Unser Mobiltelefon glauben wir geschützt durch einen Pin-Code. Auch unseren Computer versuchen wir mit Antivirenscannern vor dem Einschleusen schädlicher Software zu schützen. Doch Angriffe auf Computersysteme, Datenausspähung und Datenklau sind allgegenwärtig. Die eingesetzten Hacking-Techniken werden stetig weiterentwickelt.
Roman Stühler hat aus Sicht eines Hackers gezeigt, wie erschütternd einfach es ist, Einsicht in fremde Daten zu nehmen. In seiner Mission als Penetration Tester bei der SySS GmbH dringt Roman Stühler in Systeme ein, um dort etwaige Schwachstellen ausfindig zu machen und den Systembetreiber vor Schlimmerem zu bewahren. Einige übliche Szenarien und Sicherheitslücken hat er uns vorgestellt. Und macht so eindrücklich deutlich, wie wichtig IT Security für uns alle ist.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Betrugsfälle beim Online Shopping
Wir alle kennen und die meisten von uns tätigen diesen Vorgang: Wir legen ein Produkt in den digitalen Warenkorb eines Onlinehändlers. In dem Moment, in dem wir das tun, erscheint bei unzureichend verschlüsselten Webshops am unteren Bildrand der Webseite ein bestimmter Aufruf – bestehend aus der URL des Shops und einer, für die meisten von uns auf den ersten Blick kryptischen Zeichenfolge. Bei genauerem Hinsehen erkennen wir darin u. a. die bedeutungstragenden Einheiten Artikelnummer, Produktbezeichnung, Verkaufspreis. Mit den richtigen IT-Werkzeugen und der richtigen Portion krimineller Energie lassen sich diese einfach umschreiben: Aus einem Verkaufspreis von 299 Euro wird plötzlich einer von -299 Euro, in Kombination mit der Umbenennung der Produktbezeichnung als „Retoure“, „Reklamation“ oder schlicht „Gutschrift“ wird daraus genau das: eine Gutschrift. Wenn im weiteren Verarbeitungsprozess beim Händler keine Zwischenprüfung mehr erfolgt, wird diese Gutschrift ausgeführt. Für kleinere Onlinehändler kann so etwas existenzbedrohlich sein. IT Security kann das Risiko solcher Szenarien erheblich mindern.
Phishingattacken
Phishing geht zumeist mit der Trojanisierung des Rechners einher. Diese wird durch das Verschicken verseuchter Links per E-Mail realisiert. Erstellt werden diese mithilfe so genannter multi/handler, die im Framework Metasploit generiert werden können. Zusammen mit den Kenngrößen Payload (z. B. HTTPS oder Reverse TCP), digitale Zieladresse und Verbindungsparametern wird daraus ein Trojaner, der über eine fingierte Mailadresse verschickt werden kann. Das Fälschen von Absendeadressen ist dabei denkbar einfach, sofern es seitens des rechtmäßigen Inhabers keine Sicherheitsmaßnahmen gibt, um das zu unterbinden. Wenn die Plagiate glaubhaft gemacht sind, ist der Empfänger leicht verführt, diese zu öffnen und verseuchte Links oder Anhänge darin anzuklicken. Die einzigen Sicherheitsnetze, die dann noch bleiben, sind a.) eine generelle Sensibilisierung und Vorsicht beim Umgang mit dem Posteingang und b.) die Deaktivierung der Makros, damit Inhalte nicht automatisch ausgeführt werden, sondern erst auf ausdrücklichen Befehl/Klick des Empfängers. Aber selbst, wenn Antivirenscanner im Einsatz sind, sind Phishingmails inzwischen so intelligent, dass sie, solange sie noch auf Echtheit geprüft werden, sich nicht als Fälschungen zu erkennen geben. Haben sie sich erst am „Türsteher“ vorbeigeschummelt, kann der Angreifer verschiedene Angriffe durchführen, z. B. die Webcam des Getäuschten fernsteuern bzw. unbemerkt anschalten oder einen Keyscan mitlaufen lassen, um so Informationen mitzulesen, z. B. Passwörter auszuspähen oder zu dumpen.
Mathematik: Was ist rechnerisch ein sicheres Passwort?
Will man als Cyberkrimineller alle möglichen Kombinationen aus Buchstaben, Ziffern und Sonderzeichen durchrechnen, so muss man 728 Passwortvarianten durchprobieren. Das entspricht der Summe von 722204136308736 Kombinationen. Ist das Passwort nur einfach verschlüsselt (bspw. mit einem M5 Hash), kann ein ganz normaler Rechner heute etwa vier Milliarden davon pro Sekunde durchtesten. Wenn man ganze Rechner-Cluster dafür zur Verfügung hat, lässt sich diese „Fleißaufgabe“ innerhalb weniger Stunden erledigen.
