Um hartnäckige Cyberschurken außen vor zu halten, müssen Sie beizeiten kreativ werden. Wir sagen Ihnen, was zu tun ist, um nicht gehackt zu werden.
Kriminellen Hackern eilt ihr Ruf voraus: Sie gelten ganz allgemein als Über-Genies, die jedes Passwort in Sekunden erraten haben, jedes System hacken können und mit einem Tastendruck Chaos auf tausende von Netzwerken regnen lassen, die noch nicht einmal miteinander verbunden sind. So sieht man es zumindest in der Traumfabrik Hollywood. Jeder, der in seinem Job täglich den Kampf gegen cyberkriminelle Elemente aufnimmt, weiß, dass die "guten Jungs" oft auch ein bisschen smarter sind - beziehungsweise sein müssen. (Kriminelle) Hacker brauchen hingegen des Öfteren lediglich einen langen Atem.
Bringen Sie die kriminellen Hacker zur Verzweiflung. Wir sagen Ihnen wie. Foto: AFPics - shutterstock.com
Jedes Jahr machen einige, wenige Hacker etwas wirklich Neues. Der Rest beschränkt sich auf die bewährten Methoden und Ziele. Um ein fehlendes Patch zu entdecken oder eine Social-Engineering-Attacke zu forcieren, braucht man jedenfalls kein Diplom. Im Grunde ist es mit dem Hacking wie in jeder Berufsausbildung: Wenn man einmal ein paar Tricks und Tools kennt, kommt der Rest nach und nach, es folgt die Routine. Richtig inspirierend kann es hingegen werden, wenn man den Security-Spezialisten auf die Finger schaut - den Hackern der Hacker.
Wir haben 15 der cleversten Tricks gegen kriminelle Hacker für Sie zusammengefasst. Darunter auch einige echt fiese Fallen, für deren Umgehung sich Cyberschurken einiges einfallen lassen müssen. Wenn Sie demnächst wieder einmal von einem großen Hack lesen, können Sie sich fast sicher sein, dass der oder die Betroffene(n) diese Tricks nicht im Repertoire hatte(n). Machen Sie es besser!
Die größten Hacks 2016
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Nutzen Sie Daten für die Defensive!
Defensivmaßnahmen auf der Basis von Daten gibt es schon seit längerer Zeit. Insbesondere solche Konzepte, die Daten nutzen, um Bedrohungen besser aufspüren, klassifizieren und beseitigen zu können, kommen in den letzten Jahren verstärkt zur Anwendung - fast alle Unternehmen im Security-Umfeld sind inzwischen auf diesen Zug aufgesprungen. Der Aufstieg der Cloud hat hierzu ebenfalls beigetragen, schließlich ermöglicht die Wolke erst die relativ einfache Sammlung und Auswertung von großen Datenmengen. Der wesentliche Fortschritt liegt darin, dass die Entstehung von Daten nun in den Vordergrund rückt.
Die Top-12-Sicherheitsrisiken in der Cloud
Datenverlust Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können.
Gestohlene Benutzerdaten Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst.
Geknackte Interfaces und APIs Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss.
Ausgenutzte Schwachstellen Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht.
Account Hijacking Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können.
Insider mit bösen Absichten Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren.
Der APT-Parasit APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden.
Dauerhafter Datenabfluss Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden.
Fehlende Sorgfalt Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht.
Missbrauch von Cloud-Diensten Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium.
DoS-Attacken DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen.
Geteite Technik, doppelte Gefahr Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
Unternehmen wie Crowdstrike, FireEye, CounterTack oder ThreatMetrix bieten Produkte an, die die Datenströme innerhalb Ihres Netzwerks analysieren. Dabei werden nicht nur alle ausgehenden Verbindungen auf Connections zu bekannten, bösartigen Netzwerken untersucht, sondern auch nach APT-Familien geforscht, die sich eventuell bereits in der Netzwerkumgebung befinden. Andere Security-Produkte wie Microsofts Advanced Threat Analytics können dabei helfen herauszufinden, ob ein krimineller Hacker versucht, Ihre Login-Datenbank zu knacken und falls ja, wie lange er sich bereits im Netzwerk aufhält.
Zahlreiche andere Firmen sorgen mit ihren Produkten für schnelles Aufspüren von Spam, Phishing-Versuchen und Malware - einfach per Abgleich mit einer weltweiten Datenbank. Diese Unternehmen können regionale und globale Verhaltensmuster erkennen - ein Unternehmen alleine könnte das nicht bewerkstelligen. Wenn Ihre Daten also noch nicht in Ihre IT-Sicherheits-Lösungen mit einfließen, sollten Sie das ändern.
