Alles Hacker-Angriff oder was?

Mich stört ja schon seit einiger Zeit, dass das Thema IT Sicherheit immer nur dann Aufmerksamkeit bekommt, wenn Zeitungen mal wieder mit einer Schlagzeile inklusive dem Wort „Hackerangriff“ um sich werfen können. Abgesehen davon, dass es auch Hacker gibt, die ihre Fähigkeiten durchaus auf positive Art einsetzen und diese nie erwähnt werden, scheint so mancher lieber mit Panikmache Klicks zu sammeln und Geld zu verdienen, als sich mal in der Tiefe mich dem Thema auseinanderzusetzen.

Ich werde dem Thema „Hackerangriff“ daher jetzt einfach mal ein bisschen seinen Zauber nehmen und anhand von 12 einfachen beliebten Beispielen erzählen, was alles so passieren kann und wie man jeweils vorbeugt. Wie in der realen Welt gilt: nicht erst in die Gefahrenzone laufen und dann Panik schieben, sondern ruhig vorher ein paar Gedanken machen und dann zeitnah und besonnen reagieren.

Mehr dazu auch in meinem Interview mit Inside Wirtschaft.

 

1. Ooops

IT Security in Development Operations ist eine relativ neue Diskussion. Dabei geht es darum, dass auch Programmierer über das Thema IT Sicherheit Bescheid wissen, um bei der Entwicklung z.B. einer App darauf zu achten. Und das gleich auf zwei Arten: beim Aufsetzen der eigenen Entwicklungs-Umgebung und natürlich mit Blick auf das Produkt. Entgegen der weitläufigen Annahme, gibt es im Gesamtbereich „Irgendwas mit IT“ recht unterschiedliche Arbeitsfelder und Spezialisierungsgrade und man kann nicht erwarten, dass eine Person immer alles auf dem Schirm hat. Abgesehen davon, muss man das ein oder andere auch erst einmal ausprobiert haben, um Probleme zu finden. 😉

A. Beliebt sind z.B. vergessene Server-Ports, ungesicherte Anmelde-Funktionen, falsch gesetzte Häkchen bei Website-Einstellungen, zu einfach nachvollziehbare Admin-Logins und vergessene Verschlüsselungen. Im Endeffekt führt es dazu, dass Daten nicht durchgängig sicher übertragen werden und Eindringlinge ins System kommen, die man da nicht haben will. Oder aber, dass Daten der Website genutzt werden können, um damit dann Attacken auf Nutzer auszuführen.

B. Glücklich ist, wer einen solchen Fehler noch im Entwicklungs-Stadium bemerkt und beheben kann. Bei täglich neuen (potentiellen) Sicherheitslücken kann es aber ganz schnell passieren, dass man kurzzeitig einmal hinterherhinkt. Nette Kollegen sind da hilfreich, die Hinweise liefern. Und wenn etwa die Website und die Daten dahinter zum Geschäftsmodell gehören, ist auch die Investition in regelmäßige Sicherheits-Tests, Weiterbildungen und evtl. ein eigenes IT Security Team nicht verkehrt.

C. Das kann aber nicht helfen im Fall von „einfach vertan“. So z.B. auch schon Amazon Web Services passiert, als ein Mitarbeiter im Rahmen eines Updates einen wichtigen Server lahmgelegt hat und so die Websites der Kunden gleich mit. Der Mensch spielt halt immer noch eine größere Rolle, als viele es in der digitalen Welt vermuten.

 

2. Kampf der Systeme

Manchmal sieht es so aus, als hätte jemand anderes die Finger im Spiel. Dabei hat gerade nur das Update des einen Systems dafür gesorgt, dass alles andere nicht mehr funktioniert. Leider besonders beliebt ist auch die Installation von mehreren Sicherheits-Lösungen auf einem Gerät. Das geht meistens schief, weil die Anwendungen sich gegenseitig als „Feind“ erkennen und blockieren.