Besteht das Passwort hingegen aus ganz normalen lexikalischen Begriffen statt aus Kombinationen von Buchstaben, Ziffern und Sonderzeichen, setzen wir folgende Rechnung an: Allein der deutsche Duden kennt eine Million Wörter. Etwa 5.000 davon tauchen im aktiven Sprachgebrauch der Menschen auf. Diese dienen uns als Basis. Nehmen wir nun an, das Passwort besteht aus 6 Wörtern, so rechnen wir 5.0006. Herauskommt dieses Ergebnis: 15625000000000000000000 Möglichkeiten. Selbst in Form eines Hashes ist diese Zahl sehr unwahrscheinlich zu knacken, so Stühler.
Sicherheitsrisiko Hardware
USB-Sticks: Handelsübliche USB-Sticks können präpariert sein. So können sie bspw. als Tastatur konfiguriert und mit einem Script verseucht sein, welches verschiedene Angriffsszenarien auf dem Rechner durchführen kann.
Funktastaturen: Funktastaturen können mithilfe eines so genannten Crazyradio PA aus der Ferne gesteuert werden. So können Angreifer in Abwesenheit des Nutzers dessen Rechner entsperren und dort ohne sein Wissen Aktionen durchführen, etwa E-Mails verschicken oder, schlimmer noch, Schadcode aus dem Netz herunterladen. Dazu müssen sie nicht einmal das Passwort entschlüsseln – sie lesen einfach die verschlüsselte Eingabe mit und wiederholen sie aus der Ferne. Die AES-Verschlüsselung der Funktastaturen ist somit eigentlich obsolet, weil unwirksam.
Presenter: Presenter für Präsentationsfolien haben die gleiche Schwachstelle wie Funktastaturen. Denn auch sie tätigen Tastatureingaben und sind deshalb ein leichtes Ziel für ähnliche Angriffsmuster.
Smartphones: Hier sind Mobile Apps beliebte Einfalltsore für Hacker. Selbst wenn man sie aus einem offiziellen Appstore herunterlädt, können es Schadprogramme sein. Denn obwohl alle Apps vom Storebetreiber geprüft werden, lassen sich die bösartigen unter ihnen dort einschleusen, indem der Schadcode einfach dynamisch nachlädt, wenn die App bereits auf einem Smartphone installiert wurde. Neben dem Abgreifen von Kontakten ist für Cyberkriminelle besonders insbesondere das Abhören des Nutzers interessant: durch das Belauschen von Audiodaten oder das Ausspionieren durch die eingebaute Kamera.
Sicherheitsrisiko drahtlose Verbindungen
Funk und Bluetooth: Die Schwachstelle der Funktastaturen ist, wie wir gesehen haben, ihre Reichweite. Es reicht, wenn der Angreifer in einem Auto vor dem Arbeitsplatz des Nutzers oder dessen Wohnsitz parkt und sein kriminelles Werk von dort verrichtet. Zum Vergleich: Bei Bluetooth müsste er dafür direkt neben dem Betroffenen stehen (5 Meter). Allerdings: Bluetooth lässt sich auch in kleine Geräten verpacken, z. B. in Armbanduhren. So lässt sich ein Angriff damit auch aus nächster Nähe durchführen.
WLAN: Sofern vom Nutzer nicht anders eingestellt, wählt sich ein Handy automatisch in das WLAN ein, an dem es schon einmal registriert war und in dessen Radius es sich befindet. Dazu sucht es unablässig nach Netzen und empfängt diese auch. Mit WiFi Pineapple beispielsweise lässt sich auslesen, welche Access Points in der Umgebung zur Verfügung stehen. Sind frei verfügbare darunter – WiFi oder die Hotspots der Deutschen Bahn – kann der Netzwerkverkehr der dort eingeloggten Handys ganz problemlos mitgelesen werden.
Fazit
Wir alle sind gehalten, uns informiert und umsichtig im digitalen Raum zu bewegen. Unternehmen mit erfolgs- und geschäftskritischen IT-Strukturen sei unbedingt geraten, IT Security groß zu schreiben. Der Mehraufwand, den das verursacht, steht in keinem Verhältnis zu dem Schaden, der entstehen kann, wenn man dies nicht tut. Lesen Sie hier mehr zum Thema IT Security und wie wir Sie dabei unterstützen können.