Täuschen Sie mit Daten an!
Legen Sie ein paar gefälschte Datensätze in Ihrem Netzwerk an und lassen Sie die kriminellen Hacker zuschnappen. Schließlich ist es ziemlich schwer, alle Datenlecks zu stopfen und mindestens genauso schwer alle Daten so zu untersuchen, dass dabei nicht eine Armada von ‚false positives‘ ausgegeben wird. Stattdessen sollten Sie Ihr internes Netzwerk mit DLP (Data Leak Prevention) Software einem Monitoring unterziehen und nebenbei auf externen Seiten nach ihren Fake-Daten Ausschau halten - schon haben Sie "Ihren" Hacker identifiziert.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Ein Krankenhaus war beim Anlegen der Fake-Daten besonders kreativ und legte fiktive Patientenakten an, für die die Namen der Bandmitglieder von Kiss benutzt wurden - mit kleinen Änderungen. So wussten nur die IT-Abteilung und das Management, dass Ace J. Freelee, Gene H. Symmons, Petre L. Chriss und Paulie S. Stanlee keine echten Patienten waren.
Legen Sie Honeypots aus!
Der Einsatz von Honeypots verstärkt diesen Ansatz weiter. Bei den "Honigtöpfen" handelt es sich um hundertprozentige Fake-Güter, die in der Produktion platziert werden. Der Honeypot kann dabei nahezu jede Form annehmen, egal ob Server, Client oder Netzwerk-Device. Einmal aufgesetzt, sollte jeder User, der mit dem Honeypot in Berührung kommt, auf Bösartigkeit untersucht werden. Dabei steht der Einsatz von Honeypots im krassen Gegensatz zu den traditionellen Maßnahmen der IT-Sicherheit: Er ist von hohem Wert und absolut unauffällig.
Unternehmen wie Cymmetria oder KFSensor bieten kommerzielle Honeypots an - daneben existieren auch noch zahllose Open-Source-Alternativen. Sie können dafür auch einfach alte Daten nutzen, die ansonsten aussortiert würden. Das hat den Vorteil, dass diese Daten für Hacker am authentischsten aussehen.
Durchforsten Sie Hacker-News!
Um auf Augenhöhe mit den Cyberkriminellen bleiben zu können, ist es wichtig zu wissen, was diese im Sinn haben. Deshalb sollten Sie auch regelmäßig Seiten besuchen, von denen man weiß, dass dort Cyberkriminelle ihr Unwesen treiben. Das sind Seiten wie Pastebin, aber auch bestimmte Sites im Darknet. Dort bekommen Sie aber nicht nur Infos über neue Exploits, sondern eventuell auch Informationen über die neuesten Hacks. Wenn in den Datenbergen der Hacker auch ihre Fake-Daten auftauchen, wissen Sie auch gleich woran Sie sind. Dieses Vorgehen kann also auch eine gute Detection-Strategie darstellen, die wertvolle Zeit gibt, Löcher zu stopfen, Angreifer zu tracken oder die Management-Ebene auf eine demnächst anstehende, unangenehme Pressemitteilung vorzubereiten. Firmen wie Hold Security überwachen die Hacker-Seiten auch gegen Gebühr für Sie.
Das Darknet in Bildern
Enter the Dark In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."
Made in the USA Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.
Drogen Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."
Bitte bewerten Sie Ihren Einkauf! Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.
Waffen Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.
Identitätshandel Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.
Digitale Leben Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."
Auftragskiller Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.
Schnellausstieg Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.
Freiheit? Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Dabei ist dieses Vorgehen nicht ausschließlich reaktiv: Sie können die Daten der Hacker auch aktiv nutzen - selbst wenn Ihr Unternehmen nicht gehackt wurde. Viele Postings der Cyberkriminellen enthalten beispielsweise tausende von Login-Daten - zum Beispiel für Social-Media-Konten oder andere, populäre Consumer-Webseiten. Es kann sich unter Umständen lohnen, diese Daten genauer zu betrachten: Findet sich hier ein Mitarbeiter Ihres Unternehmens, sollten Sie das dazugehörige Passwort einmal im Unternehmensnetzwerk ausprobieren. Stimmen die Daten überein, können Sie dem betroffenen Mitarbeiter ans Herz legen, schnellstmöglich sein Passwort zu ändern. Bei dieser Gelegenheit können Sie ihm oder ihr auch gleich verklickern, dass es mehr als ungünstig ist, das Firmen-Passwort für private Zwecke wieder zu verwenden.
