Im Kopf des Bösen

So denken und handeln Hacker

Dr. Amir Alsbih ist CEO des Identity- und Access-Management-Anbieters KeyIdentity. Der Doktor der Ingenieurswissenschaften im Fach Informatik hat über 15 Jahre Berufserfahrung in der IT-Security Branche und war unter anderem IT-Sicherheitschef bei der Haufe Gruppe. Zudem dozierte er an der Albert-Ludwigs-Universität Freiburg in den Bereichen der angewandten Informationssicherheit sowie der IT-Forensik.

Mit Daten zu handeln, ist inzwischen lukrativer als mit Drogen. Hacker knacken digitale Schlösser im Handumdrehen. Doch es gibt Wege, die vor Hackerangriffen schützen.

Die rebellischen Zeiten, in denen die großen Leitmotive "Schaden durch Datenlöschung" oder "Chaos auf Webseiten" das Handeln der Hacker bestimmten, sind vorbei. Heute geht es darum, möglichst lange unentdeckt auf fremden Systemen zu verweilen oder ganz gezielt große Kasse zu machen. Ein Botnetz-Betreiber, der automatisiert Daten von Rechnern erbeutet und diese lediglich weiterhandelt, verdient innerhalb von sieben Monaten mehr als 250.000 Euro für ungefähr 35.000 Zugangsdaten. Ein hoher Lohn, für den Hacker nicht einmal das Haus verlassen müssen.

Hacker sind heute weniger von Zerstörungswut und vielmehr von ökonomischem Denken bestimmt.
Hacker sind heute weniger von Zerstörungswut und vielmehr von ökonomischem Denken bestimmt.
Foto: PHOTOCREO Michal Bednarek - shutterstock.com

Cybercrime stellt mittlerweile ein größeres Geschäft als der Drogenhandel dar. Während schon 2009 alle dreieinhalb Minuten eine Straftat verübt wurde, fand im Vergleich alle drei Sekunden ein digitaler Identitätsklau statt. Effizienz und nicht die ausgefallenste Technik lautet beim Hackerangriff die Maxime. Insbesondere Profis vermeiden spezielle und ausgefeilte Hacker Tools. Eigens hergestellte Rootkits und Backdoors, die sonst niemand nutzt, hinterlassen individuelle Spuren und vereinfachen deren Nachverfolgung. Daher schwimmen erfahrene Hacker mit der breiten Masse und nutzen bekannte Programme, um unsichtbar zu bleiben.

Hacker Tools und asymmetrische Kriegsführung

In den letzten 20 Jahren ist das Kompromittieren von Unternehmen zunehmend einfacher geworden. Im Netz erläutern diverse Anleitungen das Schreiben von Shellcodes und Exploits. Spezialliteratur, Hacker Tools und Videos auf Youtube erlauben es, selbst bei geringem Fachwissen in fremde Datenbanken einzudringen. Hinzu kommt, dass wir in einer nahezu vollvernetzten, verwobenen und digitalen Welt leben. Sogar Großunternehmen greifen auf Cloud-Dienstleistungen zurück, bieten Web 2.0 Anwendungen an und beschäftigen Dienstleister, die selber über das Internet auf ihre Daten zugreifen und diverse Teile ihrer IT outsourcen.

Das Paradigma des Verteidigers in der Burg wirkt damit schon lange nicht mehr. Dennoch halten viele Firmen an diesem alten und vermeintlich bewährten Konzept fest, ohne sich mit den realen Gegebenheiten und Gefahren der Gegenwart zu befassen. Angreifer und Verteidiger führen einen asymmetrischen Krieg. Während Unternehmen alle möglichen Sicherheitslücken und Schwachstellen identifizieren müssen, reicht dem Hacker nur ein einziges Schlupfloch, um verheerenden Schaden anzurichten. Das ökonomische Denken zeichnet den modernen Hacker aus, daher wählt er in der Regel folgendes Vorgehen:

  1. Mithilfe von automatisierten Hacker Tools wie Metasploit oder Nessus scannt er die IT-Landschaft des Ziels automatisch auf das Vorhandensein bekannter Sicherheitslücken. Findet der Hacker eine digitale Bruchstelle, schleust er sich ganz ohne fachliches Know-how ins System. Dann versucht er, sich auf weiteren Ebenen Zutritt zu verschaffen. Reichen Wissen und Können nicht, wird eine Hintertür installiert und der Zugang zu diesem System verkauft. Andernfalls weichen Hacker auf spätere Versuche aus.

