15 Tricks gegen Cyberkriminelle
So halten Sie Hacker ab
Faken Sie E-Mail-Accounts!
Mit E-Mail-Accounts können Sie ebenfalls nach kriminellen Hackern fischen. Legen Sie dazu einfach Fake-Accounts an, die von extern nicht erreichbar sind und auch auf keiner Gruppenliste auftauchen. So stellen Sie sicher, dass der Account ausschließlich über Ihr Netzwerk erreichbar ist. Anschließend erfahren Sie per Monitoring, ob irgendwelche verdächtigen Bewegungen festzustellen sind. Wenn an den Account E-Mails gesendet werden, handelt es sich dabei entweder um Spam - oder Ihr E-Mail-System ist bereits kompromittiert.
- Spam
Egal ob nigerianischer Prinz mit Kohle zu verschenken oder Versprechen von dramatischem Gewichtsverlust - Spam ist heutzutage unvermeidlich. Allerdings kann Spam auch die Tür zu Identitätsdiebstahl, Hacks und anderen Security-Desastern öffnen. Achten Sie also auf einen zuverlässigen Spam-Filter. - Irrelevanz
Wieviele E-Mails erhalten Sie pro Tag? Selbst wenn es "nur" 50 pro Tag sind, dürften davon rund die Hälfte inhaltlich völlig irrelevant sein. Also: Denken Sie lieber zweimal nach, bevor Sie selbst den Senden-Button klicken und überlegen Sie auch, ob der Inhalt der Mail für jeden der Empfänger auch wirklich relevant ist. - Romantischer Überschwang
"Beste Grüße", "Verbindliche Grüße", "MfG" sind als E-Mail-Abschiedsgruß für viele Menschen ein absoluter Abturn. Versuchen Sie also zu vermeiden, wie ein Charakter aus einer Schnulze aus dem 19. Jahrhundert zu klingen und lassen sie stattdessen ihre Nachricht und Interpunktion für sich sprechen. Wenn Sie einen Abschiedsgruß hinterlassen möchten, setzen Sie auf das altbewährte "Mit freundlichen Grüßen". Ansonsten sagen Sie lieber nichts. - Antwort-Lag
Ist die E-Mail angekommen? Wie sieht es jetzt aus? Schon eine Stunde vergangen und immer noch keine Antwort? Nur weil eine E-Mail in Sekunden übertragen ist, heißt das nicht, dass eine Antwort auch auf dem Fuße folgt. Das empfinden viele Menschen als extrem frustrierend. - Überflutung
Auf der anderen Seite kann eine E-Mail-Flut - und zwar noch bevor Sie überhaupt Gelegenheit hatten, zu lesen, zu verstehen und zu antworten - mindestens genauso viel ungenutztes Wut-Potential freischaufeln wie der Antwort-Lag. Bevor Sie also eine Armada an Einzeilern auf die virtuelle Reise schicken, sollten Sie sich überlegen, wie Sie alle Inhalte in eine E-Mail packen. - Emoticons
Ein großer Nachteil der E-Mail ist, dass die Intentionen des Absenders durch das Fehlen von Gestik und Mimik beim Empfänger falsch ankommen kann. Es kann verlockend sein, diese emotionale Leere mit Emoticons aufzufüllen. Aber das sollten Sie nicht tun. Versuchen Sie stattdessen ihre Absichten so gut wie möglich in geschriebener Sprache auszudrücken. - Rudel-Mails
Sie arbeiten an einem Projekt und wollen allen Team-Mitgliedern ein Status-Update zukommen lassen? Geht klar. Auch wenn Sie eine Überraschungsparty für einen Kollegen zum Geburtstag planen und eine größere Gruppe darüber informieren möchten, ist dagegen nichts einzuwenden. Bevor Sie nun jedoch eine Gruppen-E-Mail verfassen, sollten Sie nach anderen Kommunikationswegen Ausschau halten - zum Beispiel Collaboration-Apps, Video-Chats, Online-Dokumente oder das gute, alte Face-to-Face-Meeting. Das kann unter Umständen nämlich wesentlich produktiver und effizienter sein, als eine E-Mail. Wenn Sie doch eine schicken, achten Sie darauf, dass im Adressfeld wirklich nur diejenigen Empfänger stehen, die auch eine wichtige Rolle innerhalb des Projekts/Anliegens einnehmen. - Schreierei
Halten Sie sich zurück, wenn es um die Verwendung von Ausrufezeichen geht. Schließlich wollen Sie doch nicht wie ein Marktschreier wirken oder schlimmer noch, dem Empfänger vermitteln, Sie wären wütend. Professionelle E-Mails sollten klar, sachlich und verständlich formuliert werden. Also ohne Ausrufezeichen (und ohne Versalien-Orgien).
Der Bösewicht muss ins schwarze Loch!
Schwarze Löcher gehören seit jeher zur Security-Profi-Grundausstattung. Dazu wird eine Umgebung geschaffen, in der sämtliche Hacking-Aktivitäten - und damit jede aufkeimende Gefahr - sofort unterbunden wird. Bei dieser Gelegenheit lässt sich die Aktivität der Cyberkriminellen durch gezielte Eingriffe auch noch massiv verlangsamen.
Ein schwarzes Loch kreieren Sie mit Hilfe von DNS- oder IP Management Services. Wenn dann ein Hacker (oder eine Malware) eine Anfrage nach einem nicht-existenten DNS-Namen oder einer IP-Adresse stellt, wird der Bösewicht direkt auf das schwarze Loch umgeleitet, wo jede Menge Tricks angewandt werden können, um den Kriminellen möglichst lange aufzuhalten (und ihm so auf die Spur zu kommen).