Hinweis: Das reine Besuchen und Mitlesen in solchen Hacker-Foren ist legal. Solange sie keine dort angebotenen Daten kaufen, sind Sie auf der rechtlich sicheren Seite. Aber trotzdem Vorsicht: Drive-by-Malware, Trojaner und andere bösartige Dinge, die Sie sich bereits beim Surfen einfangen können, lauern gerade auf diesen Seiten an jeder Ecke. Zudem laufen Sie Gefahr, dass Sie in das Visier der Ermittlungsbehörden geraten, sollten die besuchten Seiten überwacht und Ihre IP-Adresse mitgeloggt werden.
Faken Sie E-Mail-Accounts!
Mit E-Mail-Accounts können Sie ebenfalls nach kriminellen Hackern fischen. Legen Sie dazu einfach Fake-Accounts an, die von extern nicht erreichbar sind und auch auf keiner Gruppenliste auftauchen. So stellen Sie sicher, dass der Account ausschließlich über Ihr Netzwerk erreichbar ist. Anschließend erfahren Sie per Monitoring, ob irgendwelche verdächtigen Bewegungen festzustellen sind. Wenn an den Account E-Mails gesendet werden, handelt es sich dabei entweder um Spam - oder Ihr E-Mail-System ist bereits kompromittiert.
Die größten E-Mail-Ärgernisse
Spam Egal ob nigerianischer Prinz mit Kohle zu verschenken oder Versprechen von dramatischem Gewichtsverlust - Spam ist heutzutage unvermeidlich. Allerdings kann Spam auch die Tür zu Identitätsdiebstahl, Hacks und anderen Security-Desastern öffnen. Achten Sie also auf einen zuverlässigen Spam-Filter.
Irrelevanz Wieviele E-Mails erhalten Sie pro Tag? Selbst wenn es "nur" 50 pro Tag sind, dürften davon rund die Hälfte inhaltlich völlig irrelevant sein. Also: Denken Sie lieber zweimal nach, bevor Sie selbst den Senden-Button klicken und überlegen Sie auch, ob der Inhalt der Mail für jeden der Empfänger auch wirklich relevant ist.
Romantischer Überschwang "Beste Grüße", "Verbindliche Grüße", "MfG" sind als E-Mail-Abschiedsgruß für viele Menschen ein absoluter Abturn. Versuchen Sie also zu vermeiden, wie ein Charakter aus einer Schnulze aus dem 19. Jahrhundert zu klingen und lassen sie stattdessen ihre Nachricht und Interpunktion für sich sprechen. Wenn Sie einen Abschiedsgruß hinterlassen möchten, setzen Sie auf das altbewährte "Mit freundlichen Grüßen". Ansonsten sagen Sie lieber nichts.
Antwort-Lag Ist die E-Mail angekommen? Wie sieht es jetzt aus? Schon eine Stunde vergangen und immer noch keine Antwort? Nur weil eine E-Mail in Sekunden übertragen ist, heißt das nicht, dass eine Antwort auch auf dem Fuße folgt. Das empfinden viele Menschen als extrem frustrierend.
Überflutung Auf der anderen Seite kann eine E-Mail-Flut - und zwar noch bevor Sie überhaupt Gelegenheit hatten, zu lesen, zu verstehen und zu antworten - mindestens genauso viel ungenutztes Wut-Potential freischaufeln wie der Antwort-Lag. Bevor Sie also eine Armada an Einzeilern auf die virtuelle Reise schicken, sollten Sie sich überlegen, wie Sie alle Inhalte in eine E-Mail packen.
Emoticons Ein großer Nachteil der E-Mail ist, dass die Intentionen des Absenders durch das Fehlen von Gestik und Mimik beim Empfänger falsch ankommen kann. Es kann verlockend sein, diese emotionale Leere mit Emoticons aufzufüllen. Aber das sollten Sie nicht tun. Versuchen Sie stattdessen ihre Absichten so gut wie möglich in geschriebener Sprache auszudrücken.
Rudel-Mails Sie arbeiten an einem Projekt und wollen allen Team-Mitgliedern ein Status-Update zukommen lassen? Geht klar. Auch wenn Sie eine Überraschungsparty für einen Kollegen zum Geburtstag planen und eine größere Gruppe darüber informieren möchten, ist dagegen nichts einzuwenden. Bevor Sie nun jedoch eine Gruppen-E-Mail verfassen, sollten Sie nach anderen Kommunikationswegen Ausschau halten - zum Beispiel Collaboration-Apps, Video-Chats, Online-Dokumente oder das gute, alte Face-to-Face-Meeting. Das kann unter Umständen nämlich wesentlich produktiver und effizienter sein, als eine E-Mail. Wenn Sie doch eine schicken, achten Sie darauf, dass im Adressfeld wirklich nur diejenigen Empfänger stehen, die auch eine wichtige Rolle innerhalb des Projekts/Anliegens einnehmen.
