Der Feind in meinem Netz

02.04.2007 von Annette  Spiegel
Immer häufiger gelingt es Kriminellen, sich via Internet Zugang zu Firmennetzen zu verschaffen und dort Schaden anzurichten. Den Eindringlingen lassen sich jedoch Riegel vorschieben.

Eine rundum vernetzte Welt ist eine ideale Spielwiese für Cyber-Kriminelle. Die allgemein als "Hacker" bezeichneten Angreifer lassen sich immer ausgeklügeltere Methoden einfallen, um an vertrauliche Daten zu gelangen.

Hier lesen Sie …

  • was unter „Hacker“ zu verstehen ist;

  • was Angreifer motiviert, sich Zugriff auf fremde Systeme zu verschaffen;

  • wie Hacker vorgehen;

  • wie sich Unternehmen vor Attacken schützen können.

Foto:

So geschehen im April dieses Jahres, als Rechner des US-amerikanischen Pentagons Ziel einer Attacke wurden, bei der rund 14000 persönliche Datensätze wie Kreditkartennummern und Privatanschriften von Mitarbeitern ergaunert wurden. Was aber bringt jemanden dazu, sich Zugriff auf fremde Systeme zu verschaffen?

Das Täterprofil

Zunächst stand der Begriff Hacker lediglich für einen überdurchschnittlich guten Computerfachmann und Programmierer. Einen negativen Beigeschmack erhielt die Bezeichnung Anfang der 70er Jahre, als es dem Amerikaner John Draper gelang, diverse Sicherheitsbarrieren von Telefongesellschaften zu umgehen und dadurch kostenlos zu telefonieren.

Hacker selbst bestreiten, mit böswilliger Absicht zu handeln. Vielmehr sehen sie den Sinn ihrer "Forschungstätigkeiten" darin, Schwachstellen aufzudecken. "Böse" Hacker hingegen, deren Ziel es ist, sich über das Ausspionieren sensibler Daten finanziell zu bereichern, werden von der Fachwelt meist als "Cracker" oder "Blackhat" bezeichnet. Der typische Hacker - sofern es ihn gibt - ist nach Untersuchungen diverser Sicherheitsfirmen und Institutionen bis zu 25 Jahre alt, meist männlich und verfügt über mittlere bis höhere Schulbildung.

Der Nachwuchs

Eine noch jüngere Generation bilden die so genannten Scriptkiddies: Sie versuchen, sich durch Angriffe auf Computersysteme Aufmerksamkeit und Anerkennung in der Hacker-Szene zu verschaffen. Wie der Programmierer des Sasser-Wurms verfügen sie allerdings lediglich über Grundkenntnisse und nutzen bereits existente Schadprogramme, um diese nach geringfügigen Veränderungen als neu getarnten Code zu verbreiten.

Hacking als Nebenjob

Neben dem Anreiz, Programme weiterzuentwickeln, geht es den meisten Hackern um die Herausforderung, Systeme zu überlisten. Ferner ist es ihnen oft ein Anliegen, die Öffentlichkeit auf Schwachstellen in Hard- oder Software hinzuweisen. Ziel vieler Cyber-Krimineller hingegen ist es, Unternehmen mit einer Attacke nicht nur einen Imageschaden zuzufügen, sondern sich auch zu bereichern. So entstehen nach wie vor durch Phishing-Attacken, den Diebstahl etwa von Passwörtern und Zugangsdaten, hohe finanzielle Schäden.

Auch greifen Unternehmen mitunter zu unsauberen Mitteln, um Wettbewerber auszubooten - und leisten sich einen Hacker. Zu dessen Aufgaben zählt beispielsweise, mit gezielten Denial-of-Service-Attacken (DoS) die Webshops der Konkurrenz zu sabotieren und damit Schäden in Millionenhöhe zu verursachen. Oder er wird beauftragt, sich mittels gezielter Angriffe auf ermittelte Schwachstellen Zugang zur Infrastruktur eines Rivalen zu verschaffen, um so Einblick in geheime Unterlagen zu erlangen. Das belegen Fälle wie der im letzten Sommer unter dem Namen "Trojangate" bekannt gewordene israelische Wirtschaftsspionage-Skandal.

