7. April 2023 Hacking oder die Kunst, Sicherheitslücken in Systemen zu finden: ein Überblick

Beim Hacking verschaffen sich unautorisierte Personen Zutritt zu geschützten IT-Systemen. Nicht immer müssen kriminelle Absichten dahinterstecken. Welche Methoden dabei zum Einsatz kommen können, erklärt der Cybersecurity-Experte Joe Pichlmayr im Interview.

Immer wieder sorgen Cyberangriffe auf große Unternehmen und Behörden weltweit für Schlagzeilen. Sind Anwendungen betroffen, die millionenfach im Alltag verwendet werden, beginnt ein Wettlauf gegen die Zeit. Bei sogenannten Zero-Day-Attacken dringen Angreiferinnen und Angreifer in ein IT-System ein, indem sie Sicherheitslücken ausnützen, die dem Hersteller bisher unbekannt waren.

In manchen Fällen sind sogenannte Black Hats am Werk, also kriminelle Hackerinnen und Hacker, die sich oder andere persönlich bereichern wollen. Im Unterschied dazu verfolgen „White Hats“ gute Absichten – indem sie Sicherheitslücken aufspüren und die Verantwortlichen darüber informieren, machen sie das Netz sicherer. Im Graubereich sind sogenannte Grey Hats unterwegs. Sie hacken sich zwar in fremde Systeme, verfolgen dabei jedoch keine kriminellen Ziele.

IT-Hacking im Überblick: ein Interview

Im Interview erklärt Joe Pichlmayr, Cybersecurity-Experte und Geschäftsführer von IKARUS Security Software, vor welchen Gefahren sich Userinnen und User schützen sollten, wie sie das mit überschaubarem Aufwand tun können und warum der Schutz vor Cyberangriffen ein Katz-und-Maus-Spiel bleibt.

Was ist grundsätzlich unter Hacking zu verstehen?
Joe Pichlmayr: Den Begriff Hacking kann man sehr weit fassen. Wenn ein kleines Kind etwa sein Spielzeug zerlegt, ist das eine Form von Hacking, weil das Kind verstehen möchte, wie etwas funktioniert. Im IT-Bereich kann das zum Beispiel ein Computerprogramm sein, ein Online-Service, ein Webserver, eine App oder auch eine Hardware.

Warum nehmen wir Hacking meist als negativ wahr?
Pichlmayr: Weil das Thema in den Medien meist negativ konnotiert ist. Solche Schlagzeilen generieren Klicks, weil sich die Menschen dafür interessieren. Auch wenn es viel mehr Menschen gibt, die für das Gute hacken, hat das Böse nun mal die bessere Publicity. Das heißt, wir merken uns viel eher die spektakulären Hacks, die Firmen zum Erliegen bringen, als wenn jemand dazu beiträgt, eine Sicherheitslücke zu schließen, und damit unser aller Leben sicherer macht. Auch die Furcht, Schaden durch Cyberangriffe zu erleiden, spielt natürlich eine Rolle.

Welche Art von Hackerangriffen ist für Userinnen und User besonders relevant?
Pichlmayr: Die häufigsten Angriffe, die wir derzeit feststellen, sind Social-Engineering-Angriffe. Diese können in vielen Formen auftreten, darunter Phishing-E-Mails, Telefonbetrug oder das Ködern mit „verlorenen“ USB-Sticks, was als Baiting bezeichnet wird.

Phishing dient der Angreiferin oder dem Angreifer dazu, an Zugangsdaten wie etwa Passwörter zu gelangen. Was wir auch sehr oft sehen, sind sogenannte Ransomware-Attacken, wo Betroffene E-Mails erhalten, die ihnen plausibel darlegen, dass sie gehackt wurden. Aus Angst sind viele bereit zu zahlen, obwohl sie gar nicht Opfer eines Hackerangriffs geworden sind. Das ist clever gemachtes Social Engineering.

Alle diese Techniken beruhen darauf, dass Benutzer dazu verleitet werden, sensible Informationen preiszugeben oder ihre eigene Sicherheit zu gefährden. Benutzer können sich schützen, indem sie wachsam und vorsichtig sind, welche E-Mails sie öffnen, auf welche Links sie klicken und welche Informationen sie preisgeben.