Schreierei Halten Sie sich zurück, wenn es um die Verwendung von Ausrufezeichen geht. Schließlich wollen Sie doch nicht wie ein Marktschreier wirken oder schlimmer noch, dem Empfänger vermitteln, Sie wären wütend. Professionelle E-Mails sollten klar, sachlich und verständlich formuliert werden. Also ohne Ausrufezeichen (und ohne Versalien-Orgien).
Der Bösewicht muss ins schwarze Loch!
Schwarze Löcher gehören seit jeher zur Security-Profi-Grundausstattung. Dazu wird eine Umgebung geschaffen, in der sämtliche Hacking-Aktivitäten - und damit jede aufkeimende Gefahr - sofort unterbunden wird. Bei dieser Gelegenheit lässt sich die Aktivität der Cyberkriminellen durch gezielte Eingriffe auch noch massiv verlangsamen.
Ein schwarzes Loch kreieren Sie mit Hilfe von DNS- oder IP Management Services. Wenn dann ein Hacker (oder eine Malware) eine Anfrage nach einem nicht-existenten DNS-Namen oder einer IP-Adresse stellt, wird der Bösewicht direkt auf das schwarze Loch umgeleitet, wo jede Menge Tricks angewandt werden können, um den Kriminellen möglichst lange aufzuhalten (und ihm so auf die Spur zu kommen).
Das schwarze Loch arbeitet dabei genauso wie ein normales Device oder eine Software-Lösung und startet jedes Mal eine dreifache Befehlsabfrage. Wenn Sie Ihr schwarzes Loch zusätzlich mit Honeypots auslegen, können Sie mehr über die Intentionen des Angreifers erfahren. Denken Sie aber unbedingt daran, dass ein schwarzes Loch richtig konfiguriert sein muss. Ansonsten könnten auch versehentlich falsche Anfragen dort landen.
Bevor Sie weiterlesen: Selbst zum Hacker zu werden ist eine Möglichkeit, die sich im ethischen und vor allem im rechtlichen Graubereich befindet. Nichtsdestotrotz kann ein solches Vorgehen geeignet sein, um kriminellen Hackern das Handwerk zu legen. Viele Experten für IT-Sicherheit dürften es leid sein, Angriff um Angriff zu verfolgen. Ganz besonders dann, wenn es sich um ein ganz besonders dummes Exemplar eines Cyberkriminellen handelt.
Deswegen sind einige Experten der festen Überzeugung, dass es nicht nur ethisch gerechtfertigt, sondern auch ihre Pflicht ist, einen hartnäckigen Cyberkriminellen mit einem Präventivschlag zur Räson zu bringen. Eines der berühmtesten Beispiele für eine solche Präventivoperation ist übrigens Stuxnet, der mehrere Zentrifugen in iranischen Nuklearkraftwerken lahmlegte. Das war zwar weder legal, noch ethisch besonders vorzeigewürdig, aber es hat funktioniert.
Im kleineren, privaten Rahmen ist der Offensiv-Hack Gang und Gäbe. Es gibt Unternehmen, die Sie dafür anheuern können und jede Menge Tools. Auch Honeypots können mit automatisierten Hacking-Funktionalitäten ausgestattet sein. Für einen Hacker ist mit Sicherheit eine ziemlich Überraschung, wenn er von seinem "Opfer" plötzlich "zurück" gehackt wird.
Bitte beachten Sie aber unbedingt, dass Sie - selbst, wenn Sie Opfer eines Hackerangriffs geworden sind - nicht einfach in fremde Systeme eindringen und dort Daten abgreifen können, gerade dann nicht, wenn diese spezielle geschützt sind. Näheres regelt der "Hackerparagraph" §202 des Strafgesetzbuches. Also besser externe (forensische) Dienstleister, die seriös und juristisch wasserdicht arbeiten, heranlassen und nicht selbst Hand anlegen!
Legen Sie Fallen aus!
Ganz ähnlich wie bei einigen vorgenannten Taktiken geht es hier darum, möglichst attraktive Beutebrocken zu verstreuen. Werden die eingesammelt und zuhause ausgepackt, entlarven sie die IP-Adresse und damit die Identität des böswilligen Hackers. In der Regel enthalten solche Datenfallen versteckten Code oder Bilder, die bei Aktivierung beziehungsweise Öffnung "nach Hause telefonieren". Wenn der Bösewicht nicht in einer isolierten Offline-Umgebung in die Falle tappt oder sämtlichen ausgehenden Traffic blockiert (das tun sie nie), werden alle notwendigen Informationen gesammelt und direkt an Sie zurück geschickt.