  2. Führen automatisierte Hackerangriffe nicht zum gewünschten Erfolg, profitieren Hacker von der Faulheit des Menschen, einfache Passwörter komplizierten aber sicheren Kennungen den Vorzug zu geben. Schon zehn Rate-Versuche reichen Hackern, um 1 % der angegriffenen Accounts zu knacken. Bei einem Großunternehmen mit 10.000 Mitarbeitern sind das 100 Accounts, die Zugang zu sensiblen und wichtigen Daten haben. Haben Cyberganoven erst einmal die Barriere des Passwortes durchbrochen, kommen sie ohne weiteres an den meisten Sicherheitssystemen vorbei. Diese sehen keinen Handlungsbedarf, da der Account den Status "vertrauenswürdig" hat und das tut, wozu der berechtigt ist. Dem Erfolg der Hackerangriffe liegt die immer gleiche Ursache zugrunde: Eindimensionale, mehrfach benutzte, sich wiederholende Kennwörter und der Unwille, einen weiteren Faktor zu verwenden, öffnen dem Hacker sperrangelweit Tür und Tor. Laut dem Verizon 2017 Data Breach Investigations Report gehen 81 Prozent der Hackerangriffe auf gestohlene oder schwache Authentifizierungen zurück. Trotz der konstant bestehenden Gefahr verwenden User immer wieder dieselben simplen Wort- oder Zahlenkombinationen. "123456" war 2017 laut Hasso-Plattner-Institut absoluter Spitzenreiter unter den deutschen Passwörtern.

  3. Schlagen die ersten beiden Optionen fehl, greifen routinierte Hacker auf einen Mix aus Spear-Phishing, Social-Engineering oder physischen Maßnahmen zurück. Gute Spear-Phishing Mails, die auf perfekt gefälschte Webseiten führen, erkennen Laien auf den ersten Blick nicht. Neben dem Hauptziel, private Daten für räuberische Zwecke zu entwenden, spielt die Fake-Nachricht heimlich Malware auf den Rechner, die weiteren Schaden in Form von Computerviren anrichtet. Social-Engineering bildet eine der perfidesten Betrugsmethoden, da sie Emotionalität und Psyche des Menschen manipuliert. Hacker sammeln private Informationen aus verschiedenen Social-Media-Kanälen, um eine glaubwürdige fiktive Geschichte zu spinnen. Anschließend kontaktieren sie einen Mitarbeiter aus dem Unternehmen und schaffen durch einen Mix aus Fachjargon und Smalltalk über scheinbar gemeinsame Kollegen eine Vertrauensbasis. Führt das nicht zum Ziel, setzen sie Opfer durch Androhungen unter emotionalen Druck und nutzen menschliche "Schwachstellen" - Höflichkeit, Gutgläubigkeit oder die Unfähigkeit, Nein zu sagen. Insider kennen Geschichten, in denen sich Hacker als Techniker verkleidet Zugang zu Unternehmen verschafften oder sich als neue Mitarbeiter vorstellten und unschuldig nach dem Wifi-Passwort fragten. Das allein reicht schon aus, um sich im Netz einzunisten.

Nie wieder Schatten-IT – schön wär’s…?

Bleiben alle drei Maßnahmen erfolglos, warten Hacker, bis eine neue Sicherheitslücke im System auftritt. Standardmäßig betragen die Patchzyklen in Unternehmen 30 bis 90 Tage - für eine sichere Abwehr von Hackerangriffen definitiv zu große Zeitabstände.

Schlupflöcher schließen

Hackerangriffe von morgen werden schon heute vorbereitet. Aus diesem Grund sollten Unternehmen mindestens folgende vier Maßnahmen umsetzen, um sich gegen einen Großteil der Hackerangriffe zu schützen:

  • Ein zentrales Log-Management mit spezifischen, auf die Bedürfnisse, Risiken und Anwendungszwecke angepassten Use-Cases ermöglicht eine adäquate Reaktion auf Kompromittierungsversuche, bevor tatsächliche Schäden eintreten.

  • Das Separieren von Netzwerken hilft bei der Reduktion von Netzwerkausfällen und erschwert das Ausbreiten von Malware oder Angreifern im Unternehmensnetzwerk.

  • Multi-Faktor-Authentifizierungslösungen (MFA) reduzieren Hackerangriffe auf digitale Identitäten nahezu vollständig und stellen einen essentiellen Schutz für Mitarbeiter, Kunden und Lieferanten dar. Hacker müssten zwei unabhängig voneinander existierende Schranken passieren. Damit sollten nicht nur die internen Systeme, sondern auch dem Kunden angebotene Services wie Versicherungsportale oder SaaS-Anwendungen abgesichert werden.

Stehen diese vier Grundpfeiler der IT-Sicherheit fest verankert im Boden, leiten IT-Verantwortliche weitere Schritte zu einer verbesserten Absicherung gegen Hackerangriffe ein.