Beiträge

In der öffentlichen Wahrnehmung sitzen sie in dunklen Stuben vor ihrem Computer. Sie lehnen in schwarzen Hoodies über ihrem Laptop und prellen Unschuldige um ihr Erspartes: Hacker. Doch was steckt tatsächlich hinter dem Computerhacker. Wie verschaffen sie sich Zugriff auf Rechner und Netzwerke und sind Hacker wirklich immer Kriminelle?

Hier geht es um den Begriff des Hackers, die Definition und die wichtigsten Persönlichkeiten. Und natürlich auch um die gängigsten Klischees und deren Entkräftung.

Der Computer gehört nicht zwangsläufig zum Hacker

Klischeebild eines Hackers

Der Begriff des Hackens hat inzwischen seine ursprüngliche Bedeutung in der Popkultur fast schon zurückgewonnen. Bei kreativen Lösungen und beim Tüfteln spricht man vom HackenZopfgummis als Kabelsortierer etwa sind ein Life-Hack.

Entsprechend ist der Begriff des Hackens auch älter als der des Computerhackers. Es geht beim Hacken eher darum, kreative Lösungen zu finden und Probleme zu lösen. Das können kleinere Probleme des Alltags sein, aber eben auch Sicherheitslücken in Programmen und Websites. Der Begriff ist eigentlich gleich mehrfach neutral besetzt, auch moralisch.

Hacker früher und heute

In den 1950er Jahren fanden Hacker dann im Computer ein neues Tool. Sie suchten sich Wege, die Programme und die Technik auszuloten. Mit der Einführung der Vernetzung und der Verbreitung des PC in Haushalten in den 1980er Jahren gewannen Hacker und die gesamte Hackerszene zunehmend an Bedeutung.

Durch das Sammeln privater Nutzer- und Bankdaten, das Aufbrechen von Sicherheitsmechanismen und das Knacken von Datenbanken von Websites oder Phishing bekam der Begriff eine negative Konnotation. Dabei ist der Sammelbegriff für diese Form der Internetkriminalität und den Cyber-Terrorismus eigentlich Cracker.

Phishing, Mal- und Ransomware – die kriminellen Methoden der Cracker

Hacker

Ein Hacker ist nicht zwangsläufig kriminell

In der Hackerszene ist man darauf bedacht, den Begriff des Hackers von dem des Crackers deutlich zu trennen. Angelehnt an den klassischen Western ist im Englischen auch von „White Hats“ und den böswilligen „Black Hats“ die Rede.

So sind es eben Cracker, die mit verschiedenen Formen der Cyberkriminalität versuchen, auf Computer von Nutzern Zugriff zu erhalten. Dies kann verschiedene Formen annehmen. Mal geht es nur darum, blanken Schaden anzurichten. In solchen Fällen werden Anhänge verschickt, welche Computer mit einem Virus infizieren und eine Nutzung unmöglich machen.

Solche Malware kann aber auch nach sensiblen Informationen wie Bankdaten oder persönlichen Fotos suchen oder aber den Computer als Geisel nehmen. Ransomware übernimmt den Rechner und macht eine Nutzung unmöglich, es sei denn der Nutzer zahlt ein Lösegeld.

Auch Phishing-Versuche wie falsche Warnungen zu Konten, Kreditkarten, PayPal oder Phishing-Versuche (wie der nigerianische Prinz) werden oft landläufig als Hacking bezeichnet. Allerdings sind solche Taktiken eher verpönt.

In der Hackerethik ist die verbreitete Sichtweise, dass ein Eindringen (auch böswilliges) in geschlossene Systeme so lange in Ordnung ist wie kein Schaden angerichtet wird.

Hacker und ihr Nutzen für Unternehmen

Große Unternehmen setzen auf Hacker. Start Ups wie Facebook und Google veranstalten regelmäßig sogenannte Hackathons. Hier probieren die Programmierer sich in langen Sessions aus und lassen ihre Kreativität arbeiten.

Auch im Sicherheitsbereich braucht die Industrie Hacker, ansonsten werden Sicherheitslücken am Computer oder in einem Programm eben erst dann bemerkt, wenn es zu spät ist. Wird eine Lücke frühzeitig entdeckt (entweder intern oder durch vergleichsweise harmlose Hacks), so kann sie geschlossen werde, ehe es wirklich zu spät ist.