Ich kenne mehr als nur ein paar White-Hat-Hacker, die gelangweilt davon waren, dass jemand sie hacken wollte. Also ließen sie die bösen Jungs ein Fake-System hacken und den vermeintlichen Hauptgewinn mit nach Hause nehmen. Beim Öffnen des Geschenks wurden zur Feier des Tages ihre Festplatten formatiert oder alle Files gelöscht. Nicht schön, aber effektiv.
So binden Sie Ihre IT-Sicherheitsexperten
Coaching Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Wenden Sie Patching-Tricks an!
Sind Sie fürs Patching verantwortlich? Dann wissen sie ja, wie trickreich das sein kann. Alle kritischen Schwachstellen müssen zeitnah beseitigt werden. Sobald ein Patch released wird, fängt sofort die Suche nach dem neuen Exploit an. Und weil die meisten Unternehmen auf einem ganzen Haufen Patches sitzen und nicht hinterher kommen, beinhaltet jeder dieser Patches bereits ein Gateway für Hacker.
Wenn Sie Ihren Kunden einen Patch zur Verfügung stellen, können Sie folgenden Trick in Erwägung ziehen: Einer meiner Mitarbeiter hatte es einmal mit einem Sicherheitsleck zu tun, das so groß war, dass sämtliche Applikationen verwundbar waren. Der Schaden für das Ökosystem wäre nach einem Patch-Release zu groß gewesen. Also haben wir uns dazu entschlossen, den Patch versteckt in einigen anderen Patches über einen Zeitraum von einigen Monaten auszuliefern.
Jeder Hacker, der an dieser Stelle ‚Reverse Engineering‘ hätte betreiben wollen, hätte in einem der Patches lediglich ein paar unzusammenhängende Bytes gesehen. Das Gesamtbild hätte sich erst nach Auslieferung aller Patches gezeigt. Es besteht auch die Möglichkeit, dass der eigentliche Patch bei so einer Maßnahme komplett übersehen wird. Diese Taktik wird inzwischen von vielen Unternehmen angewandt.
Gehen Sie "zero admin"!
Über Dekaden war ‚root‘ der heilige Gral des Hacking. Was aber, wenn es so etwas nicht gibt? Was nicht da ist kann man schließlich nicht stehlen.
Wenn Sie also nicht der Tradition verhaftet sind, gehen Sie doch "zero admin". Dazu bereinigen Sie alle hoch privilegierten Gruppen von permanenten Mitgliedern. So fungieren die Admins als nicht-privilegierte User, bis sie etwas erledigen müssen. In diesem Fall stellt der Admin eine Anfrage auf einen Account oder eine limitierte Session. Bei diesem Vorgang ist jedes Mal ein neues Passwort erforderlich. Wenn es gestohlen wird, ist es also ohnehin wertlos.
IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Diese Strategie der "Just-in-time"-Nutzerdaten, die nur die nötigsten Rechte zugestehen, ist hocheffektiv. Ein Audit stellt in diesem Fall ebenfalls kein Problem dar, weil die Rechte beantragt und gerechtfertigt werden müssen. Es könnte aber schwierig sein, sich aller Ultra-Admins in Ihrer Umgebung zu entledigen. Aber: Je weniger es davon gibt, desto sicherer sind Sie unterwegs.
Sichern Sie Ihre Admin-Workstations ab!
Eine weitere Option, um das Risiko einer bösartigen Hacker-Attacke zu minimieren, ist die Verwendung von Secure Administrative Workstations (SAW). Statten Sie alle Ihre Admins mit solchen speziell abgesicherten (physischen oder virtuellen) Workstations aus. Dabei handelt es sich um Systeme, die keine Verbindung zum Internet aufbauen können, eine obligatorische Zwei-Faktor-Authentifizierung und ein limitiertes Set von Programmen auf der Whitelist haben. Wenn Sie eine hochsichere Umgebung für Ihre Administratoren und deren Arbeit schaffen, haben es kriminelle Hacker erheblich schwerer, wenn sie an Ihre Daten-Kronjuwelen wollen.
Hacken Sie sich selbst!
