Inhaltsübersicht

• Eisberge versenken unsinkbare Schiffe (Heinz Wachmann)
• Wer sind die Gegner - Hacker, Cracker, Profis (Philipp Schaumann, Christian Reiser)
• Angriffe von Innen
• Weitere Informationen

 

Eisberge versenken unsinkbare Schiffe

Autor: Heinz Wachmann

Am 14. April 1912 rammte ein 56 Meter hohes, großes, englisches Personenschiff einen ungefähr 15-20 Meter hohen Eisberg. Die Titanic - wie dieses Schiff hieß - galt als unsinkbar.

Einige Fakten aus der Geschichte zeigen, welche Auswirkungen Technikgläubigkeit, fehlende Notfallsplanung, verbunden mit unzureichender Kommunikation, haben können:

• Alle Eisbergwarnungen, die benachbarte Schiffe während des Unglückstages per Funk absetzten, wurden vom Kapitän und seiner Crew ignoriert
• Um die mehr als 2.200 Personen an Bord retten zu können, wären doppelt so viele Rettungsboote notwendig gewesen. Vorhanden waren nur 1 178 Rettungsplätze
• Die Zeitspanne zwischen dem Erkennen des Eisberges und dem Zusammenstoß betrug nur 37 Sekunden. Eine Reaktion auf die Gefahr war dadurch ausgeschlossen
• An Bord der Titanic gab es nur weiße Leuchtraketen. Ein vorbeifahrendes Schiff ignorierte die acht abgefeuerten Raketen. Die Notsignalfarbe ist rot
• Selbst nach dem Zusammenstoß wurde den Passagieren der Ernst der Lage nicht mitgeteilt. Notfallpläne gab es keine (die waren ja nicht notwendig bei einem unsinkbaren Schiff)
• Viele Passagiere hielten die - angeblich unsinkbare - Titanic für sicherer als die Rettungsboote und weigerten sich, in diese zu steigen. Eine Reihe an Rettungsbooten war deswegen nur zu einem Viertel oder zur Hälfte besetzt

Das Eisbergprinzip

Spätestens seit der Katastrophe der Titanic wird das „Eisbergprinzip“ als Metapher für unsichtbare Gefahren verwendet. Je nach Zusammensetzung und Alter ragen nur 10 bis 20% eines Eisberges aus dem Wasser. Die gefährlichen 80 bis 90 % bleiben unsichtbar im Wasser verborgen.

Kaum ein Bild eignet sich demnach besser für die Problemdarstellung der Informationssicherheit. Das Eisbergprinzip führt das vor Augen, was Experten mit Zahlen und Statistiken ausdrücken.

Viren & Hacker sind nur die Spitze des Eisberges

Viele sprechen bei Informationssicherheit von Viren, Hackern und Datenverlusten. Diese Bedrohungen sind zwar für die größten öffentlich bekannten Schäden verantwortlich, bleiben aber nur Teil der Gesamtbedrohungen.

Information und Wissen sind zum wichtigsten Produktionsfaktor der Wirtschaft geworden. Industriespionage und Wirtschaftskriminalität gefährden Unternehmen in globalen Wirtschaftsleben, stärker als Feuer, Erdbeben und Hochwasser zusammen.

Firewalls und Back-up-Systeme schützen vor Hackern und Systemabstürzen. Sie verhindern jedoch nicht, dass Mitbewerber Spezialisten abwerben oder unzufriedene Angestellte wichtige Firmendaten kopieren und anderweitig verwenden. Der „persönliche Weg“ um an Informationen zu kommen, ist oftmals sehr einfach. Selbst Datendiebe kommen nicht immer über das Internet, Social Engineering, also das Ausnutzen menschlicher Schwachstellen, spielt hier eine wichtige Rolle.

Solche Bedrohungen lassen sich technisch nicht beseitigen, sie ersetzen auch keine „Security Policy“, welche neben den technischen Aspekten auch die menschliche Seite berücksichtigt und geeignete Schutzmaßnahmen vorsieht.

„Informationssicherheit ist ein Prozess und kein Produkt“ - ein weiser Satz, der oft vergessen wird.

Vertrauen kann durch nichts ersetzt werden

Eine Grundvoraussetzung im e-Business ist es, dass man seinen Kunden und Geschäftspartnern vertrauen kann. Trust-Center - wie Zertifizierungsdienstanbieter genannt werden - sorgen dafür. Digitale Signaturen ersetzen in der elektronischen Kommunikation die händische Unterschrift, und Verschlüsselungen schützen vertrauliche Dokumente vor unliebsamen „Mitlesern“. Mit den Signaturkarten ist eine komplexe Technologie nutzbar gemacht worden, die ein Ziel hat: Vertrauen zu schaffen.

Informationssicherheit ist Überlebensvorsorge für Ihr Unternehmen

Ähnlich wie bei der radioaktiven Strahlung sind auch die Gefahren im Bereich der Informationssicherheit für den Laien und ohne Messgeräte weitgehend unsichtbar. Manager können die möglichen Auswirkungen und das Bedrohungspotential der drahtlosen Kommunikation und des Internets nur schwer einschätzen, bzw. fachlich beurteilen. Sie sind daher auf Ihre IT-Mitarbeiter und Lieferanten angewiesen. Hinzu kommt der starke Zeit- und Kostendruck. Für Sicherheit bleibt da zumeist nichts übrig.

