Badener Journalistin Cornelia Mangelsdorf und etliche weitere, deren Inhaber sich an das Geschehen erinnern können. Die Liste erlaubt eine Hochrechnung: Wenn „Innovative Marketing Ukraine“ von 2004 bis 2008 operierte und die Listen, die Dirk Kollberg fand, in nur zwei Monaten knapp 1.900 deutsche Anrufer bei der Beschwerde-Hotline verzeichnen, könnten in dem gesamten Vier-Jahres-Zeitraum fast 40.000 Deutsche dort angerufen haben. Wenn sich aber nur jedes dritte Betrugsopfer überhaupt diese Mühe gemacht hat, geht die Zahl deutlich über 100.000 mögliche Opfer – allein in Deutschland. Dann läge der monetäre Schaden bei vier Millionen Euro. Aber Cornelia Mangelsdorf hat noch schlimmere Befürchtungen: Cut 25: Cornelia Mangelsdorf Dass meine Kreditkarte angezapft wird, dass das sozusagen der Einstieg in eine Datenkriminalität ist, womit eben noch ganz andere Dinge passieren. [Wie gesagt, mir ist es schon mal passiert, dass 8000 Euro von meinem Konto verschwanden, durch einen Kreditkartenbetrug, das war wahrscheinlich ein Restaurant im Ausland, seit dem bin ich eben sehr vorsichtig und mir war es die Aktion wert, die Karte zu sperren. Nun, was immer noch in der Hand dieser Leute ist, ist die Nummer meines Personalausweises. Autor: Der Schaden belief sich bei der Baden-Badenerin also auf eine preisgegebene Identität, auf eine gesperrte Kreditkarte, auf 40 bis 60 Euro für die gefälschte Anti-Virensoftware und auf einen Computer der so unbrauchbar geworden war, dass sie ihn kurz darauf wegwarf. Gründe genug, für noch einen Telefonanruf:] Cut 26: Cornelia Mangelsdorf Ich hab irgend wie ein ganz ungutes Gefühl gehabt und rief dann bei der Polizei an und samstags war da keiner zu erreichen. Ein paar Tage später habe ich mit der Polizei in Baden-Baden gesprochen, da gab es jemand, der sich hobbymäßig mit dem Thema auseinandersetzt und der meinte, ja das haben Sie natürlich richtig gemacht, die Karte zu sperren [und Sie hätten Ihre Nummer vom Personalausweis nicht geben sollen. Gut, das war natürlich alles schon geschehen.] Der Polizist hat mir nicht geraten, eine Anzeige zu machen, er meinte, das sei zwecklos, weil der Einflussbereich der deutschen Polizei an der Grenze nun einmal endet [und ich nehme an, dass das Unternehmen in der Ukraine sitzt und die Strafverfolgung der Ukraine, ich denke die deutsche Polizei schafft’s so weit dann auch wieder nicht.] 10 Autor: Dabei hätte Cornelia Mangelsdorf durchaus eine Strafanzeige gegen Unbekannt stellen können, meint der Jurist Jan Spoenle. Am Freiburger Max-Planck-Institut für Internationales Strafrecht forscht und promoviert er zu den Herausforderungen der Strafverfolgung von Internetkriminalität. Cut 27: Jan Spoenle Also zunächst mal ist es ja für die Bewerbung dieser gefälschten Anti-Viren-Software notwendig, dass sie einen Fuß in den Rechner des Opfers bekommen und das geht in der Regel über irgendeine Infektion, über ne Website oder Spam-E-Mail oder was auch immer und da sind wir dann schon beim „Ausspähen von Daten“. Denn sie überwinden eine in der Regel zumindest durch eine Firewall vorhandene Zugangssicherung und befinden sich quasi auf dem Rechner des Nutzers und dadurch haben sie eben „Ausspähen von Daten“ nach 202a Strafgesetzbuch begangen. Autor: Eine Tatsache, die derzeit von der deutschen Polizei offenbar noch nicht durchgängig so gesehen wird: Eine Umfrage bei den Landeskriminalämtern ergab, dass dort kaum Fälle bekannt sind und dass es keine Ermittlungen gibt. Als Zwischenergebnis seiner Forschungsarbeit regt Jan Spoenle an, die Ermittlungsmethoden dem Tatort Internet besser anzupassen: Cut 28: Jan Spoenle Zum einen könnte es beispielsweise helfen, Schwerpunktstaatsanwaltschaften zu bilden, die sich speziell mit dem Thema Internetkriminalität beschäftigen, denn die regionale Zuständigkeitszersplitterung führt halt dazu, dass