Die besten Softwareentwickler hacken ihren eigenen Code. Oder sie lassen das andere für Sie tun. Wenn Sie selbst zur Tat schreiten wollen, können Sie das manuell erledigen oder mit Hilfe eines Code Review Tools. In jedem Fall sollten Sie sicherstellen, dass es nicht der kriminelle Hacker ist, der als erstes ihren Programmcode knackt. Viele der größten Unternehmen der Welt setzen inzwischen auf White-Hat-Hacking und Bug-Bounty-Programme, bei denen hunderttausende Dollar zu holen sind.
Hängen Sie in Hacker-Foren ab!
Früher haben Hacker über öffentliche Websites miteinander kommuniziert. Nach einigen Verhaftungen hat die Szene aber festgestellt, dass es besser ist, im Verborgenen zu operieren. Deswegen hat sich das Geschehen nun vor allem auf private Foren verlagert. Dorthin gelangt man nur auf Einladung - ein Sicherheitsmechanismus, der dafür sorgen soll, dass ausschließlich kriminelle Hacker Zugang erhalten.
Unglücklicherweise (für die Cyberkriminellen) finden die Strafverfolgungsbehörden auch hier Mittel und Wege, um mitzulesen. Zugang erhalten die Behörden beispielsweise, indem sie festgenommene Mitglieder der cyberkriminellen Bande zu V-Männern umfunktioniert oder ihre Accounts schlicht übernimmt. Auch der Einsatz von Geld kann unter Umständen Zugang zu solchen Geheimforen eröffnen. Wenn man den einmal hat, ist es ein Leichtes, Details über die Pläne der Kriminellen zu erfahren. Und brühwarm weiterzutragen. Hier gilt das Gleiche wie im letzten Absatz zu "Durchforsten Sie Hacker-News".
Crimeware-as-a-service: Darknet-Hits
Botnetze Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.
Browser Exploit Packs In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.
Phishing-Toolkits Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.
Ransomware Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
Tracken Sie Ihren Hacker!
Die Identität eines bösartigen Hacking-Fetischisten offenzulegen, ist ebenfalls ein guter Weg zu mehr IT-Sicherheit. Im Aufspüren von Hackern gibt es wohl kaum einen Besseren als den Security-Experten Brian Krebs. Er nutzt dazu DNS Lookups, Domain-Register und eine über Jahre zusammengetragene Liste mit den Fake-Identitäten der Hacker. Irgendwann (am wahrscheinlichsten vor der Black-Hat-Karriere) hat nämlich auch ein Hacker - zumindest kurz - seinen Schleier gelüftet. Etwa indem er E-Mails gecheckt oder Social-Media-Accounts genutzt hat. In einem Fall konnte Brian Krebs ein Familienfoto des Hackers auf Facebook ausfindig machen - es war ein früher Besuch in Disney World.
Die Nachforschungen, die Brian Krebs betreibt, enden oftmals mit einer Festnahme und gehören zu den besten True-Crime-Geschichten überhaupt. Sie tun also gut daran, jetzt KrebsOnSecurity zu besuchen und zu lesen. Lernen Sie vom Meister und gehen Sie auf die Jagd!
Locken Sie den Hacker hinter Gitter!
Es ist niemals empfehlenswert, einen kriminellen Hacker persönlich zu konfrontieren. Wenn Sie aber die Strafverfolgungsbehörden mit an Bord holen, kann diese Strategie zum Erfolg führen. Denn allzu oft kennen Security-Spezialisten die Identität eines Cyberkriminellen, können ihm aber nichts anhaben. Das liegt meist daran, dass diese in Ländern sitzen, wo die Spezialisten keine Handhabe besitzen. Deshalb gehen IT-Sicherheits-Unternehmen inzwischen dazu über, zu warten, bis ihre "Ziele" sich in einem "günstigen" Land aufhalten (etwa im Rahmen einer Urlaubsreise) und sorgen dann dafür, dass der Kriminelle behördlich aus dem Verkehr gezogen wird.
Die meistgesuchten Cyberkriminellen
Cyber's Most Wanted Sie arbeiten für die chinesische Regierung, spionieren die Privatsphäre von Millionen Menschen skrupellos aus oder bereichern sich auf Kosten argloser Internetsurfer. Für Cyberkriminelle führt das FBI eine eigene "Most Wanted"-Liste. Wir zeigen Ihnen die meistgesuchten Hacker, Cracker und Web-Bauernfänger.
