Betroffen könnte theoretisch jeder sein: von der Vereinswebsite über den Onlineshop eines KMU bis hin zum Internetauftritt eines Grosskonzerns. Oft lässt es sich nicht sagen, weshalb gerade die eigene Website Ziel eines Hacking-Angriffs geworden ist. Die Angriffe sind selten persönliche Angriffe auf die Website-Betreiber, sondern erfolgen deshalb, weil sich die Ziele besonders gut für einen Angriff eignen. Die Angreifer durchforsten das Internet systematisch und oftmals automatisiert nach Websites mit Sicherheitslücken oder Schwachstellen. So werden möglichst einfache oder besonders lukrative Ziele identifiziert.
Hacking-Angriffe können potenziell fatale Folgen haben. Es gibt Fälle, bei denen Unternehmen grosse finanzielle Schäden bis hin zur Insolvenz erleiden mussten. Für Privatpersonen kann es von einer öffentlichen Blossstellung bis hin zu existenziellen Schäden reichen.
Hacking ist nicht gleich Hacking
Zunächst muss klargestellt werden, dass «Hacking» als Begriff unterschiedliche Bedeutungen haben kann. Ein Hacker ist nicht gleich ein Hacker. Die öffentliche Wahrnehmung ist stark vom stereotypischen Bild geprägt, welches in der Populärkultur allzu oft vom Hacker gezeichnet wurde: mit dunklen Kleidern, Kapuze und Sonnenbrille irgendwo in einem versteckten Keller sitzend und wie wild auf eine Tastatur eintippend. Tatsächlich ist die Hacking-Kultur in der Community von Programmierern und Informatik-Spezialisten sehr vielschichtig. So gibt es beispielsweise professionelle Hacker, die im Bereich der Cybersicherheit arbeiten, um Schwachstellen aufzudecken, bevor es Kriminelle tun (sogenannte «white hat hacker»).
Doch wir möchten uns nachfolgend mit der Schattenseite des kriminell motivierten Hackings, welches auf Websites abzielt, beschäftigen. Auch hier gibt es verschiedene Ansätze. Nicht jeder Hacking-Angriff verfolgt das gleiche Ziel und läuft genau gleich ab.
In vielen Fällen werden Websites allein deshalb gehackt, um diese für den Versand von Spam, für DDoS-Attacken (Distributed-Denial-of-Service) oder Phishing zu missbrauchen. In anderen Fällen verstecken die Angreifer Schadsoftware auf der Website, um diese dann über ahnungslose Website-Besucher weiterzuverbreiten. Leider weit verbreitet ist auch der Hacking-Anwendungsfall, bei dem es vor allem um die Beschaffung von sensiblen Daten geht, welche anschliessend illegal (bspw. über das Darknet) veräussert werden.
Daneben gibt es eine Reihe weiterer Formen des Website-Hackings. Es kann sein, dass die Website beispielsweise zu Propagandazwecken, zur Machtdemonstration, aus Spass oder anderen Beweggründen absichtlich verunstaltet wird (sogenanntes Defacement). Das kam vor allem in früheren Zeiten vor, als das Hacken noch nicht kriminell kommerzialisiert war. Für professionelle Banden der organisierten Cyberkriminalität ist das aber schlicht nicht lukrativ.
Beim kriminellen Hacking auf Schweizer Websites wird im juristischen Sinne jeweils mindestens einer der folgenden drei Straftatbestände des Schweizerischen Strafgesetzbuchs (StGB) verletzt:
- Unbefugte Datenbeschaffung (Art. 143)
- Unbefugtes Eindringen in ein Datenverarbeitungssystem (Art. 143bis)
- Datenbeschädigung (Art. Art. 144bis)
Nicht selten werden bei Hacking-Angriffen auch andere Straftaten wie zum Beispiel Betrug (Art. 146 StGB), Erpressung (Art. 156 StGB) oder auch Geldwäscherei (Art. 305bis StGB) begangen.
Hacking-Angriffe in der Schweiz: Die Zahlen steigen
Im Jahr 2021 verzeichnete die Polizeiliche Kriminalstatistik des Bundesamts für Statistik insgesamt 1950 Fälle, welche einem dieser drei Straftatbestände zugeordnet werden konnten sowie eindeutig mit einem sogenannten «Cybermodus» – sprich auf digitalem Weg – erfolgten.
| Straftatbestand | Total | davon mit einem Cybermodus | Anteil |
|---|---|---|---|
| Unbefugte Datenbeschaffung (Art. 143) | 988 | 713 | 72,2% |
| Unbefugtes Eindringen in ein Datenverarbeitungssystem (Art. 143bis) | 805 | 551 | 68,4% |
| Datenbeschädigung (Art. 144bis) | 756 | 686 | 90,7% |
Anzahl Straftatbestände in Bezug auf Hacking im Jahr 2021. Reduzierte Darstellung basierend auf der Polizeilichen Kriminalstatistik 2021. (Quelle: bfs.admin.ch)
In einer vielbeachteten Studie der amerikanischen Cyber-Intelligence-Firma Recorded Future, welche im Auftrag des «Beobachter» erstellt und von ebendiesem im Oktober 2021 veröffentlicht wurde, ist sogar von 4799 Hacking-Angriffen auf Schweizer IP-Adressen innerhalb der letzten fünf Jahre die Rede. Über die Hälfte dieser Fälle ereignete sich gemäss der Studie allein zwischen August 2020 und August 2021.
