Ein Hacker-Angriff ist wie ein Banküberfall mit unsichtbaren Tätern“, sagt Avi Kravitz mit weit geöffneten Augen. Er ist sichtlich aufgeregt, als er seinen bisher größten Fall von Cyberkriminalität für Forbes Aus­tria noch einmal aufrollt. „Dieser Einsatz hat mich stark verändert, vor allem meine Denkweise“, so seine Einleitung zu einem Kriminalfall, der im echten Leben spielt. Ab 2009 war Kravitz als Whitehat-Hacker für ein führendes internationales Unternehmen für Informations- und Applikationssicherheit tätig. „Damals wurde ich dafür bezahlt, unseren Kunden aufzu­zeigen, wo die Schwachstellen ihrer IT-Sicherheitsmaßnahmen liegen. Mit sogenannten Cybersecurity-Stresstests simuliert man zum Beispiel einen Angriff auf die IT-Struktur eines Unternehmens, um für den Ernstfall gerüstet zu sein. Ab 2011 hatte ich die Verantwortung für unser Incident-Response-Team und war bei akuten Hackerangriffen für die Leitung und das Notfallmanagement verantwortlich“, erzählt er. Als Ende 2011 eine große deutsche Aktiengesellschaft systematisch von einem chine­sischen Angreifer ausgeräumt wurde – unter Gefährdung der dort gespeicherten hochsensiblen Daten und Informa­tionen – wurde Avi Kravitz zu Hilfe gerufen. Der Cyberkrimi nahm seinen Lauf. „Unsere Taskforce-Teams haben erst einmal alle Ressourcen verwendet, um die Hacker draußen zu halten, den Fall forensisch aufzuarbeiten und herauszufinden, was genau passiert ist“, erzählt er weiter.

Avi Kravitz ist das Cover der Oktober-Ausgabe 2016.

Im World Wide Web sind Attacken dieser Art schon längst keine Seltenheit mehr. Erst ­Anfang September machte ein Hacker­-Angriff auf den Flughafen Wien-­Schwechat Schlagzeilen: Unbekannte sollen mit mehreren Angriffen versucht haben, in das System des Flughafens einzudringen, so Flughafen­direktor Günther Ofner in offiziellen Medien­berichten. In diesem Fall hat das IT-Sicherheitssystem Schlimmeres verhindert und die Angreifer haben ihr Ziel verfehlt. Weder wurde die Homepage des Flughafens lahmgelegt noch konnten sie Zugriff auf andere wichtige Daten des Flughafens oder einer Airline erhalten. Da hatte der Internetkonzern Yahoo 2014 weit weniger Glück: Wie Ende September offiziell bestätigt wurde, konnten bei einem Hacker-Angriff vor zwei Jahren Daten von mindestens 500 Millionen Nutzern gestohlen werden. Dabei handelt es sich um ­sensible Informationen wie Namen, E-Mail-Adressen, Telefonnummern und Geburtsdaten. „Ein Trend der letzten Jahre zeigt, dass Hacker-Gruppierungen Daten auf Vorrat stehlen, mittels ‚Big Data‘ verknüpfen und dann am Schwarzmarkt nach potentiellen Käufern suchen“, erklärt Avi Kravitz.

Aber auch sogenannte Fake-President-Betrugsfälle nehmen derzeit zu. Dabei geben sich die Betrüger als Chef eines Unternehmens aus und drängen einen Mitarbeiter zur Blitzüberweisung großer Geldbeträge, etwa auf das Konto einer ausländischen Firma. Erst im Nachhinein fliegt der Betrug auf, die E-Mail-Adresse stellt sich als gefälscht heraus und das Geld ist meist verloren. Oft trifft es international agierende Unternehmen, deren Größe und Anonymität Kriminellen in die Hände spielen. Am häufigsten kommt es aufgrund von Spionage bzw. Diebstahl (von Daten, Plänen, Forschungsergebnissen, Anm.) und Sabotage zu kriminellen Einbrüchen in die IT-Systeme von Unternehmen und Konzernen. „Das betrifft so ziemlich jede Organisation, die ich kenne. Doch den meisten Unternehmen fehlen die Tools, um überhaupt herauszufinden, dass etwas passiert. Viele ­werden jahrelang kompromittiert und bemerken erst dann etwas, wenn der Schaden schon eingetroffen ist“, erzählt der IT-Security-Spezialist. An die Öffentlichkeit gelangen Informationen über Cybercrime-Fälle nur sehr selten.

