Der Markt für Exploits, also für Schad-Software, die Schwachstellen ausnutzt, um andere Schad-Software in fremde Rechner zu schleusen, er ist hoch entwickelt, obwohl es ihn noch gar nicht so lange gibt.
"Ganz früher, wenn man das so sagen kann, das ist aber auch erst 20 Jahre her, war das Problem für die Leute, die solche Exploits entdeckt haben, dass wenn sie versucht haben, die Hersteller der Software zu benachrichtigen, sie gleich eine Klage am Hals hatten wegen möglicher Erpressung," erinnert sich Morton Swimmer von Trend Micro. Heute reagieren die Software-Häuser anders. Sie treten als Nachfrager auf dem sogenannten weißen Markt auf, um Löcher in ihren Programmen zu stopfen. Auch Sicherheitsunternehmen kaufen dort Exploits, Hewlett-Packard beispielsweise mit seiner Zero-Day-Initiative, damit ihre Schutz-Programme die Schad-Software erkennen. Das Gegenteil ist der schwarze Markt, auf dem sich Internet-Kriminelle eindecken.
"Und dann gibt es noch den grauen Markt. Und das ist der interessante, würde ich sagen. Dort geht es wirklich um Nationen, Militär, um Geheimdienste, die eigentlich diese Schwachstellen haben möchten, damit sie sie für Spionage ausnutzen können," so Oliver Rochford vom Beratungsunternehmen Gartner. Nach dem Exploit-Handel geht's dann an die Aufbereitung und Integration der Schadprogramme.
"Wenn ein Exploit erfolgreich verkauft wurde, dann ist die Wahrscheinlichkeit sehr, sehr hoch, dass dieser Exploit den Weg in ein Exploit-Kit findet. Ein Exploit-Kit ist eine komplette Plattform, bestehend aus mehreren Exploits und einem Algorithmus, der erkennt, welches Betriebssystem ein Surfer hat, welchen Browser in welcher Version mit welchen Plug-ins, und kann sich daraus ein sehr schönes Bild des Rechners auch schaffen. Und dann wird geschaut: Gibt es einen Exploit, der für dieses System passt und mit dem es möglich ist, diesen Rechner mit einer Schad-Software zu infizieren," so Christian Funk von den Kaspersky Labs.
Internet der Dinge elektrisiert schwarze und weiße Hacker
Häufig hat das Opfer zuvor eine völlig unverdächtige Seite angesurft, die aber gehackt worden war. Kriminelle haben dort einen iFrame eingebaut, einen winzigen Verweis auf ihren eigenen Server mit dem Exploit-Kit. Das System des Surfers wird analysiert. Der passende Exploit darauf heruntergeladen. Eine Schwachstelle ausgenutzt. Und das kompromittierte System lädt dann das eigentliche Schad-Programm herunter, einen Trojaner, einen Bot oder Erpresser-Software und führt den Schädling aus. So infizieren täglich Tausende von Surfern ihre Rechner. Angreifbar ist aber nicht nur herkömmliche Computer-, sondern auch Fahrzeug-Software, wie die Hacks der jüngsten Vergangenheit gezeigt haben. Ransomware, Erpresser-Software, beispielsweise könnte in Zukunft nicht nur PCs sperren und für die Entsperrung Lösegeld verlangen, sondern auch Autos. Und noch furchterregendere Szenarien sind vorstellbar. Christian Funk denkt etwa an eine Meldung, die bei voller Fahrt auf dem Kfz-Display erscheint:
"Guten Morgen, lieber Autofahrer, wir haben soeben Ihr Fahrzeug erfolgreich mit einer Schad-Software infiziert. Es ist durchaus möglich, dass Ihnen ein schwerer Unfall zustößt, falls Sie nicht einen bestimmten Geldbetrag an uns überweisen."
Diese Vorstellung elektrisiert derzeit schwarze und weiße Hacker. Die Sicherheitsrisiken, die das Internet der Dinge mit sich bringt, sind ungleich höher als die der herkömmlichen IT. Oliver Rochford ist sich sicher, dass bereits kriminelle Geschäftsmodelle entwickelt werden und der Exploit-Handel vor einem weiteren Boom steht.
"Und dementsprechend erwarten wir in 12, 18 Monaten eine Menge mehr Aktivitäten in dem Bereich."