Denn durch böswillige Hacks wie die massenhafte Erbeutung von Kreditkartendaten bei Sony, Brute Force-Attacken gegen Apples iCloud oder die vorgebliche Akquise von Nutzerdaten der Datingseite Ashley Madison können Unternehmen in ernsthafte Schwierigkeiten geraten. Mit dem Verlust des Kundenvertrauens geht schließlich auch ein finanzieller Verlust einher. Alleine deswegen sind „gesunde“ Hacks auch im wirtschaftlichen Interesse von Unternehmen.

Sind Hacker eine Gefahr für die moderne Informationswelt?

Hacking kann auch sinnvoll sein

Eine große Gefahr, die derzeit am Computer entsteht, und wirklich massive Auswirkungen auf unsere Informationslandschaft und die westliche Demokratie hat, hat mit Hacks nicht einmal etwas zu tunCyberangriffe wie die koordinierten Desinformationskampagnen vor den US-Wahlen fallen nicht unter die Kategorie Hacking. Plattformen wie Facebook und Twitter wurden nicht gehackt, sondern wie vorgesehen genutzt und so missbraucht.

Organisationen wie der deutsche CCC (Chaos Computer Club) haben sich sogar einer sehr deutlichen Ethik verschrieben. Und diese steht eigentlich im Sinne einer besseren Informationskultur und des Datenschutzes der Nutzer: weniger Überwachung, dafür mehr Information und Archivierung durch Verbreitung.

Die Entstehung von „Open Source“

Bereits in den 80ern entwickelte sich in den USA eine Open Source-Kultur, welche quelloffene Programme erstellte. Oder aber die Quellcodes von Programmen veröffentlichte. Daraus entstanden etwa die Betriebssysteme Linux, die Variante Ubuntu, die Photoshop-Alternative GIMP oder Open Office. Die Öffnung des zugrunde liegenden Codes ermöglichte es der Community, beständig Verbesserungen vorzunehmen und entzog die Programme einer zentralisierten Kontrolle. Zudem kann man Lücken und Fehler im Code schneller finden und ausmerzen.

Auch im Sinne einer Software-Archivierung ist die „Erbeutung“ von Programmen relevant, diese Form der Piraterie ist oftmals die einzige Möglichkeit der Erhaltung. Wenn Unternehmen ältere Programmversionen aus ihrem Angebot nehmen, verschwinden diese inzwischen ganz. Ohne physische Medien geht so ein Teil der Informationsgesellschaft verloren. Hacking und Piraterie sind hier – wenn auch nicht legal – die einzigen Wege eines schlüssigen Informationsverzeichnisses.

Hacking auf staatlicher Ebene

Die Guy Fawkes-Maske verbinden viele mit Hackern

Auch auf staatlicher Ebene werden indes Hacker eingesetzt, Deutschland zog mit einer Cyber-Initiative der Bundeswehr vor einigen Jahren erst etwas spät nach. Der Cyber-Terrorismus stellt eine reale Gefahr dar, die im großen Stile sensible Daten erbeuten kann und Infrastruktur wie Stromnetze gefährdet.

Staaten wie Nordkorea stehen seit längerem im Verdacht, durch Hacking an Bitcoin-Börsen eine unauffällige Finanzquelle zu unterhalten. Auch Russland unterhält mehrere Divisionen der Cyber-Kriegsführung. Die Gefahr ist also durchaus real, typisch für den Hacker und die klassische Ethik der Freiheit ist dies allerdings nicht.

Dies hat seit einigen Jahren sogar zu einer besonderen Kategorie unter Hackern geführt, den sogenannten Hacktivists. Diese Mischung aus Hackern und Aktivisten nutzen nichtautorisierte Zugriffe auf Systeme, um auf Missstände und Gefahren hinzuweisen oder gegen illegale Aktivitäten (auch von Regierungen) aufmerksam zu machen.

Die „Namen“ der Szene – einige der größten Hacker

Ein Bild, das immer wieder mit Hackern assoziiert wird, ist der Mann mit der Guy Fawkes-Maske, der am Rechner sitzt. Die Maske erlangte durch den Film „V for Vendetta“ Berühmtheit in der Popkultur und ist ein Symbol des Putsches, historisch bedingt durch den Kanonenpulverplot gegen das britische Parlament.