Wie schleusen sich Hackerinnen und Hacker in fremde Systeme?
Pichlmayr: Es gibt viele Möglichkeiten, Sicherheitsmaßnahmen zu umgehen, ganz gleich, ob es sich um eine Firewall oder eine andere Barriere handelt. Etwa weil die Sicherheitsmaßnahme nicht sauber implementiert ist oder selbst eine Sicherheitslücke hat, die ausgenützt werden kann. Aber viel häufiger gelingt es Hackerinnen und Hackern, den Menschen hinter dieser Barriere oder Firewall eine gute Geschichte zu erzählen. Und mit einem Klick auf einen Link oder einen bösartigen E-Mail-Anhang werden sie hereingebeten.

Die unspektakuläre Wahrheit ist, dass weit über 99 Prozent aller Hacks ganz einfach sind. Sie funktionieren, weil wir Menschen Fehler machen und unsere Systeme nicht korrekt gewartet werden. Oder weil wir leicht hinters Licht zu führen sind und auf Tricks und Betrügereien reinfallen.

Hackerinnen und Hacker können aber über beachtliche Fähigkeiten und Werkzeuge verfügen. Nicht mehr trivial und hochwirksam sind etwa Man-in-the-Middle-Attacken. Bei sogenannten SQL-Injection-Angriffen werden Schwachstellen im Code einer Website ausgenutzt, um etwa auf die dahinter liegende Datenbank zugreifen zu können.

Jene Hacks, die es in die Zeitungen schaffen, weil eine sichere Umgebung ausgetrickst wurde, sind selten. Das hat damit zu tun, dass sie viel Geld kosten und sehr aufwendig sind. Da braucht es meist entweder einen staatlichen Akteur oder zumindest jemanden, der in der Lage ist, diese Ressourcen aufzubringen.

Gibt es auch Angriffe, die ohne Aktivwerden der Opfer erfolgen können?
Pichlmayr: Das wären zum Beispiel Angriffe, bei denen große Webservicebetreiber gehackt und meine Zugangsdaten wie Username und Passwort gestohlen werden. Dann wäre ich plötzlich damit konfrontiert, dass eine Angreiferin oder ein Angreifer auf meine Daten zugreifen und vielleicht sogar in mein Unternehmensnetzwerk eindringen kann.

Hacks, bei denen etwa aus der Ferne ein Smartphone oder ein PC angegriffen wird, ohne dass man irgendwas tut, gibt es natürlich auch. Diese sind aber so teuer, dass sie gegen einfache Privatpersonen eher nicht eingesetzt werden. Bei speziellen Anforderungen muss das Ziel sehr lohnenswert sein, da für solche Attacken Systeme und Infrastrukturen aufgebaut werden müssen. Jeder Hacking-Angriff ist einer gewissen Ökonomie unterworfen.

Wie können sich Userinnen und User gegen Cyberangriffe schützen?
Pichlmayr: Im Wesentlichen sind Sie auf der sicheren Seite, wenn Ihre Systeme und Antivirenprogramme up to date sind und keine uralten Softwarekomponenten verwendet werden. Achten Sie außerdem darauf, dass Sie Ihre Passwörter regelmäßig ändern und mit niemandem teilen („Zahnbürsten-Regel“).

Die Qualität Ihrer Passwörter sollte natürlich auch passen. Dabei können Sie zum Erstellen und Verwalten von Passwörtern einen Passwort-Manager verwenden. Aktivieren Sie außerdem, wo immer möglich, die Zwei-Faktor-Authentifizierung, um Ihre Konten effektiv durch eine zusätzliche Sicherheitsebene zu schützen.

Sichern Sie zu guter Letzt regelmäßig Ihre Daten, machen Sie also Backups, um im Fall der Fälle weiterarbeiten zu können. Diese Verhaltensregeln sind jederzeit – mit sehr geringem Aufwand für Sie – möglich.

Was sind DoS-Attacken und welchen Zweck verfolgen sie?
Pichlmayr: Eine DoS-Attacke (Denial of Service) ist nichts anderes als die gezielte Überlastung eines IT-Systems. Solange Informationen der Reihe nach und kontrolliert ankommen, kann ein System diese verarbeiten. Wenn plötzlich zu viele Informationen gleichzeitig eintreffen, wird der Server überlastet und es kommt zu Verzögerungen oder überhaupt zum Einbruch des Systems. Nachdem unsere Abhängigkeit von IT- Systemen immer größer wird, ist es für Angreiferinnen und Angreifer einfach, Unternehmen derart zu erpressen. Wenn die Verantwortlichen nicht zahlen, werden die Systeme überlastet und gehen offline. Dadurch verliert das Unternehmen viel Geld.