Allerdings handelte es sich gemäss den Experten hierbei lediglich um Fälle, bei denen Daten gestohlen und anschliessend im Darknet verkauft wurden. Bei Lösegelderpressungen gibt es viele Firmen, welche die Forderungen einfach bezahlen. Solche Fälle können daher quantitativ schlecht erfasst oder eingeschätzt werden.
Die News-Plattform watson.ch hat kürzlich in einem Beitrag eine chronologische Liste von Hacking-Fällen im Jahr 2021 präsentiert, bei denen Schweizer Firmen und Gemeinden betroffen waren. Und auch im aktuellen Jahr gab es gemäss watson.ch schon zahlreiche weitere Hacking-Angriffe auf Unternehmen und Behörden in der Schweiz.
Was wollen die Angreifer und wie gehen sie vor?
Doch welche Ziele verfolgen die Angreifer mit einem Angriff auf eine Website? Bei der Verbreitung von Malware oder Phishing besteht die Absicht, dass der Hacking-Angriff möglichst lange unbemerkt bleibt, um möglichst viel Schaden anzurichten. Hierbei stellen eher kleine Websites geeignete Angriffsziele dar, da diese oft weniger oder schlechtere Sicherheitsmassnahmen aufweisen, die Angriffe weniger schnell auffallen und die kriminellen Prozesse so länger unentdeckt bleiben. Dabei werden häufig sogenannte «Webshells» auf den gehackten Websites installiert, welche es den Angreifern nicht selten für lange Zeit ermöglichen, unbemerkten Zugriff auf alle möglichen Systeme im Netzwerk der Opfer zu erhalten.
Leider werden sehr oft veraltete Plugins oder Themes als Einstiegspunkte missbraucht. Werden solche Plugins und Themes nicht regelmässig aktualisiert, stellen sie unter Umständen ideale Eintrittstore für die Angreifer dar. Doch nicht nur Plugins und Themes können kritische Stellen sein. In seltenen Fällen kann sogar eine veraltete Kern-Version des eingesetzten Content-Management-Systems (CMS) die Schwachstelle sein, wenn sicherheitsrelevante Updates nicht vorgenommen werden oder die alten, nicht aktualisierten Versionen weiterhin als vermeintliche Backups auf den Webservern verweilen.
Was tun die Behörden dagegen?
Der Strafverfolgung bei Cyberattacken wie Hacking stellen sich oft grosse Hürden in den Weg, denn das Zurückverfolgen bis zu den Angreifern ist häufig sehr schwierig. Viele Polizeikorps und Bundesbehörden verfügen jedoch über spezialisierte Abteilungen für Internetkriminalität und gehen Verdachtsfällen aktiv und akribisch nach.
Das Nationale Zentrum für Cybersicherheit (NCSC) übernimmt beim Bund die Rolle als Anlaufstelle und Kompetenzzentrum für Cybersicherheit. Das NCSC – ehemals unter dem Namen MELANI bekannt – verantwortet die Umsetzung der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken.
Erst kürzlich hat der Bundesrat eine Vernehmlassung lanciert, welche eine Meldepflicht für Cyberangriffe vorsieht. Gemäss dem Gesetzesentwurf sollen jene Cyberangriffe dem NCSC gemeldet werden, welche ein erhebliches Schadenspotenzial aufweisen. Doch auch der Bund verpflichtet sich seinerseits zur Unterstützung. Das NCSC soll die Öffentlichkeit über die Bedrohungen informieren und sensibilisieren sowie betroffene Betreiber kritischer Infrastrukturen bei Bedarf bei der Bekämpfung der Cyberangriffe unterstützen.
Bester Hacking-Schutz sind regelmässige Updates und Wartung
Die Beachtung für das Thema Cyberkriminalität und Hacking im Speziellen hat in den letzten Jahren in der öffentlichen Wahrnehmung sicher zugenommen und Internetnutzer werden erfreulicherweise immer vorsichtiger. Aber leider ist es allzu oft der Fall, dass die Benutzer selbst einmal Opfer eines Angriffs werden müssen, um sich der reellen Gefahr bewusst zu werden. Zudem gibt es nach wie vor viele Website-Betreiber, Webmaster, Webdesigner oder Webagenturen, die sich in falscher Sicherheit wähnen. Ist die eigene neue Website einmal fertig gebaut, denken viele in der Folge zu wenig an die Themen Wartung und Sicherheit. Das Sicherheitsbewusstsein für die eigene Website sollte jedoch bereits vom ersten Tag an präsent sein.
Info
Nützliche Informationen und Tipps zur Vorbeugung von Hacking-Angriffen auf Ihre Website finden Sie im ersten Teil unserer Artikel-Serie zum Thema oder in unserem Support Center sowie auf den Websites des Nationalen Zentrums für Cybersicherheit (NCSC), der Schweizerischen Kriminalprävention (SKP) oder der Swiss Internet Security Alliance (iBarry).
Hacking-Fälle können Sie über das NCSC unter folgender Webadresse melden: https://www.report.ncsc.admin.ch/de/