Die Maske steht außerdem in Verbindung zur Gruppe Anonymous, die seit den frühen 2000ern vage organisiert für soziale Gerechtigkeit steht bzw. stand. Anonymous sind eher digitale Whistleblower, die sich vor Jahren einen Streit mit Scientology lieferten.

Beispiele einzelner bekannter Hacker

Die meisten Hacker bleiben anonym

Einer der Urväter des Hackings ist der US-Amerikaner Kevin Mitnick, in den frühen 80ern hackte er sich ins nordamerikanische Verteidigungsnetzwerk NORAD, später verkaufte er Sicherheitslücken an Meistbietende.

Ein klassisches Beispiel für einen „White Hat“ ist der Amerikaner Adrian Lamo, der aufgrund seiner minimalistischen Ausrüstung und seines Auftretens mit nichts als einem Rucksack auch obdachloser Hacker genannt wurde. Lamo manipulierte etwa Presseartikel und kontaktierte seine Opfer, bisweilen beseitigte er den von ihm zugefügten Schaden sogar.

Deutlich gefährlicher wurde es etwa im Falle des Hackers ASTRA. Ein griechischer Mathematiker, dessen Identität nie öffentlich wurde, erbeutete Software und Datensätze zu Waffentechnologien, die er verkaufte – 2008 wurde er allerdings verhaftet.

Kein System ist sicher

Hacker rein moralisch zu beurteilen ist zu kurz gegriffen. Die teils legale, teils illegale und teils in der Grauzone befindliche Arbeit am Computer ist ein komplexes Feld. Deswegen sollte Hacking keinesfalls auf CyberkriminalitätPhishing und Trojaner reduziert werden.

Vielmehr geht es bei dem Begriff des Computerhackers – ohne Wertung – um die kreative Ausnutzung von Sicherheitslücken, Schwachstellen und Exploits (also ausnutzbaren Fehlern). Diese Denkweise ist, solange kein Schaden entsteht, wichtig für die Softwareoptimierung und die Sicherheit jedes Einzelnen am Computer.

Doch natürlich ist Hacking ein stetes Spannungsfeld zwischen Lausbubenstreich, Freiheitsstreben, böswilligen Angriffen und koordiniertem Aktivismus. Aber so ist dies natürlich nicht nur beim Computerhacking, sondern bei allen kreativen Strategien, die neue Prozesse zu erkunden suchen.

Sichere Passwörter zu generieren ist im Grunde nicht schwierig

Sichere Passwörter gehören heute zu den unabdingbaren Bestandteilen eines jeden Arbeitsalltags. Um den Zugang zu sensiblen Daten durch unbefugte Dritte zu verhindern, muss der Arbeitsplatz-PC durch ein Passwort angemessen geschützt sein. Sowohl die Geschäftsführung als auch Mitarbeiter in der oberen Management-Ebene müssen vor allem in diesem Bereich sorgsam und gewissenhaft arbeiten.

Nur wenigen Personen ist tatsächlich bewusst, welche Verantwortung sie für die Sicherheit tragen und welche Konsequenzen hieraus entstehen können. Bei Missbrauch oder fahrlässigem Umgang haften sie beispielsweise für alle entstandene Schäden. Es ist also wichtig, dass die IT-Abteilung für das gesamte Unternehmen ein angemessenes Sicherheitsniveau bei Passwörtern schafft. Geburtstage der Kinder oder der Name des eigenen Hundes müssen unbedingt der Vergangenheit angehören.

Passwörter sollten deshalb innerhalb eines Unternehmens definierten Richtlinien untergeordnet sein. Diese sollten von der Geschäftsführung abgezeichnet und an die Mitarbeiter kommuniziert sein. Ergänzend hierzu gibt ein paar wichtige Tipps, die Ihnen dabei helfen sollen, Passwörter noch sicherer zu gestalten und die Sicherheit der Daten zu sicherzustellen.

