Wie Hacker arbeiten

Von Artur Lebedew

Die Zahl der Angriffe aus dem Netz auf Unternehmen nimmt seit Jahren zu. Selbst die besten Sicherheitssysteme haben Lücken. Aber wie funktionieren diese Attacken?

Stuttgart – Ein Video im Internet dient als Anleitung. Zu sehen ist ein Geldautomat, vermutlich in Osteuropa. Eine Hand im schwarzen Handschuh klappt mit einem Messer die Plastikhaube des Automaten auf. Dann steckt sie durch die Öffnung ein mit Draht umwickeltes USB-Kabel. „Verbinde das Kabel mit dem Laptop. Ab jetzt arbeiten wir“, steht da auf Russisch geschrieben. Wenige Minuten vergehen, der Geldautomat rattert, dann spuckt er Scheine aus. Während das Video läuft, dudelt im Hintergrund ein Lied der erfolgreichen Band Twenty one Pilots: „Nur, weil wir an der Tür unsere Waffen abgeben, heißt das nicht, dass unsere Gehirne keine Handgranaten wären.

Um Banken zu knacken, brauchen Kriminelle heute keine Pistolen. Sie kaufen sich dafür die passende Computer-Software im Netz. Das Programm, das in dem Youtube-Video zum Einsatz kam, war zum Beispiel vor etwa einem Jahr noch für knappe 4500 Euro im Internet erhältlich. Angeboten wurde es auf der inzwischen verbotenen Handels-Plattform Alphabay. Über Mittelsmänner spielten Hacker das Programm auf Geldautomaten und räumten diese leer. Etliche Banken in Deutschland wurden so um beträchtliche Summen gebracht. Und während die Polizei manche der Diebe erwischte und das Anleitungsvideo aus dem Netz entfernen ließ – die Programmierer blieben unentdeckt.

43 Milliarden Euro verloren deutsche Firmen im vergangenen Jahr durch Hackerattacken, schätzt der Digitalverband Bitcom. Sieben von zehn Unternehmen sind Opfer, selbst den Großen der Wirtschaft fällt die Abwehr schwer. Zudem stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) fest: „Die Zahl der Angriffe und ihre Professionalität nehmen von Jahr zu Jahr zu“.

Der Markt für Cyberattacken boomt und das Vorgehen der Angreifer wird immer komplexer. Doch wie läuft so ein Angriff eingentlich ab?

Schwachstellen finden und ausnutzen

Häufig besteht eine Hackerattacke aus drei Stufen. Zuerst versuchen die Angreifer herauszufinden, welche Systeme Firmen und Organisationen nutzen und welche Personen, sie betreiben. Das ist wichtig, um Lücken im System auszumachen.

In der zweiten Stufe geht es darum, die gefundenen Schwachstellen auszunutzen. Das passiert mit Programmen, die Hacker einschleusen. Diese werden im anonymen Teil des Internets, dem Darknet, wie Drogen gehandelt. Bezahlt wird in der Onlinewährung Bitcoin. So kann niemand die Spuren zurückverfolgen. Um die Schadsoftware in ein System einzuschleusen, gibt es viele Wege: über einen infiziertern USB-Stick, ein verwundbares Programm, Betriebssystem oder etwa einen Anhang einer Mail.

Im laufe der Jahre haben die Hacker auch den Versand infizierter E-Mails ausgebaut. Die Angreifer gehen heute längst nicht mehr so plump vor, wie viele das noch in Erinnerung haben – es kommen keine Mails von den vermeintlich reichen Prinzen aus Afrika mehr. Heute läuft das über die sogenannte „soziale Manipulation“, sagt Cyberexperte Jörn Müller-Quade vom Karlsruher Institut für Technologie. Dabei durchforsten Angreifer gehackte Mailkonten nach den Adressdaten gesuchter Unternehmen. Diese Mitarbeiter erhalten dann eine infizierte Mail – vermeintlich von ihrem Bekannten. Wenn die Ansprache gut gemacht sei, sagt Müller-Quade, falle es selbst vorsichtigen Mitarbeitern schwer, nicht darauf reinzufallen.

