Hochsaison für Hacker

• Martin Raab
  

Ron Grimshaw, ein 80-jähriger Pensionär aus dem britischen Hertfordshire, wird den 12. Mai 2017 so schnell nicht vergessen. Grimshaw wurde pünktlich um 11:00 Uhr zum eingehenden Gesundheitscheck in den MRI-Scanner des örtlichen Hospitals geschoben. Nach zehn Minuten brach die Maschine plötzlich ab und Grimshaw lag im Dunkeln. Panik unter den Klinik-Bediensteten, ungläubiges Staunen bei den Patienten. Nach kurzer Zeit erreichen das Hospital surreale Nachrichten aus London: Das Kliniknetzwerk des National Health Service wurde Opfer einer weltweiten Hacker-Attacke des Virus «Wanna Cry». Alle Windows-Rechner wurden korrumpiert. Ebenso von der Malware betroffen waren u.a. der Autohersteller Renault, welcher temporär sogar die Produktion herunterfahren musste, und der Logistiker FedEx. Dort erfolgte im Logistikzentrum in Memphis/Tennessee eine Notabschaltung von Hunderten Windows-PCs und -Servern. Der weltweit ausgedehnte Hackerangriff auf Computersysteme von Konzernen, Behörden und Privatleuten gilt als grösster der jüngsten Geschichte. Die europäische Polizeibehörde Europol registrierte mindestens 200’000 betroffene Computersysteme in 150 Ländern.

Wahrscheinlich dem Giftschrank der NSA entsprungen

Jetzt ermitteln Staatsanwaltschaften und andere Strafverfolgungsbehörden rund um den Globus gegen Unbekannt. Doch sind weite Elemente der Malware «Wanna Cry» in der Hacker-Szene alles andere als unbekannt: «Die Sicherheitslücke, über die die Rechner infiziert werden, stammt aus dem Giftschrank der NSA», erklärt Linus Neumann vom Chaos Computer Club (CCC) gegenüber den Nachrichtenagenturen. Die mit dem Erpressungstrojaner befallenen Computer konnten nur gegen Zahlung von USD 300 auf ein Bitcoin-Konto entsperrt werden. Ein bislang noch namentlich unbekannter britischer Softwareprofi hatte im Code der Schadsoftware eine von den Autoren eingebaute «Notbremse» gefunden, die er durch eine simple Domainregistrierung auslöste und damit die Ausbreitung des Erpressungstrojaners vorerst stoppte. «Wanna Cry» gelangte kurioserweise nicht über eine klassische Phishing-Attacke auf die Rechner der Opfer, sondern über eine Schwachstelle, die jahrelang von dem USGeheimdienst National Security Agency (NSA) genutzt wurde, um Rechner zu infiltrieren. Mitte April gelangten zahlreiche NSA-Hackingtools in die Hände von Cyberkriminellen, die diese im Darknet – der illegalen Seite des Internets – anboten. Üblicherweise werden im Darknet eher geklaute Kreditkartendaten und Sozialversicherungsdaten offeriert. Diese gibt es bereits ab USD 100. Am teuersten sind erbeutete deutsche und Schweizer Kreditkarten-Daten, welche bis zu USD 250 kosten.

Kriminelle dank Social Media bestens informiert

Dateneinbrüche sind mehr denn je ein sehr lukratives Geschäftsmodell. Und die Datenquellen sind oftmals leichter zugänglich als gedacht. Telefonbucheinträge, Kontrollschilderdatenbanken, Grundstücksinformationen oder auch achtlose Einträge in sozialen Medien sind offene Einladungen für Hacker. Garniert mit Bildern in Facebook, Instagram oder Pinterest, haben Hacker und organisierte Banden leichtes Spiel. Besonders beliebt: Ferienbilder von Leuten mit einer freizügigen Datenspur. Nach Angaben der US-Bundespolizei FBI wird inzwischen jeder vierte Hauseinbruch in amerikanischen Metropolen gezielt von in Social Media geposteten Absenzen ausgelöst. Während man sorglos am Strand liegt, räumen Kriminelle in Ruhe das Haus leer. Auch kursieren immer mehr sog. Fake-Profile in den sozialen Medien, die als «Anzapfstelle » für reale Profildaten genutzt werden. So werden Bilder von attraktiven Damen und Herren mit seriöser Uniausbildung und Investmentbank-Karriere gebastelt, um gezielt wiederum an die Daten von echten Zeitgenossen auf LinkedIn oder XING zu gelangen. Noch schlimmer ist wahlloses Facebook-Freunde-Hinzufügen – ein No-Go für die IT-Security.