Ist es aus Sicht der Userinnen und User sinnvoll, sich mit zusätzlicher Software zu schützen? Wenn ja, welche Empfehlungen haben Sie?
Pichlmayr: Microsoft Defender ist ganz gut. Wer zusätzlichen Schutz haben möchte, kann auf eine Reihe verschiedener Lösungsanbieter für EDR-Systeme (Endpoint Detection and Response) zurückgreifen. Das setzt allerdings eine gewisse technische Affinität voraus, da die Alarme richtig interpretiert werden sollten. Wenn man die drei Grundregeln beherzigt, nämlich die Systeme up to date zu halten, aktuelle Virenscanner zu verwenden und darauf zu achten, dass die eigenen Daten auf externen Datenträgern oder in der Cloud gesichert sind, dann kommt man im Fall der Fälle mit einem blauen Auge davon.

Was sollten Besitzerinnen und Besitzer von iOS-Geräten beziehungsweise Android-Geräten besonders beachten?
Pichlmayr: Apple verfolgt ein anderes Sicherheitskonzept als Google mit Android. Die Angriffe, die wir gegen Nutzerinnen und Nutzer von iPhone oder iPad sehen, laufen primär auf der Ebene des Social Engineering ab, indem also Anwenderinnen und Anwender überlistet werden. Angriffe gegen das Betriebssystem oder iOS-gestützte Apps sind extrem schwierig.

Bei Android ist das ein bisschen anders, weil es sich um ein offenes System handelt und Apps einfach über den Google Play Store geladen werden können. Dabei ist Vorsicht geboten, grundsätzlich gilt die Regel „Weniger ist mehr“: Alle Apps, die ich nicht brauche, lösche ich wieder. Das schont nicht nur meine Batterie, sondern verhindert auch, dass Daten von meinem Handy abgezogen werden können. Wenn ich mir das nicht schon längst zur Gewohnheit gemacht habe, sollte ich mich außerdem mit der Zwei-Faktor-Authentifizierung anfreunden. Das ist letztlich der effizienteste Weg, um meine digitale Identität im Netz vor Angriffen zu schützen.

Durch die Vernetzung smarter Geräte wächst auch die Angriffsfläche von IT-Systemen. Sind vernetzte Infrastrukturen wie Smart Homes oder Smart Cities lohnenswerte Ziele für Cyberangriffe?
Pichlmayr: Ja. Eine der größten Herausforderungen für uns als Gesellschaft besteht darin, dass wir zunehmend vom Netz abhängen, da wir all die Vorteile und Möglichkeiten nutzen, die aus dieser digitalen Transformation entspringen. Ob Smartphone, Smart TV, intelligenter Kühlschrank oder intelligentes Auto – diese Gadgets sind essenzieller Bestandteil unseres Lebens und haben eine Reihe von Vorteilen. Zu den Nachteilen zählt, dass sich solche Geräte auch hacken lassen und ein solcher Angriff vielleicht einen ganz anderen Impact hat, als wenn nur ein einzelner PC mit dem Internet verbunden ist. Deswegen werden wir mit Sicherheit auch immer mehr Angriffe gegen IoT-Devices (Internet of Things) und Smart-Home-Infrastrukturen erleben.

Gibt es Sicherheitskonzepte, die mit dieser Entwicklung Schritt halten können?
Pichlmayr: Es ist ein Katz-und-Maus Spiel. Jede Maßnahme, die unsere Systeme schützen soll, führt dazu, dass die Angreiferin oder der Angreifer noch höher springt, noch tiefer gräbt oder sich andere Wege überlegt, wie sie oder er zum Ziel gelangt. Das ist wie ein physikalisches Prinzip.

Welchen Beitrag könnte die Förderung von „digitaler Kompetenz“ leisten?
Pichlmayr: Sich digitale Kompetenz anzueignen ist etwas, das ich jedem Menschen nur ans Herz legen kann. Das betrifft ja nicht nur meine Sicherheit, sondern auch meine Möglichkeiten. Es gibt tolle Dienste im Netz, und um diese bestmöglich für mich zu nutzen, muss ich über digitale Kompetenz verfügen. Das hat viel mit lebenslangem Lernen zu tun. Wenn man sich damit auseinandersetzt, bemerkt man schnell, dass das nicht nur mühsam und anstrengend ist, sondern auch unglaublich viel Spaß macht.