Zehn Fehler, die es Hackern leicht machen
2. Mai 2019
Will ein Cyber-Spion einen erfolgreichen Angriff starten, der tief in ein fremdes System hinein reicht, braucht er jede Menge Informationen. Je tiefer er in ein Computernetzwerk eindringt, desto mehr Informationen kann er sammeln, die ihm dann helfen noch weiter vorzudringen, oder einen weiteren Angriff zu starten. Was ihm auch hilft: Internes Wissen – etwa über das Betriebsklima in einem Unternehmen. Ein richtig guter Hacker kann außerdem gut mit Menschen umgehen.
Das größte Hindernis, das Administratoren und Nutzer einem Hacker in den Weg legen können, ist folglich Datensparsamkeit und ernsthafte Geheimhaltung. Das ist aber in den meisten Betrieben und Behörden gar nicht so einfach umzusetzen. Hier die häufigsten Fehler, die Nutzer und Administratoren machen.
1. Unsichere oder unsicher verwahrte Passwörter
Der Klassiker für unsichere Passwörter ist natürlich der Name des Haustieres oder des Partners, der Wohnort oder ähnliche Begriffe, die ein Angreifer leicht herausfinden kann. Sicher sind Passwörter, die mit Zahlen und Sonderzeichen, sowie mit Groß- und Kleinschreibung arbeiten. Und Passwörter sollten in regelmäßigen Abständen geändert werden. Auch häufig praktiziert: Passwörter auf einen Zettel schreiben und an die Magnettafel hinter dem Computerarbeitsplatz hängen. Wer dann noch mit der Webcam im Internet unterwegs ist, könnte das Passwort auch gleich bei Twitter posten.
2. Gleiche Passwörter für verschiedene Zwecke
Manche Nutzer machen es sich einfach: Sie wollen sich nur ein Passwort merken. Nutzt ein Mitarbeiter einer sicherheitsempfindlichen Bundesbehörde sein dienstliches Passwort aber auch für die Webseite seines Sport- oder Hobbyvereins, macht er es Hackern leicht. Gerade kleine ehrenamtliche Vereine schaffen es kaum, die Software immer auf dem aktuellen Stand zu halten. Datensicherheit wird dort meist nicht so groß geschrieben, die Computer werden von Laien gewartet und Patches spät aufgespielt. Da lässt sich ein Passwort leichter erbeuten.
3. Ein Passwort für die ganze Gruppe – zentral hinterlegt
Oft nutzen viele Kolleginnen und Kollegen ein Passwort gemeinsam – etwa für eine bestimmte Software-Anwendung. Gerne werden solche Passwörter irgendwo auf einem Server abgelegt – damit alle, die es brauchen, darauf Zugriff haben. Gelingt es aber einem Hacker mit der Identität eines einfachen Nutzers, der keine Admin-Rechte hat, ins System einzudringen, kommt er an die Passwörter sehr einfach heran. So kann er sich Schritt für Schritt weiter vortasten.
4. Phishing und Spearphishing – Opfer gezielt ansprechen
Ein klassischer Erstangriff erfolgt oft mit einer Phishing-Email. Solche Emails verleiten Nutzer entweder dazu einen Anhang zu öffnen oder einen Internet Link anzuklicken, der dann ein Schadprogram auf den Computer lädt und aktiviert. Viele Phishing-Emails laufen in Emailfächern als Spam-Mails auf und sind leicht als solche zu erkennen. Aber das muss nicht sein.
Das "Spearfishing" - auf Deutsch: "Harpunieren", ist die höhere Form des Phishings. Dabei sucht sich der Angreifer seine Zielperson ganz bewusst heraus und schickt eine Phishing-Email, die legitim klingt. Der Empfänger wird sie also mit hoher Wahrscheinlichkeit auch öffnen. Die Schadsoftware kann sich zum Beispiel in einem Bewerbungsschreiben an die Personalabteilung verstecken oder in einer Rechnung an den Zentraleinkauf. Es setzt in der Regel eine gute Menschen- und Sprachkenntnis voraus. Die Absender-Email und die gesamte Anmutung muss geschickt gefälscht sein, um glaubwürdig zu wirken.
Mehr dazu: Wird man in der Cloud beklaut?