Chefbuchhalter per Fake-E-Mail folgenschwer ausgetrickst

Oft reicht aber auch schon eine Fake-E-Mail und die Millionen fliessen in die falsche Richtung. «Die ergaunerten Summen reichen von 750’000 Euro bis zu 15,5 Millionen Euro», erklärt Rüdiger Kirsch vom Spezialversicherer Euler Hermes. Der Versicherer hat «Dutzende solcher Fälle» in Bearbeitung. Die Masche ist dabei fast immer gleich: Die Täter hacken sich ins Firmen-Intranet, spähen Korrespondenzen aus, fälschen den Mail-Account des Vorstandschefs – und verschicken dann Anweisungen in seinem Namen. In der Hackerszene spricht man vom «Fake President». Meist erhält der Buchhalter oder die Buchhalterin einer Tochterfirma eine E-Mail vom CEO. So geschehen beim Dax- Konzern Leoni. Der CEO wies wegen einer «bevorstehenden Firmen-Übernahme» den Chefbuchhalter der Leoni-Tochterfirma in Rumänien an, 40 Millionen Euro zu transferieren. Die Betrüger nutzten E-Mails, die wie normale Zahlungsanfragen des in Nürnberg beheimateten Konzerns aussahen. Manipuliert wurde vermutlich das Absender-Feld der E-Mail. Das Geld wurde wie bestellt auf das Konto einer tschechischen Bank transferiert. Wenige Stunden später folgte die Weiterleitung quer über den Globus.

«Oft reichen aber auch schon eine Fake-E-Mail und die Millionen fliessen in die falsche Richtung.»

Grosse Budgets für IT-Security

Es ist absehbar, dass die Budgets für diverse IT-Sicherheitslösungen weiter steigen werden. Das Beratungsunternehmen Markets&Markets schätzt in einer Studie, dass der weltweite Cyber-Security-Markt bis 2020 ein Volumen von 170 Milliarden US-Dollar erreichen wird – bei jährlichen Wachstumsraten von 10%. Kein Wunder, denn es handelt sich um ein Querschnittssegment, das alle anderen aufstrebenden Technologien umspannt. Gut für die Unternehmen, die sich dem Sub-Segment IT-Security verschrieben haben. Zu den aktuell vielversprechenden Nummern im digitalen Sicherheitsgeschäft gehören nach Einschätzung des deutschen Silicon Valley- Papstes Thomas Rappold Check Point Software, Proofpoint Inc. und auch Trend Micro Inc. Das amerikanische Unternehmen Proofpoint hatte gemäss Rappold zuletzt «bärenstarke Quartalszahlen» abgeliefert. Die freie Cash-Flow-Marge des Unternehmens beträgt attraktive 25%. Das Unternehmen profitiert mit seinen Sicherheitslösungen stark vom Trend in die Cloud, z.B. bei Office 365. In luftige Sphären aufgestiegen ist auch die Aktie von Symantec Corp., dem Virensoftware-Hersteller. Dort werden am 8. Juni beim Financial Analyst Day die Details der aktuellen Unternehmenszahlen präsentiert. Die jüngste Attacke von «Wanna Cry» könnte Wasser auf die Umsatzmühle von Symantec sein. Nach einem leidvollen Kursabsturz über die letzten Monate könnte es bei FireEye Inc., einem Netzwerk-Sicherheitsspezialisten aus Kalifornien, bald wieder aufwärts gehen. CEO Kevin Mandia hat vor wenigen Wochen ein knallhartes Sanierungsprogramm gestartet.

Erhebliches Gewinnpotenzial mit Strukis und ETFs

Aktien von Konzernen, die schwergewichtig auf die Internet-Sicherheit setzen, erzielten seit 2011, in CHF umgerechnet, überdurchschnittliche Kursgewinne im Vergleich zum Weltaktienindex. Das Thema ist somit lukrativ für Anleger. In Anbetracht der eher unbekannten Titel empfiehlt sich ein gepooltes Vorgehen. Die Auswahl an ETFs und Tracker-Zertifikaten auf diese Marktnische ist klein, aber fein. Zum bekanntesten ETF in diesem Gebiet zählt der in den USA gehandelte HACK. Er basiert auf dem ISE Cyber Security Index, einem regelbasierten, methodischen Ansatz (siehe Product News 1). In der Schweiz kotiert ist der ETF ISPY von ETF Securities. Er basiert auf demselben Basiswert wie HACK. Mit einem Total Expense Ratio von 0.75% sind die beiden ETFs gleich teuer.