Eine simple Recherche ist in diesem Fall oft die beste Lösung. Ich empfehle gerne die Methoden 1. Kollegen fragen und/ oder 2. Komplettes Problem als Satz (am besten auf Englisch) in Google eintippen. Meistens findet man einen guten Link zu einem Lösungsansatz auf einem Fachportal, oder ein Forum, wo schon einmal jemand seine Ergebnisse dokumentiert hat. Viele Software-Anbieter sind mittlerweile auch in den Sozialen Medien, Business oder Developer Netzwerken aktiv oder helfen über Kundenservice-Chats unkompliziert weiter. Dann mit den Informationen arbeiten und ggf. noch einmal nachhaken, bis es wieder läuft.

 

3. Freeze

Es gibt Situationen, da sind auch Computer einfach überfordert. Das ist vor allem der Fall, wenn die Hardware so kaputt ist, dass die Komponenten nicht mehr ordentlich zusammenspielen. Es kann aber auch passieren, wenn der Nutzer sein Gerät mit zu vielen Anfragen überlastet. Dann bewegt sich eine Zeit lang einfach nichts mehr. (Windows hatte auch mal Probleme, die dazu geführt haben, dass der Nutzer nur noch einen Bluescreen gesehen hat. Aber das ist mir schon eine Weile nicht mehr aufgefallen.)

Grundregeln, damit das nicht passiert:

  • Computer – auch Smartphones – mögen es nicht zu kalt und nicht zu warm und gerne mit ein bisschen Luft hinter den Lüftungsschlitzen
  • Leistung und Grafikkarte sollten zum Anwendungsgebiet passen
  • Nicht zu viele Prozesse gleichzeitig anstoßen
  • Ggf. anderen Internet-Browser nutzen
  • Hin und wieder mal herunterfahren/ ausschalten und neu starten (kein Witz, Technik braucht auch mal eine Pause)
  • NIEMALS auf die Tastatur einhacken, in der Hoffnung, es würde dann wieder funktionieren!

 

4. Update(s) verschlafen

Kleinere und größere Software-Updates werden uns von sämtlichen Anbietern permanent empfohlen. Viele Nutzer klicken sie jedes Mal weg, bis sie sich als dreistellige Zahl in der Update-Leiste sammeln. Privat muss das jeder mit sich selber ausmachen. Blöd wird es, wenn z.B. Firmen-Mailaccounts Marker für Sicherheitslücken aussenden, die darauf schließen lassen, dass die entsprechende Software seit Jahren (! – echter Fall – !) nicht mehr aktualisiert wurde. In dem Fall wäre relativ einfach und mit ein wenig krimineller Energie ein Login ins Postfach möglich gewesen. Hab ich natürlich nicht gemacht, sondern freundlich angerufen und auf das Problem hingewiesen.

Updates dienen nicht selten dazu, Sicherheitslücken zu schließen. Im Unternehmensumfeld kann es schon einmal sinnvoll sein, nicht gleich alles sofort einzuspielen und erst einmal ein paar Tage auf erste Reaktionen zu warten und zu recherchieren. Jemand sollte allerdings genau dafür dann auch zuständig sein.

 

5. Open House Party

Telekommunikations-Anbieter und Router-Lieferanten geben sich mittlerweile wirklich Mühe, den Zugang zum jeweiligen Netzwerk zu erschweren. Da müsste man schon eine Kombination aus Technik-Interesse und Social Engineering, also der kommunikativen und sozialen Beeinflussung von Personen, an den Tag legen, um ins System zu kommen. (Letzteres ist übrigens meist die größere Schwachstelle.)

Bei älteren Geräten, lässt sich allerdings relativ leicht herausfinden, welches Modell von welchem Anbieter im Einsatz ist und wie das entsprechende Router-Passwort lautet. Einmal im Netzwerk, ist man dann auf einmal Administrator und kann sich austoben. Je mehr unterschiedliche Geräte mit dem Netzwerk verknüpft sind, desto interessanter die Party.

Mehr zu Passwörtern unter 7.

 

6. Alles an einem sicheren Ort

Digitalisierung verspricht für viele vor allem Bequemlichkeit. Daten, Mails, Bilder, Videos und Adressen werden auf einem Gerät gespeichert und vielleicht noch mit einem Account verknüpft. Wenn es ein neues Smartphone sein darf, dann das vom gleichen Hersteller, weil die Datenübertragung dann ja so am bequemsten funktioniert.