Hackerangriff auf deutsche Politiker - auch Merkel betroffen
5. Unvorsichtige Admins
Wissen ist Macht! Besonders ambitionierte Angreifer wollen Administratorenrechte erlangen. Dann können sie das ganze System beherrschen. Haben sie sich schon mal mit der Identität eines einfachen Nutzers eingeschlichen, können sie vielleicht das interne Telefonbuch des Betriebes lesen. So finden sie heraus, wer für die IT-Administration zuständig ist. Dann hilft eine Recherche bei Facebook oder in anderen sozialen Netzen, um etwas über die Hobbys und Vorlieben zu erfahren. Vielleicht lernt der Angreifer auch Namen von Freunden und Bekannten, Arbeitskollegen, Termine etc. So kann er einen maßgeschneiderten Angriff ausführen und den Anschein erwecken, er sei ein Insider. Und von einem guten Bekannten öffnet man schon mal einen Email-Anhang.
6. Zero-Day-Attack: Die zu spät gestopfte Sicherheitslücke
Selbst wenn die Systemadministratoren gewissenhaft vorgehen und alle Patches ("Flicken") regelmäßig aufspielen, können unter Umständen zwischen der Entdeckung einer Lücke und dem Patch-Update durch die jeweiligen Softwarehersteller Monate vergehen. Ein Grund dafür: Oft nehmen sich die Hersteller mit dem Veröffentlichen der bekanntgewordenen Lücken lieber noch etwas Zeit und bereiten sich gründlich vor, weil sie wissen, dass die "bad guys" ("die bösen Jungs") systematisch alle veröffentlichten Lücken auswerten und dann möglichst schnell zuschlagen, bevor alle Endnutzer ihre Software mit Patches aktualisieren konnten. Es kann auch passieren, dass Lücken bekannt werden, für die es so schnell noch kein Patch gibt. Dann kommt es zu so genannten "0-Day-Attacken" (Angriff am Tag-Null). Als im letzten Jahr die Erpressungs-Schadsoftware "WannaCry" zahlreiche Rechner lahmlegte, gab es zwar schon einen Patch. Viele Admins waren aber mit der Aktualisierung zu spät dran.
7. Schlampig installierte Server-Software
Auch IT-Dienstleister stehen oft unter einem erheblichen Zeit- und Kostendruck. Bekommen sie etwa den Auftrag einen Server einzurichten, kann es passieren, dass die Techniker vergessen ein standardisiertes Zugangspasswort wie "1234", "qwerty" oder "admin" zu ändern. Das wird verschlimmert, wenn dann ein weniger versierter Mitarbeiter die Systemadministration übernimmt und sich nicht weiter darum kümmert – solange das System stabil läuft. Auch ganz schlecht: Häufig wechselnde Verantwortung und wenig personelle Kontinuität bei den Administratoren.
8. Mailserver geben zu viele Informationen preis
Sichere Mailserver antworten entweder gar nicht, oder nur sehr sparsam auf fehlerhafte Anfragen von außen. Der Grund: Angreifer können wertvolle Informationen über ein Computersystem bekommen, indem sie Emails mit falscher Kennung an eine bestimmte Domain schicken. Schickt dann der Mailserver eine ausführliche Fehlermeldung zurück, aus der etwa der Weg hervorgeht, den die Email zurückgelegt hat, sowie die jeweilige Version der Server-Software, weiß der Angreifer genau, wie er genau vorgehen muss.
9. Kein Sandkasten im System
Die meisten Betriebssysteme und Web-Browser sind heute als Sandboxes aufgebaut: Gelingt ein Angriff, bleibt er erstmal in dem Teil der Software eingefangen, in dem er zuerst aufgetreten ist – ähnlich wie eine Brandbombe, die man in einen Sandkasten wirft und zuschüttet. Dazu trägt auch eine strenge Nutzerverwaltung bei. So kann die Schadsoftware nur die Bereiche zerstören, auf die der jeweilige Nutzer Zugriff hat. Haben aber viele Nutzer zu viele Rechte, greift das Feuer bzw. die Schadsoftware schnell um sich.
10. Software, die nicht auf dem aktuellen Stand ist
Last but not least: Die Software nicht nur des Betriebssystems sondern auch aller Anwendungen muss immer auf dem aktuellen Stand sein. Übrigens: Antiviren-Software ist zwar noch immer wichtig, ihre Bedeutung tritt aber mittlerweile hinter den Bausteinen der Software-Sicherheit zurück, die von sich aus auf suspekte Aktivitäten reagieren. Kommt ein Virus oder Trojaner durch das Absperrgitter durch, erkennt eine gute Software ihn spätestens dann, wenn er anfängt etwas zu tun, was er nicht soll.