1. Sichere Passwörter besitzen mindestens acht Zeichen

Sichere Passwörter zu generieren ist im Grunde nicht schwierig

Sichere Passwörter schützen Ihre Daten

Die Verwendung von Geburtsdaten von Familienangehörigen gilt heute als einer der größten Fehler auf dem Gebiet von sicheren Passwörtern. Für speziell entwickelte Hacker-Programme ist es nur allzu leicht, derartige Zeichenkombinationen auszulesen und ihren „Auftraggeber“ weiterzuleiten. So genannte Brute-Force-Angriffe errechnen Zeichenkombinationen, sodass derart einfach gestaltete Passwörter nicht mehr länger ein Geheimnis sind.

Wissenschaftlich bewiesen ist hingegen, dass das Knacken von Zeichenkombinationen mit mehr als acht Zeichen einige hundert Jahre in Anspruch nehmen kann. Besteht die Zeichenkette darüber hinaus aus Klein- und Großbuchstaben sowie aus Zahlen und Sonderzeichen, erhöht sich der Schutz exponentiell.

Brute-Force-Attacken basieren auf der systematischen Suche nach der richtigen Zeichenkette durch die Variation von unterschiedlichen Passwortkombinationen. Ziel ist es, das Passwort zu knacken. Sind für die Passwörter lediglich fünf Zeichen durch den Anwender verwendet worden, erhöht sich die Gefahr durch diese Angriffe erheblich.

Es ist also von grundlegender Bedeutung, dass die IT-Abteilung eines Unternehmens Passwörter verlangt, die entsprechend lang und zudem variabel gestaltet sind, um sensible Daten bestmöglich vor Unbefugten zu schützen.

2. Verschiedene Zeichen eifrig mischen

Eine kreative und zugleich beliebige Mischung aus kleinen sowie großen Buchstaben, kann die Bedrohung durch Brute-Force-Attacken dramatisch zu Gunsten eines Unternehmens reduzieren. Mindestens achtstelligen Kombinationen aus Klein- und Großbuchstaben, Sonderzeichen sowie Zahlen lassen sich durch diese Programme nur über einen extrem langen Zeitraum von mehreren hundert Jahren ausspionieren, da schlichtweg zu viele Kombinationen in Frage kommen würden.

Wir können demnach ruhigen Gewissens festhalten, dass lange Passwörter Brute-Force-Angriffe enorm eindämmen können. Monoton gestaltete Passwörter mit kleinen Buchstaben können von einem solchen Programm binnen eines Tages ausgelesen werden. Komplex generierte Passwörter, die von einer Attacke betroffen sind, können von den Mitarbeitern einer IT-Abteilung wesentlich besser bemerkt und bekämpft werden, da das Spionage-Programm einen wesentlich längeren Zeitraum für die Entschlüsselung benötigt.

3. Bedrohung Social Engineering: Kollegen als potentielle Gefahrenquelle

Neugierige Kollegen knacken eventuell Ihr einfaches Passwort

Nicht nur Angriffe von außen, sondern auch Handlungsweisen aus dem Inneren dürfen hinsichtlich des Passwortschutzes keinesfalls vernachlässigt werden. Neugierige Kollegen gehören zu unserem Arbeitsalltag, wie der morgendliche Kaffee. Nutzen Sie zum Beispiel den Zweitnamen ihrer Tochter als Kennwort, ist es lediglich eine Frage der Zeit, bis ein aufmerksamer Kollege den „Trick“ durchschaut und sich mit Ihrem persönlichen Passwort unter Ihrem Namen anmelden kann.

Um möglichst hohes Maß an Sicherheit zu gewährleisten, sollten Geburtsdaten, Namen von Tieren oder Kindern tunlichst der Vergangenheit angehören. Finden entsprechende Sensibilierungsmaßnahmen durch Verantwortliche der IT-Abteilung statt, dürfte hier schnell bei allen Beteiligten Klarheit herrschen.

4. Gängige Muster vermeiden

Eindringliche und bekannte Tastaturmuster sind seit vielen Jahren als eklatante Sicherheitslücke bekannt. Sowohl von Programmen als auch von Personen aus dem näheren Umfeld bei der Arbeit sind diese schnell zu entdecken. Beliebt Kombinationen, wie zum Beispiel „asdf1234“ sind zwar einfach zu merken, aber auch ebenso einfach zu von Dritten zu missbrauchen.