Das schwarze Loch arbeitet dabei genauso wie ein normales Device oder eine Software-Lösung und startet jedes Mal eine dreifache Befehlsabfrage. Wenn Sie Ihr schwarzes Loch zusätzlich mit Honeypots auslegen, können Sie mehr über die Intentionen des Angreifers erfahren. Denken Sie aber unbedingt daran, dass ein schwarzes Loch richtig konfiguriert sein muss. Ansonsten könnten auch versehentlich falsche Anfragen dort landen.
Gehen Sie in die Offensive!
Bevor Sie weiterlesen: Selbst zum Hacker zu werden ist eine Möglichkeit, die sich im ethischen und vor allem im rechtlichen Graubereich befindet. Nichtsdestotrotz kann ein solches Vorgehen geeignet sein, um kriminellen Hackern das Handwerk zu legen. Viele Experten für IT-Sicherheit dürften es leid sein, Angriff um Angriff zu verfolgen. Ganz besonders dann, wenn es sich um ein ganz besonders dummes Exemplar eines Cyberkriminellen handelt.
Deswegen sind einige Experten der festen Überzeugung, dass es nicht nur ethisch gerechtfertigt, sondern auch ihre Pflicht ist, einen hartnäckigen Cyberkriminellen mit einem Präventivschlag zur Räson zu bringen. Eines der berühmtesten Beispiele für eine solche Präventivoperation ist übrigens Stuxnet, der mehrere Zentrifugen in iranischen Nuklearkraftwerken lahmlegte. Das war zwar weder legal, noch ethisch besonders vorzeigewürdig, aber es hat funktioniert.
Im kleineren, privaten Rahmen ist der Offensiv-Hack Gang und Gäbe. Es gibt Unternehmen, die Sie dafür anheuern können und jede Menge Tools. Auch Honeypots können mit automatisierten Hacking-Funktionalitäten ausgestattet sein. Für einen Hacker ist mit Sicherheit eine ziemlich Überraschung, wenn er von seinem "Opfer" plötzlich "zurück" gehackt wird.
Bitte beachten Sie aber unbedingt, dass Sie - selbst, wenn Sie Opfer eines Hackerangriffs geworden sind - nicht einfach in fremde Systeme eindringen und dort Daten abgreifen können, gerade dann nicht, wenn diese spezielle geschützt sind. Näheres regelt der "Hackerparagraph" §202 des Strafgesetzbuches. Also besser externe (forensische) Dienstleister, die seriös und juristisch wasserdicht arbeiten, heranlassen und nicht selbst Hand anlegen!
Legen Sie Fallen aus!
Ganz ähnlich wie bei einigen vorgenannten Taktiken geht es hier darum, möglichst attraktive Beutebrocken zu verstreuen. Werden die eingesammelt und zuhause ausgepackt, entlarven sie die IP-Adresse und damit die Identität des böswilligen Hackers. In der Regel enthalten solche Datenfallen versteckten Code oder Bilder, die bei Aktivierung beziehungsweise Öffnung "nach Hause telefonieren". Wenn der Bösewicht nicht in einer isolierten Offline-Umgebung in die Falle tappt oder sämtlichen ausgehenden Traffic blockiert (das tun sie nie), werden alle notwendigen Informationen gesammelt und direkt an Sie zurück geschickt.
Ich kenne mehr als nur ein paar White-Hat-Hacker, die gelangweilt davon waren, dass jemand sie hacken wollte. Also ließen sie die bösen Jungs ein Fake-System hacken und den vermeintlichen Hauptgewinn mit nach Hause nehmen. Beim Öffnen des Geschenks wurden zur Feier des Tages ihre Festplatten formatiert oder alle Files gelöscht. Nicht schön, aber effektiv.
- Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind. - Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen. - Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben. - Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern. - Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind. - Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat. - Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko. - Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen. - Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen. - Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Wenden Sie Patching-Tricks an!
Sind Sie fürs Patching verantwortlich? Dann wissen sie ja, wie trickreich das sein kann. Alle kritischen Schwachstellen müssen zeitnah beseitigt werden. Sobald ein Patch released wird, fängt sofort die Suche nach dem neuen Exploit an. Und weil die meisten Unternehmen auf einem ganzen Haufen Patches sitzen und nicht hinterher kommen, beinhaltet jeder dieser Patches bereits ein Gateway für Hacker.
Wenn Sie Ihren Kunden einen Patch zur Verfügung stellen, können Sie folgenden Trick in Erwägung ziehen: Einer meiner Mitarbeiter hatte es einmal mit einem Sicherheitsleck zu tun, das so groß war, dass sämtliche Applikationen verwundbar waren. Der Schaden für das Ökosystem wäre nach einem Patch-Release zu groß gewesen. Also haben wir uns dazu entschlossen, den Patch versteckt in einigen anderen Patches über einen Zeitraum von einigen Monaten auszuliefern.
Jeder Hacker, der an dieser Stelle ‚Reverse Engineering‘ hätte betreiben wollen, hätte in einem der Patches lediglich ein paar unzusammenhängende Bytes gesehen. Das Gesamtbild hätte sich erst nach Auslieferung aller Patches gezeigt. Es besteht auch die Möglichkeit, dass der eigentliche Patch bei so einer Maßnahme komplett übersehen wird. Diese Taktik wird inzwischen von vielen Unternehmen angewandt.