Hierzu verschickten seinerzeit mehrere große Unternehmen - darunter die Mobilfunknetzbetreiber Cellcom und Pelephone - mit Trojanern infizierte E-Mails und scheinbar harmlose CDs an Mitbewerber. Über ein von einem israelischen Paar kreiertes Schadprogramm gelang es den Konzernen, die Rechner der Konkurrenz unbemerkt fernzusteuern und auf diese Weise vertrauliche Dokumente direkt vom Nutzer-PC auf einen fernen FTP-Server zu laden. Vor diesem Hintergrund ist es kaum verwunderlich, dass nicht nur große, sondern auch kleine und mittelständische Unternehmen (KMU) fürchten, Opfer einer Cyber-Attacke zu werden: Laut der von Forrester Research betriebenen Studie "Europeans SMBs View IT Security As A Top Priority" (September 2005) fürchten immerhin 36 Prozent der europäischen KMU einen gezielten Angriff von außen. Dabei herrsche häufig Unkenntnis im Hinblick auf aktuelle Angriffsszenarien und deren Auswirkungen, berichtet Reinald Kempf, Leiter eSecurity bei der BMS Systems GmbH. "IT-Verantwortliche überprüfen nur in seltenen Fällen eingehende verschlüsselte E-Mails oder den Web-Traffic auf Schadprogramme oder urheberrechtlich geschützte Inhalte, obwohl hierfür bereits technisch ausgereifte Lösungen zur Verfügung stehen", so der Sicherheitsexperte.

Die Schäden

Viele Unternehmen, die bereits Opfer einer Attacke geworden sind, verschweigen dies aus Angst vor negativen Folgen für ihr Geschäft oder ihr Ansehen am Markt. Aufgrund der hohen Dunkelziffer lassen sich die bislang entstandenen Schäden somit nur schwer beziffern. Wie jedoch aus der Studie "2005 FBI Computer Crime Survey" hervorgeht, erlitten US-amerikanische Firmen im vergangenen Jahr durch Cyber-Aktivitäten mit kriminellem Hintergrund Einbußen von gut 67 Milliarden Dollar.

Für einen Skandal mit kostenschweren Folgen sorgten zwischen 2001 und 2002 auch Hacker-Angriffe auf insgesamt 97 Netze in den USA, darunter Systeme der Navy, der Luftwaffe sowie der Nasa. Den Täter Gary McKinnon trieb die Neugier nach Informationen über UFOs. Dabei verursachte der Brite nicht nur Schäden in Höhe von 700000 Dollar, sondern setzte den US-Behörden zufolge kurz nach dem 11. September 2001 auch wichtige Verteidigungssysteme außer Gefecht. Nach einer Entscheidung des Londoner Bow Street Magistrates Court soll McKinnon an die USA ausgeliefert werden, wo ihm bis zu 70 Jahre Haft und eine Geldstrafe von bis zu 1,75 Millionen Dollar drohen.

Der klassische Hacker-Angriff

Um Zugriff auf fremde Systeme zu erlangen, versuchen Cyber-Kriminelle entweder, möglichst viele Rechner in kurzer Zeit mit Schadcode zu infizieren oder nur einzelne Systeme unter ihre Kontrolle zu bringen und sich auf diese Weise vertrauliche Informationen anzueignen. Vorgehensweisen gibt es viele - vom Ausspähen von Passwörtern mittels Trial-and-Error, Passwortknackern, Lexikon-Angriffen, Brute-Force-Methoden oder Tricks auf Ebene des Social Engineering über das Einschleusen von Trojanern (inklusive der Nutzung von Spoofing-Programmen) bis hin zur Ausnutzung von "Wanzen" und "Falltüren". Aber auch das Adress-Spoofing einschließlich der Varianten IP-, ARP- und DNS-Spoofing oder Port-Scans zählen zum Standardrepertoire versierter Hacker. Welche Technik auch immer zum Einsatz kommt - am Anfang steht die Beschaffung von Daten, die Aufschluss über Sicherheitslücken im System oder Netz geben.

In einem ersten Schritt verschaffen sich Hacker Informationen über potenzielle Angriffsziele. Mit Hilfe einfacher Programme ist es möglich, via Internet detaillierte Kontaktdaten einzelner Unternehmen, verfügbarer Web-, Mail- oder DNS-Server sowie IP-Adressbereiche zu sammeln und IP-Adressdatenbanken zu erstellen, die sich automatisch scannen lassen. Ziel hierbei ist es festzustellen, welche Dienste auf welchen Systemen über das Internet erreichbar und damit angreifbar sind.