Firas Dardar Firas Dardar ist vermutlich in Aktivitäten der "Syrian Electronic Army" (SEA) verstrickt, die im Auftrag der syrischen Regierung zwischen September 2011 und Januar 2014 verschiedene Ziele mit Hacking-Attacken unter Beschuss genommen hat - darunter IT-Systeme der US-Regierung, von Medienkonzernen und anderen Unternehmen. Dardar agierte dabei wohl unter dem Nicknamen "The Shadow". Darüber hinaus werden ihm mehrere Cybererpressungen von amerikanischen und internationalen Unternehmen zur Last gelegt. Das FBI geht davon aus, dass Dardar derzeit im syrischen Homs lebt und auch unter den Hackernamen "Ethical Dragon" und "Ethical Spectrum" aktiv ist. Für Informationen, die zur Festnahme von Firas Dardar führen, bietet das FBI eine Belohnung von bis zu 100.000 Dollar.
Ahmed Al Agha Al Agha ist auch als "Th3 Pr0" bekannt und soll ebenfalls zur "Syrian Electronic Army" gehören. Er wird beschuldigt, für die SEA zwischen 2011 und 2014 Hackerangriffe gegen US-Regierungseinrichtungen, Medienkonzerne und Privatunternehmen getätigt zu haben. Auch er soll sich in seinem Heimatland Syrien aufhalten. Er ist vermutlich Anfang 20 und trägt eine Brille. Für die Festsetzung von Al Agha bietet das FBI bis zu 100.000 Dollar.
Evgeny Mikhalilovich Bogachev Evgeny Mikhalilovich Bogachev, auch bekannt als "lucky12345" und "slavik", wird vorgeworfen, Mitglied einer kriminellen Vereinigung gewesen zu sein, die den Banking-Trojaner "Zeus" entwickelt und unters Volk gebracht hat, um Identitätsdiebstahl zu betreiben. Mittels einer Malware wurden die Rechner der Opfer unterwandert und Kontodaten, PINs und Passwörter ausspioniert. Erstmals aufgetaucht ist Zeus im Jahr 2009 - Bogachev nutzte damals seine berufliche Stellung als Administrator aus, um zusammen mit einigen Komplizen den Trojaner zu verbreiten.<br /><br />2011 kusierte dann eine modifizierte Zeus-Version namens "GameOver Zeus" (GOZ), die für mehr als eine Million infizierte Systeme weltweit und einen daraus resultierenden Schaden von 100 Millionen Dollar verantwortlich gewesen sein soll. Das FBI vermutet Bogachev auf seinem Boot auf dem Schwarzen Meer. Zudem besitzt er ein Anwesen im russischen Krasnodar, wo er sich ebenfalls aufhalten könnte. Da der durch Zeus verursachte Schaden so hoch ist, liegt die Belohnung des FBI für Hinweise auf Bogachev bei bis zu drei Millionen Dollar.
Nicolae Popescu Popescu ist unter seinen Aliassen "Nae" und "Stoichitoiu" bekannt und wird wegen seiner Beteiligung an einer "ausgefeilten Internetbetrugsmasche" gesucht, so das FBI. Popescu soll auf Auktionsplattformen Artikel zum Verkauf angeboten haben, die es gar nicht gab und dafür Rechnungen real existierender Online-Bezahldienste gefälscht haben. Popescu hatte Komplizen in den USA, die mithilfe gefälschter Pässe Bankkonten unter falschen Namen eröffneten, damit ihnen Geld überwiesen werden konnte.<br /><br />Sobald die Opfer die Überweisungen vollzogen hatten, wurde das Geld an weitere Mittelsmänner weitergeleitet - zusammen mit Instruktionen per Mail. Popescu befindet sich bereits seit 2012 im Visier des FBI - damals wurde wegen Internetbetrugs, Geldwäsche, Passfälscherei und Falschgeldhandels ein Haftbefehl gegen ihn erlassen. Popescu spricht Rumänisch und hält sich möglicherweise in Europa auf. Die Belohnung für einen Hinweis, die zu seiner Festnahme führt, liegt bei bis zu einer Million Dollar.
Alexsey Belan 2012 und 2013 wurden große E-Commerce-Anbieter in den US-Bundesstaaten Nevada und Kalifornien digital angegriffen, um Kundendatenbanken zu kopieren und die abgezogenen Informationen zu verkaufen. Mutmaßlicher Drahtzieher: der Lette Alexsey Belan, der russisch spricht und sich vermutlich in Russland, Griechenland, Lettland, Thailand oder auf den Malediven aufhält. Seine bekannten Aliasse: Magg, M4G, My.Yawik und Abyrvaig. Das FBI glaubt, dass er mittlerweile eine Brille tragen und sich seine braunen Haare rot oder blond gefärbt haben könnte. Sein letzter bekannter Aufenthaltsort war Athen. Belohnung: 100.000 Dollar.