An der SIX Swiss Exchange gehandelte Tracker-Zertifikate

Gut im Stoss ist im laufenden Jahr das endlos laufende Tracker-Zertifikat ZSLAAV der Bank Vontobel auf den VT Cyber Security Performance Basket (siehe Interview). Das Zertifikat liegt seit Auflage im November 2015 mit rund 20% im Plus. Die Macher legen viel Wert auf Unternehmen mit guter Planbarkeit der Erträge. Möglich wird dies durch «Software as a Service»-Verträge. So wie bei einer regelmässigen Versicherungsprämie, die idealerweise (dank Wachstum von Kundenstamm und Umsatz pro Kunde) jährlich steigt. Die selektierten Unternehmen haben in der aktuellen Bilanzsaison mit starken Zahlen überzeugt. Bereits seit Juli 2011 im Markt ist das endlos laufende Tracker-Zertifikat WWWCHF von Leonteq Securities. Es lag Mitte Mai um rund 120% höher als der Ausgabepreis von CHF 120.56. WWWCHF bildet die Kursentwicklung des Solactive Online Security Performance Index ab. Der Basiswert setzt sich aus Aktien von maximal 15 Unternehmen zusammen, deren Hauptgeschäftstätigkeit im Bereich der Datensicherheit, im Speziellen der Online-Datensicherheit, liegt. Die Gewichtung erfolgt nach Marktkapitalisierung und wird halbjährlich angepasst. Der Vollständigkeit halber sei auch noch SSNKJB, der JB Cybersecurity Basket II der Bank Julius Bär, erwähnt. Seine Performance war seit Juli 2016 die beste. Allerdings läuft die auf ein Jahr fixierte Laufzeit am 7. Juni 2017 bereits ab. Tracker-Zertifikate auf langfristige Megatrends mit einer derart kurzen Laufzeit sind im Grunde genommen ein Unding. Zur optimalen Ausnutzung langfristig attraktiver Themen sollten Anleger endlos laufende Produkte auf nachvollziehbare Benchmarks vorziehen. Zumindest teilweise der Marktnische Internetsicherheit zugehörend ist das in der Rubrik «Ich kaufe jetzt» von Marco Fumasoli, Leiter Asset Management / CIO Investas, vorgestellte Tracker-Zertifikat CYBDAZ. Es vereint die Themenschwerpunkte Cyber Security und Big Data. 

Unsere Favoriten

Internetsicherheit bleibt ein Dauerthema, wie die jüngsten Cyberangriffe einmal mehr belegen. Anleger, die als Beimischung diese Marktnische in ihr Portfolio aufnehmen möchten, sollten sich auf den ETF ISPY oder die endlos laufenden Tracker-Zertifikate WWWCHF oder ZSLAAV konzentrieren. Alle drei genannten Produkte sind an der SIX Swiss Exchange und werden in CHF gehandelt. Vielleicht wird nun auch Ron Grimshaw als persönlich betroffener Zeitzeuge des Hackerangriffs darüber nachdenken, einen Teil seines Portfolios in Wertschriften mit Cyber-Security-Bezug zu investieren.

Grenzenloses Hacking

Sie operieren von Universitäten, Privatwohnungen oder sitzen im Coffee-Shop: Hacker sind eine sehr diverse Gruppe von Computer-affinen Personen. Dank zunehmender Vernetzung und Highspeed-Verbindungen ist Hacking inzwischen eine grenzenlose Beschäftigung geworden. Rund 70% aller Hacks sind gemäss 2016 Bug Bounty Hacker Report rein monetär motiviert. Dabei gibt es auch unter schwerkriminellen Hackern Rangordnungen. So arbeiten manche eher dilettantisch, andere wiederum hochprofessionell und mit permanenter Weiterbildung in technischen Dingen. Einige Zeitgenossen sind sogar geheimdienstähnlich organisiert. Elite-Hacker verdienen jährlich bis zu USD 5 Mio. Zumindest solange sie nicht von der Polizei gefasst werden. 51% der Cyber- Kriminellen machen im Durchschnitt USD 20’000 jährlich. Für Länder wie Indien, wo die meisten Hacker weltweit sitzen, sind diese Beträge Garant für ein Luxusleben. Hochburgen der Kreditkarten-Mafia, auch samt physischer Produktion, sind Fernost-Metropolen und Zentraleuropa. In den USA sind sog. «Identity Thefts» und klassische Datendiebstähle nach wie vor Hauptgeschäft der Hacker.