Ergänzungen durch ein „?“ oder ein anderes Sonderzeichen sind vollkommen sinnlos. Auch diesem Muster kamen Angreifer in der Vergangenheit auf die Spur.

Das Wörterbuch liefert keine sicheren Passwörter

5. Begriffe aus dem Wörterbuch sind absolut tabu

Auch hier sind Hacker längst nicht mehr zu überraschen. Mit der so genannten Dictionary Attack haben sie die Möglichkeit, sinnvolle Wortkombinationen zu ermitteln und eine Kombinationsvielfalt zu errechne – ein Leichtes für jedes gut entwickelte Spionage-Programm. Wenn Ihre Daten ein möglichst hohes Maß an Sicherheit genießen sollen, verzichten Sie auf Wörter aus jedem gut geführten Wörterbuch.

6. Verschiedene Passwörter erhöhen den Schutz von Daten und Informationen

Wer lediglich ein und dasselbe Kennwort für verschiedene Programme, E-Mail-Accounts oder Online-Anmeldungen verwendet, riskiert fatale Folgen für sich selbst und das Unternehmen. Daher raten Sicherheitsexperten aus der IT-Branche stets dazu, allen vorhandenen Benutzerkonten ein eigenes Zugangspasswort zu geben. Auf diese Weise lassen sich Bedrohungen durch Attacken oder durch vermeintlich vertraute Personen auf ein Minimum reduzieren. Sensible Daten sowie andere Informationen sind dann bestens geschützt.

7. Management-Programme können bei der Verwaltung von Passwörtern hilfreich sein

Aufgrund der Empfehlung, möglichst viele verschiedene Kennwörter für verschiedene Benutzerkonten anzulegen, ist es nur allzu gut verständlich, dass Anwender schnell den Überblick verlieren und digitalen Schiffbruch erleiden. Während der Frustfaktor von Mal zu Mal steigt, steigt das Verlangen nach einfachen Passwörtern ebenfalls gefährlich an.

Kennwort-Management-Programme können dabei helfen, den Überblick zu behalten. Einfache Suchfunktionen sowie leicht verständliche Benutzeroberflächen sorgen dafür, dass der Ärger über ein eventuell vergessenes Kennwort ausbleibt. Auf diese Weise können Sie Datensicherheit gewährleisten und wirken allen modernen Bedrohungen von innen und außen effizient entgegen. Die Fülle an zuverlässigen Management-Programmen ist inzwischen groß, sodass für jeden Interessierten das eine oder andere Verwaltungsprogramm dabei sein dürfte.

Am Donnerstag den 23. Juli findet ein spannender Workshop zum Thema Live-Hacking bei der Biteno Gmbh statt. Ausgerichtet wird der Tagesworkshop von der Synaxon AG und zählt in deren Portfolio zu einer der begehrtesten Veranstaltungen.LiveHacking

Die Teilnehmer erfahren was technisch hinter Cyberangriffen steckt und wie erschreckend einfach vermeintlich sichere Systeme geknackt werden können. Nach diesem Crash-Kurs in Cyber-Kriminalität wissen die Teilnehmer die erlernten Live-Hacks vertriebswirksam umzusetzen und als Verakufsargument bei den Kunden anzuwenden. Dem Kunden kann so vorgeführt werden, wie einfach es ist, sich von aussen die Tore zu den Unternehmensdaten und- vorgängen zu öffnen, in dem als sicher erachteten System des Unternehmens.

Auf diese Weise sensibilisiert lässt sich der Kunde schnell überzeugen, einen Service in Anspruch zu nehmen, der an dieser Stelle Sicherheit und Schutz garantiert.

dozent-marc-frankDozent des Tagesworkshops ist Marc Frank, Geschäftsführer der Netkom Ulm GmbH und ein ausgewiesener Sicherheitsexperte. Wir freuen uns, diesen spannenden Workshop in unseren Räumlichketen ausrichten zu können und natürlich auch auf neue Verkaufsargumente im Systemhaus-Vertrieb, die es leicht machen den Kunden vom Handlungsbedarf in Sachen IT-Sicherheit zu überzeugen.

Hier geht´s zur Veranstaltung direkt.