Jabberzeus Subjects Die Mitglieder der Hackergruppe "Jabberzeus Subjects" werden wegen der Beteiligung an der Entwicklung und Verbreitung des bereits beschriebenen Banking-Trojaners Zeus gesucht. Zur Gruppe gehören Ivan Viktorvich Klepikov alias "petr0vich" und "nowhere", Alexey Dmitrievich Bron alias "thehead" und Vyacheslav Igorevich Penchukov alias "tank" und "father." Das FBI vermutet die drei derzeit in Russland und der Ukraine. Eine Belohnung für Hinweise auf die drei gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Carlos Enrique Perez-Melara Carlos Enrique Perez-Melara soll an der Entwicklung einer Spyware beteiligt gewesen sein, die die Privatsphäre ahnungsloser Nutzer in umfangreichem Maße ausspioniert hat. Entwickelt wurde das Ganze ursprünglich als Software mit dem Namen "Catch a cheating lover". Sie funktionierte recht simpel: Der mutmaßliche Fremdgeher bekam vom Käufer der Software eine E-Card zugeschickt - sobald er oder sie sich diese anschaute, installierte sich eine Software auf dem Rechner, die Tastatureingaben, E-Mail-Verkehr und besuchte Websites mitschnitt.<br /><br />Danach verschickte der Dienst eine E-Mail an den Absender der E-Card mit allen aufgezeichneten Daten - so sollte sich dieser ein Bild machen können, ob sich der Verdacht einer Liebesaffäre untermauern ließ.<br /><br />Die Malware wurde als "Email PI", später dann als "Lover Spy" bekannt. Perez-Melara hielt sich mit Touristen- und Studentenvisum lange in den USA auf, hatte Kontakte ins kalifornische San Diego. Zuletzt gesehen wurde er aber in der salvadorianischen Hauptstadt San Salvador. Belohnung: 50.000 Dollar.
Sun Kailiang Sun Kailiang ist Offizier beim chinesischen Militär und laut FBI in 31 Fällen angeklagt. Es geht um Computerbetrug, unerlaubten Computerzugriff aus finanziellen Motiven, Identitätsdiebstahl, Wirtschaftsspionage und den Diebstahl von Handelsgeheimnissen. Zusammen mit anderen hochrangigen Mitgliedern der Armee setzte Kailiang sein Fachwissen dazu ein, um in die Netze diverser amerikanischer Unternehmen einzudringen, die Geschäftsbeziehungen mit chinesischen Staatsunternehmen pflegten. Darüber hinaus wird Kailiang beschuldigt, persönliche Informationen und Geschäftsgeheimnisse von Atomkraftwerken gestohlen, die Computer von Einzelpersonen infiltriert und mit Schadcode infizierte E-Mails verschickt zu haben. Eine Belohnung für Hinweise auf Kailiang gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Huang Zhenyu Auch Zhenyu gehört zu den beschuldigten chinesischen Soldaten, die sich an Computerspionage und -sabotage von US-Systemen im großen Stil beteiligt haben sollen. Eine Belohnung für Hinweise auf Zhenyu gibt es ebenfalls nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Wen Xinyu Wen Xinyu ist ein dritter gesuchter Chinese, der sich an den Aktionen gegen US-Unternehmen, die Geschäfte mit der Volksrepublik gemacht haben, beteiligt haben soll. Als "WenXYHappy", "Win_XY" und "Lao Wen" soll er eine entscheidende Rolle in der technischen Abwicklung der Hackerangriffe gespielt haben. Auch hier hat das FBI keine Belohnung ausgelobt, bittet aber um Hinweise.
Eine der besten Methoden, um einen kriminellen Hacker zu seiner eigenen Festnahme zu locken, ist, ihn zu einem vermeintlichen Job-Interview einzuladen. Das findet natürlich in einem Land statt, in dem man dem Cyberschurken habhaft werden kann. Das funktioniert auch bei solchen Personen gut, die nach Jahren der kriminellen Machenschaften nun legales Einkommen erzielen wollen. Unter Umständen kommt man so auch an Passwörter oder andere Login-Daten des Digital-Unholds.
In so einem Fall ist ein schlechtes Gewissen übrigens fehl am Platz. Wer weiß schon wirklich, wie es um die Absichten eines kriminellen Hackers steht? Und selbst wenn er wirklich die dunkle Seite verlassen möchte: Nachdem er seine Strafe abgesessen hat, stehen ihm vermutlich immer noch alle Job-Chancen auf der White-Hat-Seite offen. Und Strafe muss schließlich sein. (fm/sh)