Hacker-Attacken: Wer macht sie und wie funktionieren sie? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


10.08.2011 Frank Ziemann*

Hacker-Attacken: Wer macht sie und wie funktionieren sie?

Das Jahr 2011 ist auf dem besten Weg zum Jahr der Cyber-Angriffe auf die Netzwerke von Unternehmen und Behörden zu werden. Beinahe täglich werden neue Einbrüche in Unternehmensnetze gemeldet. Doch wer steckt dahinter und welche Absichten verfolgen die Angreifer?

Angriffe auf Web-Server und die dahinter liegenden Netzwerke gibt es schon lange. In den letzten Monaten häufen sich jedoch die Meldungen über Einbrüche, bei denen nicht nur die Startseite des Web-Auftritts entstellt wird (was man als "Defacement" bezeichnet), sondern auch in großen Umfang Daten gestohlen werden. Zum Teil bekennen sich Hackergruppen zu den Angriffen und veröffentlichen als Nachweis die gestohlenen Daten.

Als Ausgangspunkt kann das Vorgehen staatlicher Stellen gegen WikiLeaks gelten. Mit WikiLeaks sympathisierende Hacker griffen daraufhin die Netzwerke von Unternehmen an, die ihre bis dahin für WikiLeaks erbrachten Dienstleistungen wie Cloud-Dienste und die Verwaltung von Bankkonten gesperrt hatten. Hinter dieser "Operation Payback" (Vergeltung) steckte eine Gruppe aus dem Umfeld des "4chan"-Forums, die sich "Anonymous" nennt.

Als Sony den Playstation-Hacker George "Geohot" Hotz verklagte, rief die Gruppe Anonymous eine "Operation Sony" aus. Eine ganze Reihe von DDoS-Angriffen (Distributed Denial of Service) auf Sony-Server machte diese im April 2011 wiederholt für einige Zeit unerreichbar. Bei Einbrüchen in Sony-Server wurden in große, Umfang Benutzerdaten gestohlen und veröffentlicht.

Seit Mai machte lange Zeit die dem Umfeld von Anonymous zugerechnete Gruppe "LulzSec" mit praktisch täglich neuen, scheinbar wahllosen Angriffen auf Unternehmens-Server von sich reden. Zunächst hatten sie sich an den Attacken gegen Sony beteiligt und offenbar Gefallen daran gefunden. Vor dem Rückzug in die schweigende Masse hat LulzSec mit Anonymous die "Operation Anti-Security" gestartet. Dabei sind Sicherheitsunternehmen und auch Regierungsnetzwerke angegriffen worden.

Im März 2011 sind Angreifer bei dem Sicherheitsunternehmen RSA eingebrochen und haben Unternehmensdaten gestohlen. Darunter sollen auch interne Informationen über die RSA-Token ("SecureID") erbeutet worden sein, die in sicherheitsbewussten Unternehmen und Behörden als Zugangsschlüssel für Rechnersysteme dienen (Zwei-Faktor-Authentifizierung). Mit diesen Informationen haben die Angreifer die Möglichkeit erhalten solche Token zu klonen und sind so in US-Rüstungsunternehmen eingebrochen.

TÄTERARTEN UND MOTIVATION Bei der Frage, welche Motivation hinter diesen und ungezählten weiteren Cyber-Attacken steht, gilt es zunächst unterschiedliche Angreifergruppen zu unterscheiden. Da sind einerseits politisch motivierte Aktivisten, die sich gegen die restriktiver werdende Netzpolitik westlicher Regierungen, gegen die Unterdrückung in totalitären Staaten und gegen Unternehmen wenden, die Urheberrechtsverletzungen verfolgen.

Sie wollen öffentliche Aufmerksamkeit erreichen, ähnlich wie Demonstranten, die sich etwa an Sitzblockaden vor Atomkraftwerken beteiligen. Ihre Aktionen werden zum Teil von einer "Spaß-Fraktion" unterstützt, die solche Angriffe nur ausführt, weil es für sie einen gewissen Reiz darstellt in vermeintlich sichere Netzwerke einzubrechen.