Wer aber immer nur einen Account für alles nutzt, vergisst sich wenigstens ab und zu näher damit zu beschäftigen. Außerdem hat so jeder, der Zugriff auf diesen einen Account hat, Zugriff auf alles. Neben der Trennung zwischen Geschäftlichem und Privatem, ist also auch eine Trennung verschiedener Daten eine Überlegung wert. Das schafft zusätzliche Barrieren. Besonders dankbar ist dies, wenn z.B. Ex-Partner oder Ex-Mitarbeiter umfangreich Daten mitnehmen möchten, zu denen sie eigentlich keinen Zugriff (mehr) haben sollten.

Außerdem braucht auch dieser eine sichere Ort ein Backup – oder am besten zwei. Am besten welche, die auch technisch ganz unabhängig voneinander funktionieren. Daten können z.B. auf einem Gerät gespeichert sein und in der Cloud sowie zusätzlich auf einer externen Festplatte, die nicht dauerhaft an einen Computer angeschlossen ist und sicher aufbewahrt wird. Nicht selten wird bei einem Datenzugriff die automatische Synchronisation zum Problem.

 

7. 123456

Immer bessere Rechenleistungen, werden Passwörter irgendwann komplett alt aussehen lassen. Es wird einfach zu einfach werden, auch komplexe Passwörter auszulesen. Sämtliche Anbieter experimentieren daher gerade mit den verschiedensten neuen Lösungen.

Aktuell ist aber vor allem ein Problem, dass Nutzer zu einfache Passwörter wählen, überall die gleichen verwenden und sie zu selten wechseln. In der Broschüre „IT Sicherheit (nicht nur) für Politiker“ gibt es auf den letzten Seiten eine kleine Inspiration, wie man sich auch lange Passwörter generieren und merken kann.

Eine Gedächtnisstütze in Form von Zettelchen auf/ unter/ neben der Tastatur oder dem Bildschirm, ist unbedingt zu vermeiden. Dann lieber einmal den jeweiligen Anbieter kontaktieren und das Passwort nach einer Überprüfung wiederherstellen lassen.

 

8. Lauschkommando

Abgesehen davon, dass ich Sprachassistenten persönlich doof finde, weil man mit ihnen immer noch wie mit einem Idioten kommunizieren muss, sollte die Anschaffung eines solchen Mitbewohners wohl überlegt sein. Alles, was auf Kommando zuhören kann, macht das gerne auch ohne Aufforderung.

Das gilt auch für Smartphones und Sprach-Apps auf dem Rechner. In unserer vernetzten Welt können wir davon ausgehen, dass wir völlig privat nur noch dann sind, wenn die gesamte Technik in einem anderen Raum lagert.

Dann gibt es noch Abhöraktionen, bei denen Hacker in Unternehmens-Netzwerke eindringen und anstatt sich schädlich bemerkbar zu machen, teils über Jahre Daten abgreifen. Dann gilt das gleiche wie in 1. B & 13..

 

9. Phishing for Data and/ or Money

Ich glaube, mittlerweile dürfte jeder Internet-Nutzer wissen, was eine Phishing-Mail ist. Als Teil der täglichen E-Mail Flut flattern Nachrichten herein, die nur dazu gemacht wurden, Daten abzugreifen oder Zahlungen zu erbeuten. Beliebt auch in Form von SMS oder Whatsapp Nachrichten oder Kettenbriefen.

Man darf und sollte also jede Nachricht kritisch betrachten und lieber bekannte Web-Adressen selber in den Browser eintippen, als bequem den angebotenen Links folgen. Denn Phishing-Experten bauen beliebte Websites häufig einfach nach.

 

10. False-Positives

Es kann vorkommen, dass Systeme ein Sicherheitsproblem anzeigen, dass gar keins ist. Bei all den ständigen Neuerungen und Updates ist das gar nicht so selten. Wer eine Warnmeldung erhält, die er nicht zuordnen kann, sollte genauso verfahren wie bei 9.: erst einmal recherchieren. Mittlerweile sind auch die Anbieter verschiedener digitaler Lösungen für solche Fälle sensibilisiert und können auf Anfrage weiterhelfen und erklären, wo genau das Problem liegt und ob tatsächlich eins vorliegt.