Auf der Suche nach Lecks

Mit der als "Ping Sweep" bezeichneten Methode können Angreifer zunächst erkennen, wann ein Rechner hochgefahren ist. Via Portscan-Verfahren ist es daraufhin möglich, auf den Ports laufende Services und deren Zustand auszukundschaften. Diese Informationen lassen Rückschlüsse auf das Betriebssystem sowie die genutzten Anwendungen und damit auch auf Sicherheitslücken zu. Sind diese erst einmal bekannt, ist es für Hacker ein Leichtes, sie auszunutzen und auf betroffene Rechner zuzugreifen.

Nach vollbrachter Tat machen sich die Übeltäter daran, ihre Spuren zu verwischen. Um unbemerkt zu bleiben, verändern sie die Logfiles und ersetzen Systemdateien durch Trojaner. Oft werden hierzu als "Rootkits" bezeichnete Software-Tools mit Backdoor-Funktionen installiert. So bleiben sie nicht nur unauffindbar, sondern verfügen zudem über eine Hintertür, die ihnen jederzeit Zugang auf das kompromittierte System gewährt.

"Ich bin drin" - und dann?

Einmal gehackt, steht den Angreifern ein breites Betätigungsfeld offen: Zum einen können sie den Rechner mit Sniffer-Programmen nach privaten Daten wie Passwörtern, Informationen zu Bankverbindungen oder Kreditkartennummern durchforsten. Zum anderen lassen sich weitere Computer scannen und über die Ausnutzung identifizierter Schwachstellen Botnets aufbauen. Hacker können so mit nur einem einzigen Rechner Hunderte oder Tausende Systeme kontrollieren und steuern.

Botnets eignen sich in erster Linie zur schnellen Verbreitung von Spam-E-Mails oder für Distributed-Denial-of-Service-Angriffe (DDoS). Während bei einem DoS-Angriff ein Server von nur einem System mit Datenpaketen überlastet wird, erfolgt eine DDoS-Attacke von vielen Systemen gleichzeitig, bis es zur Server-Überlastung und letztlich zur Dienstverweigerung kommt.

Schwachstellen schützen

Um auf sensible Infrastrukturen zugreifen zu können, müssen Hacker eine Schwachstelle im System ausnutzen. 2005 wurden wesentlich mehr Sicherheitslücken bekannt als im Vorjahr, auch entwickeln Cyber-Kriminelle ihre Malware immer schneller: Gut drei Prozent der Schadprogramme wurden binnen 24 Stunden nach der Veröffentlichung eines Lecks auf den Weg gebracht, 9,38 Prozent der Malware fand innerhalb der nächsten 48 Stunden ihr Ziel.

Die Entwicklung von Signaturen oder Patches für neue Schädlinge braucht jedoch ihre Zeit. Folglich sind Systeme oft über längere Zeit hinweg mehr oder weniger ungeschützt. Zudem reichen signaturbasierende Abwehrstrategien hier häufig nicht aus, da sie lediglich vor bekannten Schädlingen schützen. Schwachstellenschutz lautet demnach die Devise. Genau hier setzen spezielle Security-Produkte und -Services an, die darauf ausgelegt sind, von Hackern als Einfallstor ausgenutzte Lücken zu schützen, bis ein offizieller Patch zur Verfügung steht. Möglich ist dies etwa mit einem von Internet Security Systems (ISS) entwickelten Verfahren, das die in einem Unternehmen eingesetzten Systeme "virtuell" patcht. "Ziel ist, den Angreifern immer einen Schritt voraus zu sein", erläutert Georg Isenbürger, Director Sales Deutschland bei ISS, das Prinzip. Präventiv wirkt zudem ein Intrusion-Prevention-System (IPS): Anders als eine Intrusion-Detection-Lösung, die meist als Ergänzung zu einer Firewall im Netz implementiert wird, ist ein IPS in der Lage, einen Angriff nicht nur zu erkennen, sondern auch abzuwehren. Die Technik zeichnet sich unter anderem durch die ständige Kontrolle des Datenverkehrs sowie die Erfassung auffälliger Verhaltensmuster und Protokoll-Anomalien aus und kann somit vor bekannten wie neuen Gefahren Schutz bieten.