Thought Leadership
Ein Kommentar von Sicherheitsspezialist Udo Schneider, Pressesprecher beim IT-Sicherheitsanbieter Trend Micro.
Viel und aufgeregt wird zurzeit über TOR diskutiert. Doch das äußerst effektive Anonymisierungsnetzwerk wird nicht nur bei den Verfechtern der Privatsphäre im Internet immer beliebter, deren Hoffnungen freilich aufgrund der jüngsten Enthüllungen zu den Überwachungstätigkeiten der NSA wieder einmal enttäuscht werden. Vielmehr haben längst auch die Cyberkriminellen und Wirtschaftsspione TOR für sich entdeckt. So geht zum Beispiel der dramatische Anstieg der TOR-Nutzer im August 2013 von einer auf fünf Millionen Anwender leider nicht auf Menschen zurück, die ihre Kommunikation im Internet schützen wollten, sondern auf die Schadsoftware MEVADE/SEFNIT.
Bei MEVADE/SEFNIT handelt es sich um einen digitalen Schädling, der die Rechner der Anwender mithilfe von Adware infiziert, Klick-Betrug betreibt und Bitcoins schürft – alles ohne Zutun und Wissen der Opfer, versteht sich. Um unentdeckt zu bleiben, tauscht sich die Schadsoftware mit den Befehls- und Kontrollservern im Internet über das TOR-Netzwerk aus.
„Nichtkäufer zu Geld machen“
Ausgelöst wird die Infektionskette mit Hilfe einer Adware mit Namen „InstallBrain“. Sie stammt von der israelischen Firma iBario Ltd., die mutmaßlich Geschäftsbeziehungen zum digitalen Untergrund in der Ukraine unterhält, und ihr Motto lautet: „Nichtkäufer zu Geld machen“. Meine Kollegen aus der Bedrohungsforschung gehen davon aus, dass die Adware in rund 150 Ländern verbreitet ist – außer in Israel, wohl um Konflikten mit den lokalen Polizeibehörden aus dem Weg zu gehen.
Die Technik ist farbenblind
Dieses Beispiel zeigt zwei Dinge: Adware wird zwar in der Regel als harmlos oder risikoarm wahrgenommen und dargestellt, doch der Schein trügt. Adware ist ein beliebtes Mittel, um Schadsoftware zu verbreiten. Darüber hinaus aber belegt der Missbrauch von TOR durch die Hintermänner des Schädlings MEVADE/SEFNIT den ambivalenten Charakter des Internets: Die Technik kann zum Guten wie zum Bösen genutzt werden und der Unterschied zwischen Schwarz und Weiß liegt allein in der Intention der Handelnden.
Die bei TOR verwendete Technik kann einen Grad an Anonymität gewährleisten, der es den Ermittlern praktisch unmöglich macht, auch bei einem konkreten und begründeten Verdacht auf kriminelle Handlungen tätig und fündig zu werden. Und eben weil dies so ist, tummeln sich so viele und immer mehr Online-Kriminelle und -Spione in TOR. Ob Drogen, Waffen, Auftragsmörder, Wirtschaftsspionage oder Kinderpornographie – alles ist in diesem Netzwerk zu finden und zu kaufen.
Alternativen zu TOR: Das dunkle Web
Es steht zu befürchten, dass nach den jüngsten Enthüllungen zur NSA-Überwachung von TOR die Cyberkriminellen und -spione sich in Zukunft in noch dunklere Gefilde des Internets zurückziehen werden: in das so genannte „dunkle Web“. Trend Micro hat in einem aktuellen Forschungspapier die verschiedenen Netze und Dienste des „Deep Web“ analysiert. Das Papier ist hier abrufbar.
