Foto: Alina Isakovich - Fotolia.com
Angriffe auf Web-Server und die dahinter liegenden Netzwerke gibt es schon lange. In den letzten Monaten häufen sich jedoch die Meldungen über Einbrüche, bei denen nicht nur die Startseite des Web-Auftritts entstellt wird (was man als "Defacement" bezeichnet), sondern auch in großen Umfang Daten gestohlen werden. Zum Teil bekennen sich Hackergruppen zu den Angriffen und veröffentlichen als Nachweis die gestohlenen Daten.
Als Ausgangspunkt kann das Vorgehen staatlicher Stellen gegen WikiLeaks gelten. Mit WikiLeaks sympathisierende Hacker griffen daraufhin die Netzwerke von Unternehmen an, die ihre bis dahin für WikiLeaks erbrachten Dienstleistungen wie Cloud-Dienste und die Verwaltung von Bankkonten gesperrt hatten. Hinter dieser "Operation Payback" (Vergeltung) steckte eine Gruppe aus dem Umfeld des "4chan"-Forums, die sich "Anonymous" nennt.
Als Sony den Playstation-Hacker George "Geohot" Hotz verklagte, rief die Gruppe Anonymous eine "Operation Sony" aus. Eine ganze Reihe von DDoS-Angriffen (Distributed Denial of Service) auf Sony-Server machte diese im April 2011 wiederholt für einige Zeit unerreichbar. Bei Einbrüchen in Sony-Server wurden in große, Umfang Benutzerdaten gestohlen und veröffentlicht.
Seit Mai machte lange Zeit die dem Umfeld von Anonymous zugerechnete Gruppe "LulzSec" mit praktisch täglich neuen, scheinbar wahllosen Angriffen auf Unternehmens-Server von sich reden. Zunächst hatten sie sich an den Attacken gegen Sony beteiligt und offenbar Gefallen daran gefunden. Vor dem Rückzug in die schweigende Masse hat LulzSec mit Anonymous die "Operation Anti-Security" gestartet. Dabei sind Sicherheitsunternehmen und auch Regierungsnetzwerke angegriffen worden.
Im März 2011 sind Angreifer bei dem Sicherheitsunternehmen RSA eingebrochen und haben Unternehmensdaten gestohlen. Darunter sollen auch interne Informationen über die RSA-Token ("SecureID") erbeutet worden sein, die in sicherheitsbewussten Unternehmen und Behörden als Zugangsschlüssel für Rechnersysteme dienen (Zwei-Faktor-Authentifizierung). Mit diesen Informationen haben die Angreifer die Möglichkeit erhalten solche Token zu klonen und sind so in US-Rüstungsunternehmen eingebrochen.
Die Motivation
Bei der Frage, welche Motivation hinter diesen und ungezählten weiteren Cyber-Attacken steht, gilt es zunächst unterschiedliche Angreifergruppen zu unterscheiden. Da sind einerseits politisch motivierte Aktivisten, die sich gegen die restriktiver werdende Netzpolitik westlicher Regierungen, gegen die Unterdrückung in totalitären Staaten und gegen Unternehmen wenden, die Urheberrechtsverletzungen verfolgen.
Sie wollen öffentliche Aufmerksamkeit erreichen, ähnlich wie Demonstranten, die sich etwa an Sitzblockaden vor Atomkraftwerken beteiligen. Ihre Aktionen werden zum Teil von einer "Spaß-Fraktion" unterstützt, die solche Angriffe nur ausführt, weil es für sie einen gewissen Reiz darstellt in vermeintlich sichere Netzwerke einzubrechen.
Dem gegenüber steht eine ganz anders strukturierte und motivierte Tätergruppe, die mehr oder weniger organisierte Online-Kriminalität . Deren Interesse erschöpft sich darin, möglich leicht möglichst viel Geld zu ergaunern. Bei Server-Einbrüchen gestohlene Daten werden an Interessierte weiterverkauft, die damit Konten plündern und Online-Shopping auf Kosten anderer betreiben. Diese Täter haben naturgemäß keinerlei Interesse an öffentlicher Aufmerksamkeit. Sie wollen vielmehr so lange es geht unentdeckt bleiben.
Dies gilt auch für eine weitere Kategorie der Cyber-Angreifer, denen es um Militär- und Wirtschaftsspionage geht. Dahinter stecken zumindest teilweise Regierungsstellen, etwa Geheimdienste, zumindest als Auftraggeber. Bei ihren Angriffen auf Rüstungsunternehmen oder Einrichtungen anderer Regierungen gibt es, sofern sie überhaupt bekannt werden, keinerlei Bekennerschreiben.
So unterschiedlich die Motivation der Tätergruppen ist, so verschieden sind auch die eingesetzten Angriffsmethoden. Wer aus Protest, zum Vergnügen oder zwecks Erpressung Web-Server lahm legen will, benötigt keine Hacker-Kenntnisse. Hier genügen einfache, für Script-Kiddies geeignete Tools, die es einsatzbereit vorkonfiguriert zum Download gibt.
Dazu zählt etwa die Open Source Software "Low Orbit Ion Cannon" (LOIC), die als Stresstest für Netzwerke gedacht ist. Damit penetriert der Angriffsrechner ein Zielsystem, indem er es mit einer Flut von Anfragen überschüttet. Kann ein derart angegriffener Web-Server die Last nicht mehr verarbeiten, ist er für normale Anfragen nicht mehr erreichbar. Ein gemeinsamer, koordinierter Angriff mehrerer Rechner wird als "Distributed Denial of Service" (DDoS) bezeichnet. Eine LOIC-Variante wurde auch bei der "Operation Payback" eingesetzt.