Mitarbeiter sind wesentliches Teil des Risikos

„Es ist ein Hase-Igel-Rennen“, sagt Jochen Dinger von der Karlsruher Firma Fiducia & GAD IT, einem der größten IT-Dienstleister für Banken. Weil Geldhäuser ihre Prozesse zunehmend digitalisieren und ins Internet verlagern, sind sie immer mehr auf Server, Apps und Netzwerke angewiesen. Die zunehmende Digitalisierung wiederum eröffnet neue Angriffsflächen für Hacker.

Dinger verantwortet bei dem Karlsruher Dienstleister das Sicherheitsmanagement. Um ihre Systeme einbruchssicher zu machen, versuchen er und sein Team so zu denken, wie die Gegenseite. „In die Rolle der Angreifer zu schlüpfen und eigene Systeme anzugreifen kann auch Spaß machen“, sagt der 42-Jährige. Dazu suchen sie in der Programmierung der Systeme nach Fehlern oder versenden Pseudo-Schadmails an eigene Mitarbeiter. Wie viele andere Experten auch, glaubt Dinger, dass ein „wesentlicher Teil“ des Cyberrisikos darauf zurückgeht, wie Mitarbeiter auf mögliche Angriffsversuche reagieren, wie achtsam sie mit Mails und fremden USB-Sticks umgehen.

Gezielte Attacke und Störungen meldet die Firma bei den Bundesbehörden, sagt Jochen Dinger. Dort werden vor allem Angriffe auf die so genannte Kritische Infrastruktur, also Banken, Krankenhäuser oder Stromunternehmen, gesammelt und ausgewertet. So sollen von dem Wissen um neue Techniken und Angriffe auch andere Unternehmen profitieren. Trotzdem gelingt es Angreifern immer wieder, ihre Schadsoftware tief im System der Firmen zu platzieren.

Hacker steuern Systeme aus der Ferne

Häufig ist das Ziel der Hacker nicht, die Unternehmen zu sabotieren und gleich ein Lösegeld zu fordern, sondern sich unbemerkt im System einzunisten und so einen Wissensvorsprung zu erlangen, Daten auszulesen, sie zu kopieren und, wie Experten sagen, „nach Hause“, also zu den Angreifern zu schicken. Das ist die dritte Stufe der Hackerangriffe. „Wenn Angreifer einmal ein System unter ihre Kontrolle gebracht haben, dann können sie dieses auch aus der Ferne bequem steuern.“, sagt Ralf Küsters, der Leiter des Instituts für Informationssicherheit an der Universität Stuttgart.

An die Öffentlichkeit gelangen solche Angriffe selten. Erst im Dezember des vergangenen Jahres wurde bekannt, dass vermutlich chinesische Hacker vertrauliche Daten der Europäischen Union ausspionierten. Darunter auch einen Geheimbericht, der andeutete, dass Russland möglicherweise Atomwaffen auf der Krim stationiere. Die Dateien wurden aus einem gesicherten Netzwerk der EU kopiert und an eine öffentliche Internetseite, die wohl von den Angreifern aufgesetzt wurde, gesendet. Erst drei Jahre nach der Infiltration konnte die Sicherheitsfirma „Area 1“ die Angriffe entdecken.

„Jedes System hat Lücken“, sagt Küsters. Ihm zufolge ist es nur eine Frage des Aufwandes, ob Angreifer sich Zugang zu Daten verschaffen oder nicht. Besonders staatliche Hacker seien praktisch zu allem fähig. Jochen Dinger von der Karlsruher IT-Firma sagt, dass kriminelle Hacker schon heute über professionelle logistische Strukturen verfügen: Programmierer, Projektmanager, Zulieferer und Handlanger spielten Hand in Hand. „Die haben die Digitalisierung im Gegensatz zu manch anderen Unternehmen schon gemeistert“, sagt er. Und sie machen ihr Wissen konsequent zu Geld – nicht nur am Geldautomaten.

Erschienen in der Stuttgarter Zeitung

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s