Avi Kravitz
... ist IT-Security-Spezialist und wurde in Israel geboren. Er übersiedelte aber bereits im Alter von drei Jahren mit seinen Eltern nach Wien. „Mein Vater kommt aus Litauen, meine Mutter aus Usbekistan. Sie haben sich in den 70er-Jahren in Israel kennen­gelernt und sind Ende der 80er nach Österreich gegangen“, erzählt Avi Kravitz. Nach einer ­technischen Ausbildung in der HTL Spengergasse arbeitete er schon in jungen Jahren als Berater in IT-Fragen. Er ist zudem Absolvent des Departments Informatik und Security der Fachhochschule St. Pölten.

Eine 2013 beschlossene EU-Verordnung sieht die verpflichtende Meldung von Angriffen auf Kundendaten innerhalb von 24 Stunden an die nationalen Sicherheitsbehörden vor. Internetkunden müssen aber nicht in jedem Fall ­darüber informiert werden, wenn Hacker versucht haben, auf ihre Daten zuzugreifen. Während Datenschützer und Sicherheitsbehörden seit Jahren darauf drängen, Hackerangriffe transparent zu machen, fürchten Internet- und Telekommunikationsunternehmen dadurch einen Wettbewerbsnachteil und Imageschaden. Doch oftmals ist es genau das, worauf die Aggressoren abzielen. „Hacktivisten wie ‚Anonymous‘ stehlen ab und zu ein paar Daten oder versuchen, einen Server bzw. ganze Netzwerke durch sogenannte ‚Denial-­of-Service-Angriffe‘ lahmzulegen, um ihre politische Botschaften zu ver­breiten. Das sind aber nicht die Akteure, mit denen ich es heute meistens zu tun habe“, erklärt Kravitz.

Auch 2011, bei dem Cybercrime-Fall, der Avi Kravitz’ Leben für immer verändern sollte, war die Frage nach der Identität der Angreifer omnipräsent. „Alle waren angesichts der unsichtbaren Täter wie vom Schlag getroffen. Vom Management Board ist dann sehr schnell die Frage gekommen: ‚Wer ist das eigentlich?‘ Und das mittlere Management hat ständig gefragt: ‚Was wollen die von uns?‘“, erzählt er.

Beide Fragen sind berechtigt, doch der Markt wusste damals noch keine Antworten darauf. Im Cyberkrieg sind die Angreifer generell im Vorteil, da sie nur einen kleinen Fehler finden müssen, um in die IT-Infrastruktur einzudringen. „Es ist erschreckend, wie einfach IT-­Systeme manipuliert werden können. Wenn man weiß, wie es funktioniert, ist es total simpel“, warnt Kravitz.

Nachdem der Fall 2011 gemeinsam mit Spezialisten aus der ganzen Welt aufgeklärt wurde und schließlich die gröbsten Sicherheitslücken geschlossen ­waren, blieb nur noch eine letzte Tür, durch die die Angreifer gehen konnten. „Wir haben schon Wetten abgeschlossen, wann sie wiederkommen, denn es war klar, dass sie alle paar Wochen wieder an der Tür klopfen“, so der Hacker-Jäger.

In der Nacht von 24. auf 25. Dezember war es dann so weit: Die Blackhat-­Hacker (destruktive Hacker, Anm.) ­gingen in die ausgelegte Falle – der Grundstein für die „Cyber Trap Software GmbH“ war gelegt.