 

11. Fraud

Genau wie bei 9. gilt auch bei den diversen kriminellen digitalen Betrugsmaschen: Lieber einmal zu viel nachfragen, als zu wenig. Und auf keinen Fall sofort handeln, um Sinne von Geld bezahlen oder andere Schritte in die Wege leiten.

Im Gegensatz zu den anderen eher technischen Problemen, sollen solche Betrugsversuche den Menschen dazu bringen, sich fehlerhaft zu verhalten. Häufig sind in diesem Zusammenhang Überweisungs-Aufforderungen per E-Mail. Dem Empfänger wird Druck gemacht, sofort einen Zahlungsauftrag in die Wege zu leiten. In vielen Unternehmen gilt daher das Vier-Augen-Prinzip. Im privaten hilft ein guter Überblick über die Finanzen dabei, die Echtheit solcher Aufforderungen einzuschätzen.

Auch bei Anrufen von Unbekannten sollte man vorsichtig sein und aufpassen, welche Formulierungen man benutzt.

 

12. Show

Live Hacking Events sind teils spektakuläre Vorführungen, bei denen ein Hacker auf der Bühne die Geräte eines vermeidlich unbekannten Zuschauers knackt, sein Können unter Beweis stellt und die Zuhörer schockt. Abgesehen davon, dass so etwas ebenso nicht erlaubt ist wie „geheimes“ Hacking, wird so etwas vorher abgesprochen. Mein größter Kritikpunkt: Meistens entsteht neben der Show kein Mehrwert für das Publikum kein Mehrwert, weil zwar auf das Thema IT Sicherheit aufmerksam gemacht wird, der einzelne Nutzer mit dieser Information aber immer noch alleine steht und nicht weiß, wie er sich selber absichern kann.

Dann gibt es noch den Traum eines jeden IT Sicherheits-Forschers: einmal etwas finden, dass es in die Presse schafft. Auch hier ist es interessant, die Schlagzeilen zu hinterfragen. Ich wurde einmal für einen Kommentar in einer Reportage angefragt, als ein solcher Fall gerade die Runde machte. Die Schlagzeilen lauteten alle „gefährlicher Hackerangriff“ und „ist WLAN noch sicher“. Bei einem Blick auf das Research-Paper zum Problem und mit Wissen um die Funktion des entsprechenden Geräts war aber schnell klar, dass auch hier eine Mischung aus Vorbereitung und Social Engineering nötig gewesen wäre, um ein Gerät gezielt anzugreifen.

Nicht nur im Internet, auch auf Events und bei der Nachrichten-Lektüre, darf man also durchaus kritisch unterwegs sein.

 

13. Hackerangriff

Und ja, es gibt auch Hackerangriffe, die Systeme lahm legen, den Zugriff auf Daten blockieren, gezielt Personen oder Unternehmen schaden und und und. Natürlich gibt es sie und natürlich muss man sich dagegen schützen und wie gegen jede andere Straftat auch juristisch dagegen vorgehen. Was ich mit diesem Beitrag zeigen wollte ist aber, dass nicht jeder Technik-Fehler eine Panik-Schlagzeile verursachen sollte und dass es auch im kriminellen Bereich unterschiedlichste Vorgehensweisen gibt.

Panik sorgt nach meiner Erfahrung für Angst und Angst sorgt dann eher dafür, dass Menschen in ihr verharren, als sich neugierig mit einem so komplexen Thema wie IT Sicherheit auseinander zu setzen. Genau das ist aber meistens die Lösung des Problems.

 

Fragen und Feedback zum Beitrag nehme ich gerne per Mail cdt [at] digitalisierung-jetzt.de oder auf den diversen Social Media Kanälen entgegen. Außerdem geht es nächste Woche zur RSA Conference nach San Francisco, wo viele spannende Lösungs-Anbieter und IT Sicherheits-Startups unterwegs sind. Ich werde darüber schreiben. Anschließend steht der Cyber Security Tech Summit in Bonn im Kalender. Wer vorbeikommen möchte, findet den Link zur Anmeldung unter den Terminen. Unter anderem werden dort interessante Women in IT Security vor Ort sein und von ihrer Arbeit berichten.