Gefahren und Bedrohungen

Hackermethoden gibt es viele. Je nach Kenntnisstand steht der Angreiferin oder dem Angreifer eine Vielzahl von Möglichkeiten und Tools zur Verfügung. Diese bewirken wiederum verschiedenste Gefahren und Bedrohungen.

Hackermethoden

Informationen über die Funktionsweisen des Internets und verwandter Dienste sind öffentlich und somit für jedermann frei zugänglich. Neben der "zivilen" Nutzung dieser Informationen stehen diese natürlich auch für Hackerinnen und Hacker offen. Mit dem grundsätzlichen Verständnis von der Funktionsweise des Internets wurden auch bald dessen Schwächen offensichtlich - nämlich das Fehlen jeglicher Sicherheitsfunktionen. Viele der damals eingeführten Protokolle, welche auf der Internet-Grundlage Transport Control Protocol/Internet Prococol (TCP/IP) basieren, kränkeln ebenso an einem Mangel von Sicherheit.

Sniffing

Wie oben beschrieben, übertragen die am häufigsten gebrauchten Internet-Protokolle Anmeldeinformationen im Klartext über das Internet - was uns zur wohl einfachsten Möglichkeit eines "Hacking" bringt. Ein geneigter Hacker muss lediglich mit einem "Sniffer" (Netzwerk-Abhörsoftware) an geeigneter Stelle mithören und kann so fast komplett ohne Aufwand Benutzernamen und Passworte abhören. Neben standardmässigen Sniffern, welche hauptsächlich für die legitime Fehlersuche im Netzwerk gedacht sind, gibt es auch spezialisierte Hackertools - die speziell auf Benutzernamen und Passworte im Datenstrom hören und diese gezielt herausfiltern. Natürlich kann man solche Tools auch nutzen, um im eigenen Netzwerk zu testen, inwiefern Passworte unverschlüsselt übertragen werden.

Malcode

Viren, Würmer und Trojaner Unter "Malcode" (Malicious Code) werden im Allgemeinen "bösartige" Programme verstanden, die in Form eines Virus, eines Wurms oder eines Trojaners vorkommen können. Natürlich sind auch Kombinationen möglich. Viren und Würmer sind meist nur ärgerlich, können aber auch handfesten Schaden verursachen. Nicht nur durch die blosse Verbreitung und eine eventuell damit ausgelöste "Denial of Service" Attacke, sondern auch durch die Möglichkeit, dass Viren einen Trojaner als blinden Passagier mitführen. Ist ein Trojaner einmal im System, kann er dem Angreifer den kompletten Systemzugriff ermöglichen.

Infizierte E-Mails und Webseiten Diese Schad-Programme werden sehr oft eingesetzt, aus vielen verschiedenen Gründen. Ein Motiv kann es sein, einen Streich zu spielen. Aber genau so realistisch sind bösartige, durchgeplante und zielgerichtete Angriffe. Laut einer Studie von Sophos sind 0,12 % aller E-Mails mit einem infizierten Attachement versehen - das entspricht jeder 833. E-Mail. Etwas kritischer steht es um den stabilen, sicheren Zustand von Webseiten.

Ausnutzen von Software- und Konfigurationsfehlern

Immer neue Angriffspunkte

Ein sehr grosses Problem beim Einsatz von Computern ist deren Komplexität geworden. Mit jeder neuen Version wird Software mit neuen Funktionen ausgestattet, was auch bedeutet, dass neue mögliche Angriffspunkte entstanden sind. Schon jetzt muss ein relativ grosser Aufwand betrieben werden, um Systeme sicher zu machen und auch sicher zu halten.

Unbekannte Schwachstellen

Ein Grossteil der unautorisierten Zugriffe auf ein System kommt zustande, weil ein Angreifer gezielt eine Schwäche (Vulnerability) eines Betriebssystems oder einer Applikation nutzt. Obwohl viele Hersteller meist umgehend Korrekturen von bekannten Schwächen zur Verfügung stellen, bleibt immer noch ein mehr oder weniger grosses Zeitfenster für einen Angriff offen. Von der Meldung einer Schwäche an den Hersteller, bis zur Installation einer Abhilfe auf einem Kundensystem vergehen Wochen bis Monate. Ganz zu schweigen von den Schwachstellen, die nicht bekannt sind. Man kann sich zum Beispiel fragen, wann (wenn überhaupt) ein Hacker dem Hersteller eine gefundene Schwachstelle bekannt gibt. Vermutlich dann, wenn er sie selbst ausgiebig genutzt hat.

Sicherheitshinweise beachten!

Die am häufigsten angetroffene Ursache für unerlaubten Zugriff ist jedoch eine mangelhafte Konfiguration von Systemen und die Nichtbeachtung von Sicherheitsratschlägen in den Software-Handbüchern. Software wird oft mit Standardeinstellungen (oft auch Standard-Passworten) installiert, die danach gar nicht oder nur ungenügend überprüft und angepasst werden. Fast zu jeder verfügbaren Applikation kann man im Internet entsprechende Informationen nachlesen. Diese Online-Datenbanken enthalten die Standard-Benutzernamen und Passworte für alle möglichen Software-Pakete, die auf dem Markt sind.