Wer hingegen in ein Computer-Netzwerk einbrechen will, um Daten zu stehlen oder um es als Malware-Plattform zu missbrauchen, sucht nach ausnutzbaren Sicherheitslücken in der auf dem Server eingesetzten Software. Eine typische Angriffsmethode dieser Art ist "SQL-Injection". Der Angreifer nutzt aus, dass Datenbankabfragen, die aus Benutzereingaben resultieren, nicht immer ausreichend gefiltert werden. So können Befehle bis zum Server durchdringen, die dem Angreifer letztlich Tür und Tor öffnen. LulzSec hat angegeben, sie wären mittels SQL-Injection bei Sony eingedrungen.
Die Mittel
Im Bereich der Online-Kriminalität wie auch bei staatlicher oder industrieller Cyber-Spionage kommen auch noch weitaus subtilere Mittel zum Einsatz. So werden etwa bis dahin nicht allgemein bekannte Sicherheitslücken in Anwendungen ausgenutzt, um mit präparierten Dateien Code einzuschleusen. So ist etwa der Angriff auf RSA mit einem präparierten Excel-Dokument gestartet worden, das per Mail gezielt an einige Mitarbeiter geschickt wurde. Ein anderer Angriffsvektor können verseuchte USB-Sticks sein, die als Werbegeschenke verteilt werden.
Öffnet ein Empfänger eine solche Datei mit einer anfälligen Software-Version oder schließt den geschenkten USB-Stick an einen Firmen-PC an, wird ein Trojanisches Pferd installiert, das in dem Dokument enthalten ist oder aus dem Web herunter geladen wird. Der Schädling sammelt Daten, um sie an einen Server im Internet zu senden oder führt, wie etwa "Stuxnet", Sabotageaktionen aus, wenn er im Zielsystem angekommen ist.
Es ist nicht bekannt, wie viele Angriffe gestartet werden und wie hoch die Erfolgsquote ist. Die Zahl der gescheiterten Angriffe liegt praktisch völlig im Dunkeln. Doch die Anzahl der bekannt gewordenen erfolgreichen Cyber-Attacken ist erschreckend hoch, sodass sich die Frage stellt, ob es wirklich so einfach ist in Unternehmensnetzwerke einzudringen -- und wenn ja, warum.
Erfolgreiche Hackerangriffe werden schon allein durch die Tatsache erleichtert, dass von immer mehr Firmen und Organisationen immer mehr Daten im Internet erhoben und gesammelt werden. Diese sowie weitere Daten sollen jederzeit via Internet zu Verfügung stehen -- nicht für jedermann, sondern eigentlich nur für Befugte.
Der Schutz vor unbefugten Zugriffen auf schützenswerte Daten erfolgt nur zu oft lediglich durch traditionelle Sicherheitssysteme wie Firewalls und Passwortabfragen. Doch IT-Sicherheit ist kein einmal erreichter Zustand, sondern ein fortwährender Prozess. Wenn sich vermeintlich bewährte Schutzmaßnahmen als löchrig erweisen, muss ein Unternehmen Geld für robustere Systeme in die Hand nehmen. Dies geschieht jedoch oft nur zögerlich.
Das Zeitfenster
Die Erhaltung und Verbesserung eines gewissen Schutzniveaus erfordert zudem gut ausgebildetes Personal, dessen Kenntnisse durch regelmäßige Schulungen auf dem aktuellen Stand gehalten werden müssen. Fehlt es an qualifizierten Administratoren, unterbleibt etwa das regelmäßige Einspielen von Sicherheits-Updates oder erfolgt das nur mit zu großem Verzug, dann bleibt für die Angreifer ein ausreichendes Zeitfenster offen, um einen erfolgreichen Angriff zu starten. Zudem werden Updates nur für die wichtigsten Programme installiert, vermeintlich unwichtige Tools bleiben unberücksichtigt. Hier sind Angreifer dann oft erfolgreich.
So sind zum Beispiel die Angriffe auf Sony-Server deshalb so erfolgreich gewesen, weil die bei dem Milliardenkonzern eingesetzte Software veraltet, ungepflegt und fehlerhaft war. Der Einbruch bei der deutschen Bundespolizei wiederum wurde möglich, weil dort für den Downloadserver mit XAMPP ein kostenloses Softwarepaket verwendet wurde, das keinesfalls für den Produktiveinsatz gedacht ist. Auch hier wurde also am falschen Ende gespart. Banken wiederum wollen Kosten einsparen und verlagern ihre Dienstleistungen immer mehr ins Internet, um Filialen schließen zu können. Die mit Geldautomaten und Online-Banking einher gehenden Verluste werden lieber klein geredet und geschluckt, so lange sie die Einsparungen nicht wieder auffressen.
Gibt es Sicherheit zu 100 Prozent?
Völlig sichere IT-Systeme, mit denen auch noch gearbeitet werden kann, gibt es nicht und wird es wohl auch nie geben. Computer werden von Menschen entwickelt, gebaut und programmiert - Menschen machen Fehler, Computer demzufolge auch. Doch das ist kein Grund nicht das Mögliche zu tun, um sensible Daten vor unbefugten Zugriffen zu schützen. Die Krux liegt in der Frage, welcher Aufwand angemessen ist. Die Erfahrung lehrt, dass ein wenig mehr als scheinbar nötig gerade ausreichend sein kann. (PC-Welt)