Die ursprüngliche Idee zur revo­lutionären Technologie hinter dem 2015 gegründeten Start-up ist eine Weiter­entwicklung des sogenannten Honey­pot-Konzepts. Als Honeypot (englisch für Honigtopf, Anm.) wird eine Einrichtung bezeichnet, die einen Angreifer oder Feind vom eigentlichen Ziel ablenken oder ihn in eine Falle locken soll. „Wenn ein Angreifer versucht, einzubrechen, leite ich ihn auf eine vorbereitete digitale Spielwiese um und kann ihm dort wie durch eine Glaskugel zusehen. Ich sehe, was er dort macht und wonach er sucht. Ab diesem Zeitpunkt sitzt er quasi schon in der Falle. Ich kann ihm nun falsche, präparierte Informationen und Dokumente geben, wie markierte Geldscheine bei einem Banküberfall, und muss nur darauf warten, dass er sie öffnet“, erklärt Avi Kravitz. Um aber den richtigen Täter ausfindig zu machen, muss man sich vor Augen führen, dass rund um Cyberkriminalität der Auftraggeber nicht gleich der Angreifer ist.

Im sogenannten „Deep Web“, dem versteckten Teil des World Wide Webs, der bei einer Recherche über normale Suchmaschinen nicht auffindbar ist, gibt es eigene Jobbörsen für kriminelle Hacker. „Ein Angreifer kann in der Regel nicht evaluieren, ob sein Diebesgut auch inhaltlich stimmt. Er muss die Daten öffnen – und in diesem Moment bekomme ich die Informationen über seine Identität. Dann leitet er es seinem Auftraggeber weiter, der die Daten wiederum öffnet, und so erhalte ich schließlich auch die Informationen über den Auftraggeber. Mit dieser Technologie haben wir schon viele Bösewichte und ihre Hintermänner identifiziert, die dingfest gemacht werden konnten, etwa von der Interpol“, erklärt der Cyber-Trap-Co-Gründer. Der erste Prototyp für das Aufspüren und Fangen der Cyberkriminellen ist 2013 entstanden. Zwei Jahre später, Anfang 2015 wurde Cyber Trap als eigenes Unternehmen aus­gegliedert. Durch das Bedienen einer Nische in einem bereits nischigen Segment ist es Kravitz zu Beginn nicht leicht gefallen, neue Kunden zu gewinnen.

Im Sommer 2015 veröffentlichte Gartner (die Gartner Inc. ist ein führender Anbieter von Marktforschungsanalysen über Entwicklungen in der IT, Anm.) einen Bericht über aufkommende Technologien für Informationssicherheit, die dieser innovativen Technologiesparte einen Namen gegeben und für Cyber Trap den Markt aufgesperrt hat. „Wir sind die Urheber der Deception Technology (Täuschungs-Technologie), die laut Gartner zu den heißesten der gerade in diesem Bereich aufkommenden Technologien zählt“, sagt Kravitz stolz. Der Erfolg gibt ihm recht: Internationale Kunden sowie Investoren bekunden derzeit ihr Interesse und schon Anfang 2017 wird Avi Kravitz mit seinem Team an einem Accelerator-Programm im Silicon Valley teilnehmen.

„Unsere ersten Kunden kommen aus dem Bankensektor, der Forschung & Entwicklung , der Produktion, der Medienbranche und der Juristerei. Zum Teil sind potentielle Kunden derzeit noch zurückhaltend, da sie mit dieser Art von Technologie nicht vertraut sind. Aber die derzeitige Situation, in der erkannt wird, dass präventive Maßnahmen zusehends versagen, spielt uns in die Hände“, sagt Avi Kravitz, der bei seiner Online-Verbrecherjagd ein erklärtes Ziel verfolgt. „Wir wollen die Messlatte so hoch legen, dass Angriffe unökonomisch werden, weil Kriminelle zu viel Geld einsetzen müssten, um unsere Sicherheitsbarrieren zu überwinden.“

Text: Barbara Duras

Der Artikel ist in unserer Oktober-Ausgabe 2016 erschienen.