Web-Applikationen und -Auftritte

Auch die Webserver haben eine schnelle Wandlung durchgemacht. Von der Darstellung einfacher statischer Seiten ausgehend, haben sich die Technologien rasant weiterentwickelt. Es sind nun dynamische Webseiten möglich, wo der Inhalt nach Bedarf zusammengestellt wird. Diese Erweiterung der Webserver-Funktionalität bringt jedoch auch wieder eine Reihe von Sicherheitsproblemen mit sich. Die Zusammenstellung einer dynamischen Webseite bedingt, dass ein User angibt, was er will und dies dann vom Server verarbeitet und dem User als Ergebnis präsentiert wird.

Input Validation-Mechanismen

Es besteht die Möglichkeit, dass ein Webdienst direkt angegriffen wird. Es kann aber auch die Webseite, die der Webdienst zur Verfügung stellt, selbst angegriffen werden. Dazu gibt es viele Techniken, kurz erwähnt die bekanntesten: SQL Injection, XSS, Session Hijacking und viele mehr. Die meisten dieser Techniken können erfolgreich abgewehrt werden, wenn eine starke Input Validation gemacht wird. Das heisst, die Attacken werden ausgeführt, indem zum Beispiel in ein Suchfeld auf einer Webseite bösartiger Code eingeführt wird. Wird nun der Input (Eingabe im Suchfeld) gut gefiltert (Input Validation), dann kann bösartiger Code entdeckt und verworfen werden. Diese Input Validation Mechanismen verlangen aber einen gewissen Grad an Webapplication Security-Kenntnissen. Als zusätzlichen Schutz implementieren viele Firmen eine Web Application Firewall, welche genau diese Aufgaben übernimmt, bevor die Anfragen zum Webserver gelangen.

DDOS-Attacken

Was ist eine DOS-Attacke?

Eine DDOS-Attacke ist wohl eine alt bekannte Angriffsmethode, jedoch ist diese immer noch stark verbreitet und findet hier nun zu recht einen Platz, um kurz erwähnt zu werden. Um DDOS zu erklären muss kurz ausgeschweift und eine DOS (Denial of Service)-Attacke erklärt werden. Diese hat ein sehr einfaches Konzept. Es wird bei einem DOS-Angriff auf einen Service nichts anderes gemacht als kontinuierlich Service-Anfragen gestellt. Der betroffene Service kommt nach einer gewissen Zeit mit dem Verarbeiten dieser Anfragen nicht mehr nach, bis er letztendlich abstürzt oder abgestellt werden muss. Anders ausgedrückt ist es ein Stresstest für einen Dienst, der ihn in die Knie zwingen kann. Die DDOS (Distributed Denial of Service)-Methode unterscheidet sich von der DOS Attacke "nur" darin, dass die Dienstanfragen nicht nur von einem Angriffsort, sondern von mehreren Angriffsorten aus, also verteilt, ausgeführt wird.

Woher hat ein Angreifer die Ressourcen?

Nun lässt es sich fragen, woher ein Angreifer die Ressourcen hat, um von mehreren Rechnern aus einen Angriff zu starten? Darauf gibt es eine simple Antwort: Botnets. Botnet meint ein Netzwerk aus Rechnern, das (fast immer) infiziert worden ist von Würmern und auf ein bestimmtes Ereignis hin, wie zum Beispiel die Zeit, DOS-Attacken fährt. Auf diese Weise wurden sogar einmal die Update-Server von Microsoft für mehrere Stunden in die Knie gezwungen. Ein beliebter Internet-Wurm, der eine solche Funktion hat ist MyDoom.

Schauen Sie sich den Link von Norse Attack Map, einer interaktiven Echtzeit-Karte, die Cyberangriffe auf der ganzen Welt visualisiert. Sie zeigt, woher die Angriffe stammen und wohin sie gerichtet sind, basierend auf den Daten von Norse Corporation, einem Unternehmen für Cybersecurity.

Auf der Karte kannst du Folgendes sehen:

• Echtzeit-Cyberangriffe: Visualisiert als farbige Linien, die zwischen Angreifer- und Zielstandorten verlaufen.

• Angreifer- und Zielorte: Länder und Städte, die in den Cyberangriffen involviert sind.

• Angriffsarten und Ports: Informationen darüber, welche Art von Angriff durchgeführt wird (z.B. DDoS, SQL-Injection) und welche Ports betroffen sind.

• Angriffsvolumen: Die Karte zeigt oft besonders aktive Regionen mit hoher Angriffsdichte.

Es ist hauptsächlich ein visuelles Tool für Demonstrations- und Bildungszwecke, um die Häufigkeit und Intensität von Cyberangriffen zu veranschaulichen. Die dargestellten Daten basieren jedoch nicht auf allen globalen Angriffen, sondern nur auf den von Norse überwachten Netzwerken.