beispielsweise jemand in Freiburg drei Fälle auf dem Tisch hat und dann wieder in Offenburg und dann wieder in Stuttgart und wieder in Tübingen. Aber wenn die sich alle zusammentun würden, dann würden sie merken: Es handelt sich hier um organisierte Schwerkriminalität, nämlich um gewerbsmäßig und bandenmäßig begangenen Betrug. [Und dann hätte man tatsächlich andere Möglichkeiten und könnte anders reagieren. Und würde vielleicht auch das Thema anders aufhängen, von seiner Wichtigkeit her.] Autor: Eine Vision, wie Cybercrime tatsächlich effektiv zu bekämpfen wäre, stellt sich beim Besuch eines der Sicherheitszentren des IT-Giganten Symantec in Los Angeles ein: Im Gefechtsstand, dem sogenannten Warroom, hängen sechs Uhren an der Wand. Sie zeigen die Ortszeiten von L.A. über New York nach Dublin und bis Japan. Darüber flackern auf Großbildschirmen die Umrisse der Kontinente. Ständig leuchten neue rote Punkte auf. Fast würde man erwarten, dass Kevin Haley eine tressenbesetzte Uniform trägt, aber der ranghohe Sicherheitschef des Unternehmens ist ein ganz ziviler ITExperte: Cut 29: Kevin Haley (engl., darüber Übersetzer) Wir empfangen Millionen von Warnmeldungen unserer Kunden und verarbeiten sie rund um die Uhr – schauen Sie, gerade gibt es in Afrika besonders viele Meldungen, da läuft wohl gerade eine große Attacke. Wir sehen auch, wie die Kriminellen ihre neuen Schadprogramme erst einmal testen – und wenn sie funktionieren kommen ein paar Tage später die Angriffe 11 Autor: Solche Analysen – und die sofortige Umsetzung in Schutzmassnahmen – können die Strafverfolgungsbehörden nicht leisten. Aber die privaten IT-Detektive arbeiten der Polizei in vielen Ländern aktiv zu. Bei Symantec beziehungsweise Norton ist man nun noch einen Schritt weitergegangen und hat genau dafür eine neue Position eingerichtet. Adam Palmer trug früher tatsächlich Uniform: Cut 30: Adam Palmer (engl., darüber Übersetzer) Ich habe meine Karriere bei der Marine im Justizwesen begonnen, wo ich als Ankläger mit Cybercrime-Fällen zu tun bekam. Das hat mich sehr interessiert und ich bin drangeblieben. Zuletzt habe ich für die Internetregistrierungsbehörde gearbeitet. Jetzt bin ich Nortons oberster Sicherheitsberater. Das ist eine ganz neue Stelle, ich bin erst im zweiten Monat hier, und mein Job ist es, die Kontakte zu den Ermittlungsbehörden zu pflegen und das Verbraucherbewusstsein zu stärken Ich bin sicher, der einzige Weg, langfristig Erfolg zu haben im Kampf gegen Cybercrime liegt darin, den großen Wissensschatz der Privatindustrie zu nutzen und den Strafverfolgungsbehörden zugänglich zu machen, denn die sind es, die am Ende jemanden verhaften können. Autor: Auch Dirk Kollberg von McAfee hat seine Datensammlung mittlerweile an das FBI und an die amerikanische Verbraucherschutzbehörde, die Federal Trade Commission, FTC, übergeben. Am 24. Februar 2010 erwirkten die US-Verbraucherschützer über das zuständige Gericht in Maryland ein umfassendes Urteil, in dem sie erstmals eine Gesamtschadenssumme nennt, die die Täter erstatten sollen: 163.167.539 US-Dollar und 95 Cent. Die Ermittler sind sich zwar ziemlich sicher, dass dies nur ein Anteil, womöglich nur ein Bruchteil des gesamten Umsatzes von „Innovative Marketing“ und den anderen Tarnfirmen ist. Aber der Nachweis ist schwierig. Nach amerikanischem Recht muss dieser Gerichtsbeschluss noch von einem weiteren Gericht bestätigt werden. Und dann könnte etwas bisher nie Gekanntes geschehen: Die FTC will alle Betrugsopfer, deren Adressen sie finden kann, mit den beschlagnahmten Summen anteilmäßig entschädigen. Auch in Deutschland. Es könnten also dann in Zehntausenden Haushalten Briefe eintreffen, die wohl vielerorts für Verwunderung sorgen werden: Eine US-Behörde entschädigt deutsche Verbraucher, die Opfer amerikanisch-indischer und ukrainischer Krimineller wurden. **** 12