Hacker bekämpfen

Sie werden gehackt - jetzt gerade! Tun Sie etwas!

19.10.2016
Von David Geer und


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Haben Sie das Gefühl, dass sich jemand in Ihren Systemen und Netzen herumtreibt, der da nichts zu suchen hat? Dann unternehmen Sie etwas dagegen. Wir zeigen, wie.

Wenn es staatliche Geheimdienste oder besonders durchtrieben-intelligente Hacker auf Sie abgesehen haben, werden Sie davon nichts mitbekommen - zumindest zunächst einmal nicht. Sie forschen Sie leise und langsam aus und starten ihre Angriffsmanöver mit chirurgischer Präzision, um Ihnen Ihren Datenschatz zu entreißen. Die meisten dieser Angreifer wissen genau, wie sie sich zu verhalten haben, damit sie unbeobachtet bleiben - und ab wann es besser ist, sich zu erkennen zu geben, weil sie dann von Ihrer Panik noch weiter profitieren können.

Professionelle Hacker verschleierten ihre Präsenz in sensiblen Bereichen von Unternehmens- und Behördennetzen zunächst, um sich dann später ganz bewusst zu erkennen zu geben, um ein bestimmtes Ziel zu erreichen, erklärt Danny Rogers, CEO beim Data-Intelligence-Anbieter Terbium Labs. Aber selbst wenn sie den Angegriffenen spüren ließen, dass es gibt, bewahrten sie sich so viel Verborgenheit wie möglich, um auch für künftige Aktionen ausreichend unerkannt zu bleiben. Rogers: "Wenn sie Ihre Arbeit gut machen, wie sollen wir dann überhaupt wissen, dass sie da sind?" Viele bekannt gewordene Fälle zeigen: Angreifer halten sich häufig Monate, gar Jahre in Unternehmensnetzen auf, ohne dass es auch nur den leisesten Verdacht gibt.

Hacker in Unternehmen: Einmal drin, immer drin

Staatlich unterstützte Hacker und andere Kriminelle hätten ihre Opfer in der Vergangenheit auf sehr effiziente Weise ausgespäht, berichtet Todd Inskeep, Mitglied des Advisory Board der RSA Conference, der weltgrößten IT-Sicherheitskonferenz. So seien schon früh Trojaner und Backdoors in Systeme eingeschleust worden, um diese dann immer und immer wieder infiltrieren zu können.

Diese Spähaktionen wurden zunehmend ausgefeilter und raffinierter - dank Command-and-Control-Servern (C&C) ließen sich Systeme heute leicht aus der Ferne manipulieren, Backdoors systemübergreifend installieren, Accounts fälschen und Sensoren einbauen, um bestimmte Dateien aufzuspüren und zu sammeln, erklärt Inskeep.

Command-and-Control-Server funktionieren, indem sie Daten von infizierten Systemen zugeschickt bekommen, die sich über den ausgehenden Netzwerkverkehr mit dem Internet verbinden. Das funktioniert, weil Netzwerksicherheit vom Grundprinzip her immer den eingehenden Datenverkehr berücksichtigt, nicht den ausgehenden. Hacker können nun viele Trojaner in verschiedenartige Systeme einpflanzen, weil sie sie mit vorhandenen Applikationen und Programm-Updates verbinden. Sobald die Angreifer die Kontrolle über ein System besitzen, das Login-Daten erzeugt, können sie beliebig viele davon erstellen. Solange die bestehenden Security-Kontrollen nichts mitbekommen und das verhindern, ist ein Zugriff über die neu erstellten Daten später weiterhin möglich, selbst wenn der ursprüngliche Schädling erfolgreich entfernt wurde.

Die Realität sieht meist genau gegenteiligi aus als auf diesem Bild: Talentierte Hacker greifen Sie an, ohne dass Sie etwas davon merken.
Die Realität sieht meist genau gegenteiligi aus als auf diesem Bild: Talentierte Hacker greifen Sie an, ohne dass Sie etwas davon merken.
Foto: Rawpixel.com - shutterstock.com

Hacker-Datenbanken und Sensoren im Code

Bei den erwähnten Sensoren handelt es sich nicht um die "klassische" Art kleiner Messgeräte, wie man vielleicht meinen könnte: "Sensoren können Codeschnipsel in Programmen sein, die in bestimmten Situationen eine Nachricht an die Angreifer senden - vergleichbar mit Cronjobs, die zu definierten Ereignissen im Hintergrund ablaufen - oder etwas anderes, dass dem Hacker ein Signal gibt, dass sich etwas im Netz oder System geändert hat", erläutert Inskeep.

Auf diese Art und Weise funktionieren alle Advanced Persistens Threats (APTs), die abwarten und beobachten, bis der richtige Zeitpunkt gekommen ist. Hacker hegen und pflegen ihre Datenbank an gestohlenen Informationen und (möglichen) Angriffszielen wie einen persönlichen Schatz - je besser und umfangreicher, desto wertvoller.

Zur Startseite