Airbag, ABS und die Gurtenpflicht: Wann kommen die Firewall-Pflicht und das Anti-Virus-Planquadrat?

Technische Entwicklungen wie Anti-Blockier-Systeme und Airbags haben unsere Autos viel sicherer gemacht. Gemeinsam mit der gesetzlichen Gurtenpflicht, der Aufklärungsarbeit und den Crashtests der Automobilclubs haben sie für ein hohes Sicherheitsverständnis gesorgt und alle Autohersteller dazu angehalten, Sicherheitsvorkehrungen in die Grundausstattung der Fahrzeuge zu integrieren bzw. schon bei der Fahrzeugentwicklung „die Sicherheit einzuplanen“.

Warum hat sich die Computerbranche so lange damit Zeit gelassen, und was darf Sicherheit bei Informationen kosten? Brauchen wir gesetzliche Vorschriften wie jene für Feuerlöscher und Erste Hilfe Kästen in den Büros, bis jeder Arbeitsplatz „informationssicher“ ausgestattet ist?

Der Vorteil überwiegt!

Wir wollen Ihnen nicht den digitalen Weg verbauen oder Sie davon abhalten, die Chancen im Bereich der elektronischen Märkte zu nutzen. Kalkuliertes Risiko ist Teil jeder Unternehmerschaft. Nur wer die Risiken kennt, kann mit Ihnen umgehen und entsprechend handeln. Wir wollen ihnen Sicherheitstipps geben und Sie ermutigen, sich den Herausforderungen der vernetzten Welt zu stellen.

Autor: Heinz Wachmann

Die nachstehenden IT-Security-Tipps sind eine allgemeine und übersichtsmäßige Zusammenstellung. Die Umsetzungsmöglichkeiten dieser Empfehlungen hängen von den technischen Rahmenbedingungen in Ihrem Unternehmen, den Netzwerkverbindungen nach außen und dem Fachwissen der IT-Betreuer ab. Um unsachgemäße Umsetzungen dieser Empfehlungen zu vermeiden, empfehle ich Ihnen diese zuerst mit erfahrenen Experten abzustimmen. Bitte beachten Sie, dass Einzelmaßnahmen ohne Sicherheitskonzept oft zu keinem höheren Sicherheitsniveau führen. Erstellen Sie zuerst eine Schwachstellenanalyse und arbeiten Sie dann die entsprechenden Maßnahmen aus. Vergessen Sie nicht alle Netzwerkänderungen zu dokumentieren.

Angriffe von außen:

• Sichern Sie Ihr Unternehmensnetz nach außen mit einer Firewall ab. Die Entscheidung, ob diese Firewall durch firmeninterne Mitarbeiter oder von einem externen IT-Unternehmen konfiguriert und gewartet wird, hängt von der Netzwerkgröße und -komplexität, dem internen Experten-Know-how und vom Budget ab. Lassen Sie die Konfiguration aber auf jeden Fall durch einen unabhängigen Experten (4-Augen Prinzip) überprüfen.

• Angriffsarten ändern sich täglich. Überprüfen Sie die Schutzwirkung Ihrer Firewall(s) regelmäßig (ab besten wöchentlich, mit so genannten „Schwachstellenscans“. Diese können im Abo-System gegen eine Jahresgebühr bezogen werden und bieten gute Auswertungen und Optimierungsvorschläge (z.B. www.qualys.com) oder können (bei entsprechendem Fachwissen) selbst mittels open-source Lösungen (z.B. Snort durchgeführt oder als Service Leistung bezogen werden.

• VPNs (virtuell private networks) sind gut geeignet um Außendienstmitarbeiter und Heim-PCs in Netzwerke zu integrieren. VPNs schützen allerdings nicht vor Trojanerangriffen die über externe Geräte via VPN abgewickelt werden können. Sorgen Sie dafür, dass auf jedem Gerät welches via VPN in Ihr Firmennetzwerk darf, eine lokale Firewall und eine regelmäßig aktuellisierte Virenschutz-Software installiert ist. Diese Geräte sollten auch regelmäßig auf Schwachstellen überprüft werden und die Sicherheitsupdates des Betriebssystemherstellers sind hier besonders wichtig.

• Falls Ihre IT-Systeme oder die Telefonanlage von externen Betreuern via Modem gewartet werden, trennen Sie diese Modem-Verbindungen nach jedem Service und informieren Sie die Techniker, dass eine Fernwartung nur nach telefonischer Vorankündigung und dem Einschalten des Modems möglich ist. Sie verhindern dadurch, dass Hacker diese Service-„Geheimeingänge“ für Datenspionage oder Angriffe auf Ihre Server nutzen können.

• Sorgen Sie für die Einspielung „zeitnaher“ Sicherheitspatches auf allen Servern. Informationen über Systemschwachstellen oder neue Sicherheitspatches erhalten Sie kostenlos per E-Mail, tragen Sie sich auf den entsprechenden Websites in den Verteiler ein. (z.B. CERT )

Virenschutz

• Eine aktuelle Virenschutzsoftware mit regelmäßigen (automatischen) Updates ist ein Muss für jedes Unternehmen und jedes IT-System.

• Zweistufige Virenschutzkonzepte sehen die Überprüfung aller ein- und ausgehenden E-Mails und Dokumente sowohl auf den Servern als auch auf den Endgeräten vor.

• Sorgen Sie dafür, dass Virenschutzprogramme von den Mitarbeitern NICHT abgeschaltet werden können.

• Falls dies von der bei Ihnen genutzten Firewall oder dem E-Mail-Server unterstützt wird (Proxy-Funktion) konfigurieren Sie diese Geräte so, dass bestimmte Dateianhänge mit definierten Endungen (z.B. *.VBS, *.VBE, *.SCR, *.SHS, *.PIF, *.WSH, *.BAT, *.EXE) die im täglichen Arbeitsablauf nicht benötigt werden, zurückgehalten werden.

• Alle ins Netzwerk eingehenden Dokumente müssen einer automatischen Überprüfung unterzogen werden. Dies gilt auch für Files welche über Diskette, CD-Roms, USB-Memory-Sticks oder andere Datenträger kommen bzw. als Downloads über das Internet bereitgestellt werden.

• Unterbinden Sie aus sicherheitstechnischen Gründen die Verwendung „privater“ E-Mail Programme.

• Helfen Sie Ihren Mitarbeitern dabei, auch deren Heim-Geräte virenfrei zu halten. Manche Virenschutzanbieter bieten Lizenzvereinbarungen bei denen beim Kauf einer bestimmen Anzahl an „Firmen-Lizenzen“ auch Lizenzen für die Nutzung im Privatbereich inkludiert sind. Diese sind für die Privatgeräte der Mitarbeiter vorgesehen. Sprechen Sie Ihren Softwarelieferanten darauf an.

Browser, Browsereinstellungen & -updates

• Internet-Browser sind die Zugangssoftware zum Internet und müssen regelmäßig aktualisiert werden. Sorgen Sie dafür, dass die Sicherheitspatches der Browserhersteller regelmäßig herunter geladen werden. Dies ist für Windows Systeme sehr einfach über die Funktionsleiste möglich (Bsp.: Internet-Explorer Menüpunkt: Extras / Windows-Update / führt zu Windows Update.

• Sorgen Sie dafür, dass die Internet-Browser so restriktiv wie möglich eingestellt sind.

• Sorgen Sie für das regelmäßige Einspielen der Sicherheitsupdates (speziell für das Mailprogramm und den Internet-Browser), bzw. aktivieren Sie die automatische Benachrichtigung über die Verfügbarkeit von Updates

• Verwenden Sie einen eingeschränkter Internet-Zugang, oder richten Sie ein firmeninternes Internet-Café ein (abhängig von der Betriebsvereinbarung)

Datensicherung

• Erstellen Sie täglich Sicherungskopien von firmenkritischen Daten z.B. Rechnungen, Auftragsbestätigungen, Lagerbestandsdaten u.v.a.m. (wenn die Anwendung eine Datenbank verwendet, so muss die Anwendung in aller Regel vor der Sicherung herunterfahren werden)

• Lagern Sie die Backupbänder am besten an einem anderen (einbruchs-, feuer- und hochwassersicheren) Ort oder nutzen Sie die günstige „Backup-Shuttle-Services“ diverser IT-Unternehmen, welche die Auslagerung in (verplombten) Boxen und sicheren, bewachten Archiven anbieten. Ihre Datensicherungsbänder werden je nach Vereinbarung täglich oder wöchentlich in speziellen Containern abgeholt und zyklisch ausgetauscht (d.h. Ihre „alten“ Backupbänder werden wieder gebracht, die „frischen“ wieder mitgenommen)

• Führen Sie 1-2 mal jährlich eine „Disaster Recovery Übung“ durch. Simulieren Sie den Notfall und versuchen Sie einen konsistenten Datenbestand von einem Ihrer Tagesbackups wiederherzustellen. Solche Notfallskonzepte werden ebenfalls von regionalen IT-Unternehmen angeboten.

• Überprüfen Sie, welche Firmendaten auf lokalen Festplatten von Notebooks und PCs gespeichert sind. Gerade Notebooks werden oftmals in Backup-Konzepten übersehen. Nutzen Sie auch die Möglichkeit Dateisysteme automatisch synchronisieren zu lassen. Dabei werden die Dateien auf externen Firmengeräten (PCs, Notebooks, PDAs) automatisch synchronisiert und die hinzugekommenen Daten auf interne Server kopiert und in das Backupkonzept eingebunden. Daten auf Notebooks gehen somit nicht mehr verloren.

Mehr Details zum Thema Datensicherung

Verfügbarkeit

• Überprüfen Sie welche Verfügbarkeit Sie von Ihrer EDV-Anlage benötigen.

• Selbst bei geringer „IT-Abhängigkeit“ ist eine unterbrechungsfreie Stromversorgung (USV-Anlage) ein Muss. Nur damit kann sichergestellt werden, dass bei Blitzschlag oder Stromausfall die Server sicher und ordnungsgemäß heruntergefahren werden können. Datenverluste durch Systemabstürze sind damit vermeidbar.

Vertraulichkeit

• Das Eisbergprinzip gilt auch bei der Datenveruntreuung. 80% der sensiblen Firmendaten werden durch interne Angriffe „entwendet“. Schützen Sie sensible Firmendaten durch einen geeigneten Zugriffsschutz

• Festplatten- oder Datenverschlüsselungen sind einfache und sehr geeignete Mittel um sensible Daten zu schützen. Prüfen Sie, ob die Festplattenverschlüsselung von Notebooks nicht auch für Ihre internen Firmengeräte sinnvoll und notwendig ist. Rund 10% der Firmen-Notebooks werden gestohlen oder gehen verloren. Damit auch sensible Firmen- und Kundendaten.

• Überprüfen Sie den Passwortschutz auf Ihren Geräten, legen Sie ein praxistaugliches Passwortkonzept fest. Schulen Sie Ihre Mitarbeiter darin, dass Passwörter so sorgsam wie „Firmen- oder Tressorschlüssel“ verwahrt werden müssen und nicht weitergegeben werden dürfen. Regeln Sie dies auch in einem Absatz in der Betriebsvereinbarung „Informationssicherheit“.

• Einmalpasswörter oder USB-Token sind eine sichere Lösung bei der Vergabe von digitalen Zutrittsrechten. Sie vermeiden, dass (schwierige) Passwörter notiert werden müssen. Gerade für Außendienstmitarbeiter und sensible Unternehmensbereiche (Finanz, Personaldaten) eine lohnende Investition.

Eine aktualiserte Kurz-Checkliste zu Härtung der Firmen-IT an anderer Stelle der Website.

Wer sind die Gegner? - Cracker /Hacker

"Historischer" Überblick (2009): Philipp Schaumann

Die Gegner, mit denen wir es 2009 im Internet zu tun hatten, reichten von vollständigen Amateuren, die z.B. ein im Taxi liegen gelassenes Smartphone oder Notebook finden und behalten, über Hacker bis zu Profis auf dem Bereich der Industriespionage.

Hacker-Amateure

Bei den Hackern müssen wir zwischen den Amateuren und den Profis unterscheiden. In den Anfangsjahren der Hackeraktivitäten (ca. 1980 bis 1998) war die Hackerszene durch zumeist junge Leute charakterisiert, die technisch interessiert und zum Teil auch sehr kenntnisreich waren. Getrieben von Neugier und dem Wunsch, mit ihren technischen Kenntnissen zu brillieren waren ihre Aktivitäten hauptsächlich von Ego bestimmt. Hauptangriffsziel dieser Hacker waren Ziele mit „großen Namen“, z.B. staatliche Einrichtungen, reputable Unternehmen.

Zu dieser Gruppe der versierten Hacker sind dann ab 1998 die sog. Script Kiddies gestoßen. Dies sind zumeist noch jüngere Leute, die fertige Angriffstools, die von den versierten Technikern erstellt wurden, für übermütige Angriffe, oft aus reiner Langeweile, verwendet haben. Diese Tools sind dann so stark weiterentwickelt worden, dass sie heute bis zu vollautomatischen Viren-Baukästen reichen, die aus dem Internet leicht herunter zu laden sind. Auf Grund der großen Zahl der Script Kiddies (die ja gar nicht aus der lokalen Umgebung stammen müssen) und der Benutzerfreundlichkeit, der Mächtigkeit und der systematischen Vorgehensweise dieser Tools ist jetzt jedes Unternehmen potentiellen Angriffen ausgesetzt.

Die Profis

Die eigentliche Gefahr sind heute jedoch die Profis mit finanziellen Motiven, die wir in zwei Gruppen einteilen können und die die eigentliche Bedrohung darstellen.

Die eine Ausprägung der professionellen Angreifer betrifft die Industriespionage. Heute gehört das Eindringen in Unternehmensnetze, das Abhören von Verbindungen, das Platzieren von Spyware und Keyloggern auf Firmengeräten zu den Standardtechniken, ebenso wie der gezielte Diebstahl von mobilen Geräten wie Notebooks. Für diese Profis stellen die Mitarbeiter auf Reisen ein beliebtes Angriffsziel dar, da deren mobile Geräte unterwegs deutlich schlechter geschützt sind als im Unternehmen.

Die zweite Gruppe von professionellen Angreifern im Internet gibt es seit ca. 2004. Damals hat die organisierten Kriminalität entdeckt, dass ein elektronischer Bankraub viel sicherer für ist, als mit einer Waffe in der Schalterhalle zu stehen. Es hat sich eine eigene Industrie mit einer ganzen Reihe von Geschäftsmodellen entwickelt.

Diese Kriminellen bezahlen die vorher erwähnten technischen Spezialisten, die nun ihre Tools im Auftrag einsetzen, bzw. maßgeschneiderte Angriffstools entwickeln. Dabei hat sich eine sehr starke „Industrialisierung“ im Sinne einer Spezialisierung und Arbeitsteilung ergeben. Die einzelnen Aufgaben sind

• Das systematische Finden von Schwachstellen in Betriebssystemen und Anwendungssoftware

• Erstellung von Angriffstools (auf Grundlage dieser Schwachstellen) für unterschiedliche Zwecke (Eindringen in fremde Rechner, Übernahme und Fernsteuerung von fremden Rechnern, Infizieren von Rechnern mit Spyware, die Informationen „heim sendet“)

• Aufbau, Betrieb und Vermietung von sog. Bot-Netzen von ferngesteuerten Rechnern, die für unterschiedliche illegale Zwecke eingesetzt werden können

• Erpressung von Firmen durch Denial of Service Angriffe oder die Androhung von Vertraulichkeitsverletzungen

• Das Sammeln („Ernten“) von E-Mail-Adressen, Kreditkartennummern, E-Banking Verfügernummern und Passworten u.ä.

• Deren Nutzung für Phishing und Spaming

Dies bedeutet, dass die Angriffe eine neue Qualität erreicht haben. Viren und Würmer, die als Stärkung des Egos für den Virenautor gedacht waren, haben zwar schon erheblichen Schaden angerichtet, aber durch die Verbindung von organisierter Kriminalität und technischen Spezialisten heute sehr leicht ist

• gezielt Notebooks eines Unternehmens stehlen zu lassen, diese dann von technischen Spezialisten zu knacken (die Passworte festzustellen) und die Daten auswerten zu lassen

• gezielt Spyware auf den Rechnern eines Unternehmens zu platzieren, die dann nach bestimmten Dateien sucht und diese an den Auftraggeber überträgt.

Das zusätzliche Kapital aus der organisierten Kriminalität hat, wie viele andere Kapitalspritzen auch, zu einem erheblichen Zuwachs der Bedrohungen geführt. Angreifer können nun den ganzen Tag nach Schwachstellen für ihre Angriffe suchen, statt tagsüber ihre Zeit durch einen legitimen Broterwerb „vergeuden“ zu müssen.

Es finden mehr und mehr sog. „targeted attacks“ statt, das sind maßgeschneiderte Viren, die nur für ein gezieltes Opfer erstellt werden und daher von den Virenscannern nicht erkannt werden. Diese Schadsoftware wird dann gezielt in einem Unternehmen platziert werden (z.B. durch ein Spam-E-Mail an alle Mitarbeiter, das wegen des gezielten Charakters in den Pattern der Anti-Spam Anbieter auch nicht erhalten ist) und die dann gezielt technische Zeichnungen, Finanzdokumente im Excell-Format oder andere Informationen nach Außen versendet.

Cracker /Hacker

Autor: Christian Reiser (2009)

Die Unterkapitel

• Script Kiddies
• Technisch versierte Hacker
• Typische Vorgangsweise von Hackern
• Was kann passieren?
• Warum findet man keine Vorfälle in den Medien?
• Vogel Strauß-Politik

Um sich optimal gegen eine Bedrohung zu schützen, muss man sich zunächst damit beschäftigen, wo diese Bedrohung her kommt. Eine Bank, die ihre Bankfiliale absichern möchte, muss sich daher überlegen, dass sie sowohl von Einbrechern, als auch Betrügern und Bankräubern geschädigt werden kann.

Will man sich gegen die Bedrohungen aus dem Internet absichern, gilt es daher zu analysieren, wer die Bösen dieses Mediums sind. Hier lässt sich eine grobe Einteilung in drei Gruppen treffen:

Script Kiddies

Es ist kein Geheimnis, dass es Hackertools am Internet gibt. Das heißt, man findet auf entsprechenden Web-Seiten Programme, die in der Lage sind, Sicherheitslücken zu finden, unter Umständen aber auch diese Lücken automatisch ausnützen.

Grundsätzlich sind diese Tools sehr hilfreich. Sie bieten legitimen, verantwortungsbewussten Systemadministratoren die Möglichkeit, ihre eigenen Systeme auf Schwachstellen zu überprüfen, und das mit ähnlichen Mitteln, wie sie auch von Hackern eingesetzt werden. Außerdem wissen Security-Experten durch diese Tools auch bis zu einem bestimmten Maß, wie weit die Hacker sind. Natürlich sind derartige Tools auch kommerziell erhältlich.

Die Hacker-Tools können natürlich nicht nur von legitimen, verantwortungsbewussten Systemadministratoren eingesetzt werden, sondern von jedem, der in der Lage ist, ein Stück Software aus dem Internet zu laden, auf seinem Computer zu installieren und zu starten. Das ist bei den Tools in der Regel sehr einfach. Sie sind mit guten Installations-Routinen ausgestattet, und in der Regel auch mit leicht zu bedienenden, graphischen Oberflächen versehen.

Bedeutend weniger einfach ist es, wirklich zu beurteilen, was so ein Hackertool macht. Man kann sich nicht einmal darauf verlassen, dass es wirklich nur das tut, was in der Beschreibung steht. Unter Umständen kann so ein Hackertool auch Trojaner (siehe das umfassende Glossar der Informationssicherheit, PDF, > 550K), oder andere böse Programmteile enthalten. Natürlich sollte man auch vorsichtig sein, wenn man Web-Seiten besucht, die Hacktools anbieten. Man weiß nie, ob diese Seiten nicht selbst Hacktools sind. Daher empfiehlt es sich, für derartige Recherchen grundsätzlich einen neu aufgesetzten Rechner zu verwenden, der bevorzugt als Einzelplatz-Rechner angeschlossen ist (jedenfalls nicht im geschützten Bereich einer Firma oder Organisation), und diesen Rechner nach der Surf-Session wieder neu zu installieren.

Da diese Hackertools allgemein zugänglich sind, kommt es natürlich immer wieder vor, dass auch unwissende Internetbenutzer eines oder mehrere dieser Programme finden, auf ihren Rechner laden und installieren. Sie lassen die Tools typischer Weise dann auf irgendwelche Internet-Systeme los, die ihnen gerade einfallen. Es liegt dann sehr am Aufbau der attackierten Systeme, welche Auswirkungen das hat. Derartige ahnungslose Benutzer von Hacker-Tools werden "Script Kiddies" genannt.

Normalerweise hält sich der Schaden, den derartige Script Kiddies anrichten, eher in Grenzen. Das große Problem des Betroffenen einer derartigen Attacke ist, dass er von seiner Seite aus nicht unbedingt erkennen kann, ob er es mit einem Script Kiddy zu tun hat, oder ob ein technisch versierter Hacker am anderen Ende des Angriffes sitzt.

Technisch versierte Hacker

Ursprünglich war der Begriff "Hacker" ein positiv besetzter Ausdruck. Ein echter Hacker ist eine technisch sehr versierte Person, die sich mit den technischen Systemen sehr gut auskennt, und ethisch hochwertig versucht, seine Systeme möglichst gut am Leben zu erhalten. Dafür sind sie auch gezwungen, die Schwachstellen ihrer Systeme zu kennen und auszumerzen.

In vielen Fällen werden zur Erforschung der Sicherheitslücken nicht nur die eigenen Systeme verwendet, sondern auch fremde Computer. Dabei wird ein Hacker dieses Typus zwar unter Umständen in den Computer eindringen, er wird aber zumindest nichts bewusst beschädigen. Zur Klarstellung werden diese Hacker auch "White Hat Hacker" genannt.

In den letzten Jahren hat der Begriff "Hacker" allerdings eine Wandlung durchgemacht. Mittlerweile wird er für jeden verwendet, der einem Computersystem etwas Böses tut, oder auf einem Computersystem versucht, Sicherheitslücken zu finden. (In diesem Sinne wird er zum Vorteil der allgemeinen Verständlichkeit auch hier eingesetzt). Genau genommen müsste man alle Hacker, die mit sehr hohem technischen Wissen Computersystemen Böses antun "Cracker" oder "Black Hat Hacker" nennen. Was sie alles Böses anstellen können, wird später beschrieben.

[Eine neue Entwicklung in der 2. Hälfte 2004 ist, dass sich die organisierte Kriminalität immer stärker in diesem Bereich engagiert und mit Hilfe dieser zum Teil technisch sehr guten Spezialisten Viren, Würmer, Trojaner und Phishing-E-Mails entwickeln lässt.

Es gibt noch eine dritte Variante der technisch versierten Hacker. Das sind all jene, die im Auftrag einer Firma oder Organisation gegen Entgelt die Computer-Systeme dieser Firma hacken. Ihre Aufgabe ist es, Schwachstellen zu finden und zu beschreiben, damit die Systemadministratoren der Firma diese Schwachstellen ausmerzen können. Derartige Berufshacker findet man typischer Weise bei Firmen, die auch Internet-Security-Dienstleistungen, wie Beratung, Konfiguration und Installation oder auch Wartung von Computer-Security-Systemen anbieten.

Typische Vorgangsweise von Hackern

Historisch gesehen haben die ersten Hacker einfach von ihrem am Internet angeschlossenen Computer aus ihre Opfer attackiert. Das war einerseits für den Hacker unter Umständen relativ gefährlich, weil relativ leicht erkannt werden konnte, von wo die Angriffe kommen, andererseits für Systemadministratoren, die einen Angriff einmal bemerkt haben, relativ einfach zu unterbinden, da sie nur diesem Computer den Zugriff auf ihre Systeme sperren mussten. Um sich zu verbergen wurden in der Folge daher „gehackte“ fremde Computer verwendet, um von ihnen aus weitere Systeme anzugreifen.

Da bei dieser Vorgangsweise aber immer ein ganzer Angriff von einer Quelle kam, waren auch diese Attacken relativ leicht zu erkennen und zu unterbinden. Daher überlegten auch die Hacker, wie sie effektiver arbeiten konnten und schlossen sich auch für Angriffe zu Gruppen zusammen. Hackergruppierungen bestanden schon vorher, wurden aber bis dahin zum Angeben und zum Austausch von Informationen verwendet.

So eine Angriffstruppe von Hackern baute typischer Weise zunächst einen Kanal im Internet Relay Chat (IRC) auf, um sich über diesen Kommunikationsweg auszumachen, welches System gemeinsam angegriffen wird, und wer welchen Teil des Angriffes durchführt. Für den Betroffenen ist die Abwehr eines derartigen Angriffes schon deutlich schwieriger. Schon allein das Erkennen einer derartigen Attacke ist komplizierter, weil man erkennen muss, welche Teile von Angriffen überhaupt zusammen gehören. Wenn der Angriff dann erkannt ist, kann man das eigene System nicht mehr durch die einfache Sperre eines einzelnen Computers schützen, sondern muss den Zugriff für alle Computer unterbinden, die an dieser Attacke beteiligt sind, und das können sehr viele sein.

Die Hacker haben ihre Angriffsmethoden seither jedoch noch weiter verbessert. War es bei der soeben beschriebenen Vorgangsweise noch nötig, dass sich mehrere Menschen zusammengetan haben, so stellten sich die Angreifer mittlerweile auch die Frage, wieso überhaupt mehrere Menschen gemeinsam hacken müssen, wenn man doch Computer zur Verfügung hat.

Der nächste logische Schritt war daher, dass ein einzelner Hacker, oder eine kleine Gruppe in einem ersten Schritt in möglichst viele schlecht gesicherte, aber gut am Internet angebundene Computer (zum Beispiel Kabelnetzbenutzer oder Computer mit ADSL-Anschluss) eindringen, um dort fernsteuerbare automatische Hacktools zu installieren. Im zweiten Schritt werden dann die verteilten Hacktools von einer zentralen Stelle aus veranlasst, ein bestimmtes Ziel automatisch zu attackieren.

Auch Hacker versuchen, ihre Arbeit zu optimieren. Wurden anfangs wie oben beschrieben die ferngesteuerten Tools noch einzeln auf verschiedene fremde Rechner, natürlich ohne Zustimmung des jeweiligen Besitzers verteilt, so werden mittlerweile Viren verwendet, durch die diese Tools automatisch im Internet verteilt werden. Der Hacker muss die infizierten Rechner dann nur noch fernsteuern.

Sollte sich ein Hacker an einem Sicherheitssystem wirklich die Zähne ausbeißen, oder sollte ihm eine rein technische Attacke wie oben beschrieben zu mühsam sein, so wird er darüber hinaus "Social Engineering" einsetzen, um auch noch die menschlichen Schwachstellen zu seinem Vorteil zu nutzen.

Bei all diesen verschiedenen Typen von Attacken liegt immer eine bestimmte Vorgehensweise zu Grunde. Der Hacker versucht, eine Lücke im System zu finden und diese auszunutzen. Er wird zunächst einmal schauen, welche Rechner im Umfeld seines Opfers erreichbar sind, um dann festzustellen, welche Services diese Systeme anbieten.

Mit dieser Information kann er im nächsten Schritt herausfinden, welche Versionen welcher Software in Verwendung sind, und dann in allgemein zugänglichen Datenbanken nachschauen, welche Lücken in diesen Systemen bekannt sind. Diese werden dann ausgenutzt.

Was kann passieren?

Die möglichen Schäden eines Hackerangriffes hängen stark vom Grad des EDV-Einsatzes und der Abhängigkeit des Opfers von den neuen Kommunikationsmöglichkeiten ab. Das Lahmlegen eines Mail-Servers mag zum Beispiel für die eine Firma relativ belanglos sein, für die andere würde dies eine mittlere Katastrophe darstellen.

Um ein Gefühl dafür zu bekommen, wie bedroht die eigene Firma ist, braucht man sich nur die Frage stellen, was passiert, wenn der Internetzugang einmal für vier Stunden ausfällt. Ein Extrembeispiel für die Abhängigkeit von Computersystemen stellen sicher die Banken dar. In diesem Umfeld - so wird kolportiert - ist der vollständige Ausfall der Computersysteme für drei aufeinanderfolgende Werktage fatal. Eine Bank, der das passiert, existiert danach nicht mehr.

In der Regel ist es harmloser, wenn ein Hacker bestimmte Rechner oder Services funktionsuntüchtig macht (Denial of Service, DoS), als wenn er Zugriff auf interne Daten bekommt. Trotzdem stellt die Reihenfolge der folgenden Liste von Hackerangriffsfolgen keine Wertung dar.

• Ressourcen Verbrauch: Ein Hacker, der einen Rechner als Plattform für seine ferngesteuerten Hacktools einsetzt verbraucht Plattenplatz, Rechnerleistung und Bandbreite am Internetanschluss. Nach derzeitiger österreichischer Gesetzeslage könnte aber evt. auch der Besitzer dieses ferngesteuerten Rechner strafrechtlich verfolgt werden, wenn dieser Rechner für Angriffe auf andere genutzt wurde.

• Denial of Service (DoS): Ein ganzer Rechner, einzelne Services oder eine ganze Gruppe von Systemen werden funktionsuntüchtig gemacht. Auch in der Form von verteilten (distributed) Denial of Service-Attacken (dDoS), wobei die Angriffe von vielen Rechnern kommen, wobei eine Verteidigung nur sehr schwierig möglich ist.

• Löschen von Daten: In einem Unternehmen mit einer sauber implementierten Backup-Strategie sollte dies kein zu großer Schaden sein. In der Praxis ist es leider nicht immer so
• Verfälschen von Daten: Hier ist der Schaden kaum abschätzbar, weil die Rekonstruktion bei später Entdeckung der Verfälschung meist praktisch unmöglich ist. Auf Grund dieser verfälschten Daten wurden unter Umständen bereits Entscheidungen getroffen.

• Veröffentlichung von Firmendaten: Wie groß der Schaden ist, wenn geheime Daten bekannt werden (eventuell auch nur einem kleinen Kreis wie zum Beispiel dem Mitbewerb), hängt von der Brisanz dieser Daten und davon ab, wer in den Besitz der Informationen kommt.

Der finanzielle Schaden durch einen der beschriebenen Vorfälle lässt sich unter Umständen noch messen, der rechtliche Schaden, der in diesem Zusammenhang zum Beispiel durch einen dadurch aufgedeckten Verstoß gegen das Datenschutzgesetz oder branchenspezifische Geheimhaltungsverpflichtungen entsteht, ist in Österreich zur Zeit nicht abschätzbar.

Warum findet man keine Vorfälle in den Medien?

Verfolgt man die Medien in Bezug auf Sicherheitsvorfälle im Internet, so bekommt man den Eindruck, dass abgesehen von einer starken Viren-Verseuchung alle paar Monate nichts passiert. Man liest jedenfalls öfter von Banküberfällen als von Hacker-Einbrüchen.

Der hier vermittelte Eindruck ist aber falsch. Es gibt in Österreich mit Sicherheit mehr Computer-Einbrüche als Banküberfälle. Allerdings ist die Dunkelziffer im Computerbereich sehr hoch.

Auch wenn es bereits eine wirklich lobens- und bewundernswerte Leistung ist, einen Einbruch eines guten Hackers überhaupt zu erkennen, fürchten die meisten Firmen und Organisationen, die einen erfolgreichen Eindringversuch hinter sich haben, den Schaden an ihrem Renommee, der durch eine Veröffentlichung entstehen könnte. Diese Dunkelziffer führt einerseits dazu, dass die Risiken deutlich unterschätzt werden, andererseits aber auch dazu, dass Hackvorfälle auch fast nie (rechtlich) verfolgt werden.

Vogel Strauß-Politik

Hier die häufigsten Argumente für mangelnde Sicherheitsvorkehrungen:

• "Mir ist noch nie etwas passiert." Würden sie es denn überhaupt merken, wenn jemand bei Ihnen eingedrungen ist? Erfahrene Betreiber von Firewalls gehen davon aus, dass mindestens drei Script-Kiddies pro Tag einen Angriff versuchen

• "Ich habe eh nichts zu verbergen." Kunden- und Mitarbeiterdaten gibt es überall. Und diese Daten sind zumindest nach dem österreichischen Datenschutzgesetz zu schützen. Darüber hinaus gibt es aber viel geschäftsrelevantere Daten wie zum Beispiel Angebote und deren Kalkulation, interne Preislisten, Budgets,...

• "Ich bin für einen Hacker nicht interessant." Jedes System am Internet ist für einen Hacker interessant und wenn nur als Angriffsplattform gegen andere Rechner

• "Mich findet eh keiner." Hacker suchen mit sogenannten Port Scannern das Internet systematisch und vollständig nach Rechnern ab, die für sie - aus welchem Grund auch immer - interessant sein könnten. Jeder am Internet angeschlossene Computer ist gleich sichtbar

Angriffe von Innen

Die Zahlen schwanken je nach Studie, aber der größte Teil der Angriffe oder Sicherheisverletzungen hat seine Ursache bei den eigenen Mitarbeitern, bzw. bei Lieferanten, Geschäftspartnern, etc. Der Grund ist ganz einfach: Wer bereits berechtigt ist, im Unternehmen zu arbeiten, hat deutlich mehr Möglichkeiten zu all den oben bereits beschriebenen Angriffen.

Die Studie The Anatomy of an Insider - Bad Guys Don't Always Wear Black (2009) gibt einen recht guten Überblick über dieses Thema.

Psychologische Studien zu Spionage haben 3 notwendige Faktoren dafür gezeigt, dass ein Mitarbeiter sich gegen das Unternehmen wendet: Der erste Punkt ist eine Persönlichkeitsstruktur mit anti-sozialen Tendenzen oder Narzismus, der zweite Auslöser ist eine persönliche Krise, z.B. Kariereknick, Tod einer nahe stehenden Person, finanzielle Probleme, z.B. ausgelöst durch schwere Krankheit, Drogen, Spielsucht oder Scheidung, u.ä. Der dritte Faktor ist, dass diese Krise zwar oft auch für die Kollegen ersichtlich ist, dass jedoch niemand auf diese Krise reagiert und Hilfe anbietet.

Und wenn sich dann, z.B. durch laxe Sicherheitsmaßnahmen, fehlende Kontrollen und unzureichende Prüfungsmaßnahmen, eine Gelegenheit zu einer Bereicherung auftut, so ist Geld letztendlich dann in 70% der Fälle der letzte Faktor für den Angriff. Und zwar sind es gar nicht immer die großen Beträge, um die es geht. So ist nur in 4% der Fälle die Beute über 1 Million, mehr als 50% der Fälle sind unter 100 000$.

Interessante Papiere zum Thema Wirtschaftskriminaliltät finden sich auch auf der Website von PwC.

Weiterführende Informationen

Ergänzung Philipp Schaumann, Frühjahr 2005:

New Scientist 05 April 2005: ...computer crime is becoming ever more sophisticated. "Over the past year, we have seen a sustained increase in the professionalism of cybercriminals," ...
... a striking change in the motivation behind computer crime over the last 12 months. "The most obvious thing is the increase in computer hacking linked to organised crime,„ ...

D.h. in den letzten 12 Monaten hat sich die Lage erheblich verschärft: Die Angreifer haben auf Grund der Zusammenarbeit mit der organisierten Kriminalität jetzt quasi unbegrenzte Ressourcen und werden gut entlohnt. Die Angriffe werden spezifischer. Statt früher eine möglichst breite Verseuchung mit einem Wurm zu erreichen ("Ego-Trip") wird heute oft eine ganz spezifische Firma angegriffen. Eine breite Verseuchung führt dazu, dass die Anti-Virenfirmen von dem neuen Virus oder Wurm Wind bekommen, ein spezifischer und geheimer Angriff erreicht, dass gegen diesen Angriff kein Schutz besteht. Es geht heute oft darum, ganz geziehlt einzelne Firmen anzugreifen, z.B. um an deren Passworte zu kommen und um z.B. über 1 infizierten Laptop mit VPN-Verbindung in das Firmennetz eindringen zu können und dort Geld zu stehlen.

Zum Gesamtinhaltsverzeichnis

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.