15 Tricks gegen Cyberkriminelle

So halten Sie Hacker ab

Kommentar  05.05.2017
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation InfoWorld.
Um hartnäckige Cyberschurken außen vor zu halten, müssen Sie beizeiten kreativ werden. Wir sagen Ihnen, was zu tun ist, um nicht gehackt zu werden.

Kriminellen Hackern eilt ihr Ruf voraus: Sie gelten ganz allgemein als Über-Genies, die jedes Passwort in Sekunden erraten haben, jedes System hacken können und mit einem Tastendruck Chaos auf tausende von Netzwerken regnen lassen, die noch nicht einmal miteinander verbunden sind. So sieht man es zumindest in der Traumfabrik Hollywood. Jeder, der in seinem Job täglich den Kampf gegen cyberkriminelle Elemente aufnimmt, weiß, dass die "guten Jungs" oft auch ein bisschen smarter sind - beziehungsweise sein müssen. (Kriminelle) Hacker brauchen hingegen des Öfteren lediglich einen langen Atem.

Bringen Sie die kriminellen Hacker zur Verzweiflung. Wir sagen Ihnen wie.
Bringen Sie die kriminellen Hacker zur Verzweiflung. Wir sagen Ihnen wie.
Foto: AFPics - shutterstock.com

Jedes Jahr machen einige, wenige Hacker etwas wirklich Neues. Der Rest beschränkt sich auf die bewährten Methoden und Ziele. Um ein fehlendes Patch zu entdecken oder eine Social-Engineering-Attacke zu forcieren, braucht man jedenfalls kein Diplom. Im Grunde ist es mit dem Hacking wie in jeder Berufsausbildung: Wenn man einmal ein paar Tricks und Tools kennt, kommt der Rest nach und nach, es folgt die Routine. Richtig inspirierend kann es hingegen werden, wenn man den Security-Spezialisten auf die Finger schaut - den Hackern der Hacker.

Wir haben 15 der cleversten Tricks gegen kriminelle Hacker für Sie zusammengefasst. Darunter auch einige echt fiese Fallen, für deren Umgehung sich Cyberschurken einiges einfallen lassen müssen. Wenn Sie demnächst wieder einmal von einem großen Hack lesen, können Sie sich fast sicher sein, dass der oder die Betroffene(n) diese Tricks nicht im Repertoire hatte(n). Machen Sie es besser!

Nutzen Sie Daten für die Defensive!

Defensivmaßnahmen auf der Basis von Daten gibt es schon seit längerer Zeit. Insbesondere solche Konzepte, die Daten nutzen, um Bedrohungen besser aufspüren, klassifizieren und beseitigen zu können, kommen in den letzten Jahren verstärkt zur Anwendung - fast alle Unternehmen im Security-Umfeld sind inzwischen auf diesen Zug aufgesprungen. Der Aufstieg der Cloud hat hierzu ebenfalls beigetragen, schließlich ermöglicht die Wolke erst die relativ einfache Sammlung und Auswertung von großen Datenmengen. Der wesentliche Fortschritt liegt darin, dass die Entstehung von Daten nun in den Vordergrund rückt.

Unternehmen wie Crowdstrike, FireEye, CounterTack oder ThreatMetrix bieten Produkte an, die die Datenströme innerhalb Ihres Netzwerks analysieren. Dabei werden nicht nur alle ausgehenden Verbindungen auf Connections zu bekannten, bösartigen Netzwerken untersucht, sondern auch nach APT-Familien geforscht, die sich eventuell bereits in der Netzwerkumgebung befinden. Andere Security-Produkte wie Microsofts Advanced Threat Analytics können dabei helfen herauszufinden, ob ein krimineller Hacker versucht, Ihre Login-Datenbank zu knacken und falls ja, wie lange er sich bereits im Netzwerk aufhält.

Zahlreiche andere Firmen sorgen mit ihren Produkten für schnelles Aufspüren von Spam, Phishing-Versuchen und Malware - einfach per Abgleich mit einer weltweiten Datenbank. Diese Unternehmen können regionale und globale Verhaltensmuster erkennen - ein Unternehmen alleine könnte das nicht bewerkstelligen. Wenn Ihre Daten also noch nicht in Ihre IT-Sicherheits-Lösungen mit einfließen, sollten Sie das ändern.

Täuschen Sie mit Daten an!

Legen Sie ein paar gefälschte Datensätze in Ihrem Netzwerk an und lassen Sie die kriminellen Hacker zuschnappen. Schließlich ist es ziemlich schwer, alle Datenlecks zu stopfen und mindestens genauso schwer alle Daten so zu untersuchen, dass dabei nicht eine Armada von ‚false positives‘ ausgegeben wird. Stattdessen sollten Sie Ihr internes Netzwerk mit DLP (Data Leak Prevention) Software einem Monitoring unterziehen und nebenbei auf externen Seiten nach ihren Fake-Daten Ausschau halten - schon haben Sie "Ihren" Hacker identifiziert.

Ein Krankenhaus war beim Anlegen der Fake-Daten besonders kreativ und legte fiktive Patientenakten an, für die die Namen der Bandmitglieder von Kiss benutzt wurden - mit kleinen Änderungen. So wussten nur die IT-Abteilung und das Management, dass Ace J. Freelee, Gene H. Symmons, Petre L. Chriss und Paulie S. Stanlee keine echten Patienten waren.

Legen Sie Honeypots aus!

Der Einsatz von Honeypots verstärkt diesen Ansatz weiter. Bei den "Honigtöpfen" handelt es sich um hundertprozentige Fake-Güter, die in der Produktion platziert werden. Der Honeypot kann dabei nahezu jede Form annehmen, egal ob Server, Client oder Netzwerk-Device. Einmal aufgesetzt, sollte jeder User, der mit dem Honeypot in Berührung kommt, auf Bösartigkeit untersucht werden. Dabei steht der Einsatz von Honeypots im krassen Gegensatz zu den traditionellen Maßnahmen der IT-Sicherheit: Er ist von hohem Wert und absolut unauffällig.

Unternehmen wie Cymmetria oder KFSensor bieten kommerzielle Honeypots an - daneben existieren auch noch zahllose Open-Source-Alternativen. Sie können dafür auch einfach alte Daten nutzen, die ansonsten aussortiert würden. Das hat den Vorteil, dass diese Daten für Hacker am authentischsten aussehen.

Durchforsten Sie Hacker-News!

Um auf Augenhöhe mit den Cyberkriminellen bleiben zu können, ist es wichtig zu wissen, was diese im Sinn haben. Deshalb sollten Sie auch regelmäßig Seiten besuchen, von denen man weiß, dass dort Cyberkriminelle ihr Unwesen treiben. Das sind Seiten wie Pastebin, aber auch bestimmte Sites im Darknet. Dort bekommen Sie aber nicht nur Infos über neue Exploits, sondern eventuell auch Informationen über die neuesten Hacks. Wenn in den Datenbergen der Hacker auch ihre Fake-Daten auftauchen, wissen Sie auch gleich woran Sie sind. Dieses Vorgehen kann also auch eine gute Detection-Strategie darstellen, die wertvolle Zeit gibt, Löcher zu stopfen, Angreifer zu tracken oder die Management-Ebene auf eine demnächst anstehende, unangenehme Pressemitteilung vorzubereiten. Firmen wie Hold Security überwachen die Hacker-Seiten auch gegen Gebühr für Sie.

Dabei ist dieses Vorgehen nicht ausschließlich reaktiv: Sie können die Daten der Hacker auch aktiv nutzen - selbst wenn Ihr Unternehmen nicht gehackt wurde. Viele Postings der Cyberkriminellen enthalten beispielsweise tausende von Login-Daten - zum Beispiel für Social-Media-Konten oder andere, populäre Consumer-Webseiten. Es kann sich unter Umständen lohnen, diese Daten genauer zu betrachten: Findet sich hier ein Mitarbeiter Ihres Unternehmens, sollten Sie das dazugehörige Passwort einmal im Unternehmensnetzwerk ausprobieren. Stimmen die Daten überein, können Sie dem betroffenen Mitarbeiter ans Herz legen, schnellstmöglich sein Passwort zu ändern. Bei dieser Gelegenheit können Sie ihm oder ihr auch gleich verklickern, dass es mehr als ungünstig ist, das Firmen-Passwort für private Zwecke wieder zu verwenden.

Hinweis: Das reine Besuchen und Mitlesen in solchen Hacker-Foren ist legal. Solange sie keine dort angebotenen Daten kaufen, sind Sie auf der rechtlich sicheren Seite. Aber trotzdem Vorsicht: Drive-by-Malware, Trojaner und andere bösartige Dinge, die Sie sich bereits beim Surfen einfangen können, lauern gerade auf diesen Seiten an jeder Ecke. Zudem laufen Sie Gefahr, dass Sie in das Visier der Ermittlungsbehörden geraten, sollten die besuchten Seiten überwacht und Ihre IP-Adresse mitgeloggt werden.

Inhalt dieses Artikels