Dem gegenüber steht eine ganz anders strukturierte und motivierte Tätergruppe, die mehr oder weniger organisierte Online-Kriminalität . Deren Interesse erschöpft sich darin, möglich leicht möglichst viel Geld zu ergaunern. Bei Server-Einbrüchen gestohlene Daten werden an Interessierte weiterverkauft, die damit Konten plündern und Online-Shopping auf Kosten anderer betreiben. Diese Täter haben naturgemäß keinerlei Interesse an öffentlicher Aufmerksamkeit. Sie wollen vielmehr so lange es geht unentdeckt bleiben.

Dies gilt auch für eine weitere Kategorie der Cyber-Angreifer, denen es um Militär- und Wirtschaftsspionage geht. Dahinter stecken zumindest teilweise Regierungsstellen, etwa Geheimdienste, zumindest als Auftraggeber. Bei ihren Angriffen auf Rüstungsunternehmen oder Einrichtungen anderer Regierungen gibt es, sofern sie überhaupt bekannt werden, keinerlei Bekennerschreiben.

JEDER ZWECK HAT SEINE MITTEL So unterschiedlich die Motivation der Tätergruppen ist, so verschieden sind auch die eingesetzten Angriffsmethoden. Wer aus Protest, zum Vergnügen oder zwecks Erpressung Web-Server lahm legen will, benötigt keine Hacker-Kenntnisse. Hier genügen einfache, für Script-Kiddies geeignete Tools, die es einsatzbereit vorkonfiguriert zum Download gibt.

Dazu zählt etwa die Open Source Software "Low Orbit Ion Cannon" (LOIC), die als Stresstest für Netzwerke gedacht ist. Damit penetriert der Angriffsrechner ein Zielsystem, indem er es mit einer Flut von Anfragen überschüttet. Kann ein derart angegriffener Web-Server die Last nicht mehr verarbeiten, ist er für normale Anfragen nicht mehr erreichbar. Ein gemeinsamer, koordinierter Angriff mehrerer Rechner wird als "Distributed Denial of Service" (DDoS) bezeichnet. Eine LOIC-Variante wurde auch bei der "Operation Payback" eingesetzt.

Wer hingegen in ein Computer-Netzwerk einbrechen will, um Daten zu stehlen oder um es als Malware-Plattform zu missbrauchen, sucht nach ausnutzbaren Sicherheitslücken in der auf dem Server eingesetzten Software. Eine typische Angriffsmethode dieser Art ist "SQL-Injection". Der Angreifer nutzt aus, dass Datenbankabfragen, die aus Benutzereingaben resultieren, nicht immer ausreichend gefiltert werden. So können Befehle bis zum Server durchdringen, die dem Angreifer letztlich Tür und Tor öffnen. LulzSec hat angegeben, sie wären mittels SQL-Injection bei Sony eingedrungen.

Im Bereich der Online-Kriminalität wie auch bei staatlicher oder industrieller Cyber-Spionage kommen auch noch weitaus subtilere Mittel zum Einsatz. So werden etwa bis dahin nicht allgemein bekannte Sicherheitslücken in Anwendungen ausgenutzt, um mit präparierten Dateien Code einzuschleusen. So ist etwa der Angriff auf RSA mit einem präparierten Excel-Dokument gestartet worden, das per Mail gezielt an einige Mitarbeiter geschickt wurde. Ein anderer Angriffsvektor können verseuchte USB-Sticks sein, die als Werbegeschenke verteilt werden.

Öffnet ein Empfänger eine solche Datei mit einer anfälligen Software-Version oder schließt den geschenkten USB-Stick an einen Firmen-PC an, wird ein Trojanisches Pferd installiert, das in dem Dokument enthalten ist oder aus dem Web herunter geladen wird. Der Schädling sammelt Daten, um sie an einen Server im Internet zu senden oder führt, wie etwa "Stuxnet", Sabotageaktionen aus, wenn er im Zielsystem angekommen ist.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr

Hosted by:    Security Monitoring by: