Was macht ein Hacker?


Was macht ein Hacker und was ist Hacking eigentlich? Es gibt keine festen Definitionen, aber Wikipedia definiert „Hacking“ als Maßnahme Sicherheitsmechanismen eines Systems zu manipulieren oder komplett zu brechen. Mit diesem Ansatz lassen sich unvorhergesehene Wege finden ein System zu manipulieren oder anzugreifen.

Gute und böse Hacker

Der Hacker ist eine Person, die versucht Software oder Hardware zu manipulieren, meist zu seinem Vorteil. Medial wird Hacking oft eher negativ dargestellt. Der Mensch mit dem schwarzen Kapuzenpullover der alleine in einem Keller sitzt und vor sich hin hackt ist ein gerne verwendetes Bild. Diese mediale Darstellung ist jedoch ein Trugschluss, da es an sich wertneutral formuliert ist.


Deep Dive ins Darknet – Suchmaschinen, Browser und Nutzen!

Jetzt kostenfrei zum Webinar anmelden und am 29.01.2021 von 10:00 – 10:30 Uhr teilnehmen.



Was macht ein Hacker - Klischeebilder prägen das Bild
Bilder wie diese werden von Medien für die Darstellung von Hackern gerne aufgegriffen, entsprechen aber natürlich nicht der Realität.

Ähnlich wie ein Hammer – der kann verwendet werden um einen Nagel in die Wand zu schlagen oder anderen Menschen Angst machen. So verhält es sich auch mit dem Hacking. Oft suchen Angreifer ganz gezielt Schwachstellen in Systemen, um diese Schwachstellen dann zu schließen und das System insgesamt zu verbessern.

Es gibt auch keine schwarz/weiß Definition eines guten/bösen Hacker. In der Regel teilt man Hacker in drei Gruppen auf, und ordnet diese innerhalb eines kulturellen und politischen Kontexts in eine der Kategorien ein:

  • White Hat: Ein White Hat Hacker hält sich an geltende Gesetze. Ihr Wissen wird verwendet, um die Sicherheit von Computersystemen zu erhöhen und teilen gefundene Sicherheitslücken an Hersteller, Betreiber oder Inhaber mit. White Hat Hacking ist auch unter Ethical Hacking bekannt.

 

  • Grey Hat: Grey Hats halten sich nicht zwingend an Gesetze haben aber oft ein „höheres Ziel“ vor Augen, beispielsweise die Verbesserung einer Gesellschaft oder die Sensibilisierung zur verantwortungsvollen Technologieentwicklung. Häufig ist eine Einordnung, ob eine Handlung strafbar war oder nicht abhängig vom eigenen gesellschaftlichen oder politischen Standpunkt.

 

  • Black Hat: Sind eindeutig Kriminelle, beispielsweise Entwickler von Schadsoftware die Netzwerke verschlüsseln soll oder Angreifer die Industriespionage betreiben. Im folgenden beschreiben wir unterschiedliche Black Hat Angreifer.

Im betrieblichen Umfeld gibt es das privat gern gelebte Credo „Ich habe nichts zu verbergen“ nicht mehr. Es gibt unterschiedliche Arten von Angreifern die es auf die Daten in Ihrem Unternehmen abgesehen haben, meistens sind das die sogenannten Blackhats.

  • Beifang eines großen Angriffs: Groß angelegte Hacking Kampagnen wie beispielsweise Emotet sind keine gezielten Angriffe. Die Angreifer greifen blind an und wollen möglichst viel Geld verdienen mit wenig Aufwand. Diese Angriffe können insbesondere kleine Betriebe an den Rand der Existenz treiben, da Sie häufig keine IT-Sicherheitsstrategie oder Backups haben. Diese Angriffe sind keine persönlichen oder gezielten Angriffe.

 

  • Wirtschaftsspionage: Die Wahrscheinlichkeit, dass Angreifer es auf Ihre Firmengeheimnisse abgesehen haben ist deutlich gestiegen in den letzten Jahren. Häufig stehen dahinter straff organisierte, professionelle Gruppen. Manche Länder haben gezielt in Ihren Wahlprogrammen stehen, dass Wirtschaftsspionage ein fester Bestandteil der Strategie ist, daher wird dieser Aspekt immer relevanter auch für deutsche Unternehmen.

Hacking will gelernt sein

Früher war Hacking verpönt und auch heute ist es medial noch häufig negativ behaftet. Wie lerne ich also Hacking heutzutage? IT-Security Blogs und Bücher zu lesen wird leider nicht ausreichen um professionelles Hacking zu lernen. Es gibt heutzutage zum Glück genügend interaktive Formate mit denen Hacker jeder Altersklasse lernen könne.

Besonders bei jungen Hackern sind „Capture the flag“ Wettbewerbe beliebt. Es müssen dabei möglichst schnell bestimmte „Punkte“ innerhalb eines Systems gefunden werden und diese geben Punkte. Die Cyber Security Challenge ist ein bekannter Wettbewerb und Wargames sind ein häufiger Einstiegspunkt.

Penetrationstests und Hacker

Ein Penetrationstests ist ein umfassender Sicherheitstest der im geordneten Rahmen durchgeführt wird. Die Pentester(meist arbeiten wir im Team) greifen ein System an und veruschen dabei möglichst viele Sicherheitslücken aufzudecken. Es kommen dieselben Arbeitstechniken und Programme zur Anwendung die auch ein professioneller Angreifer nutzen würde. Der deutlichste unterschied besteht darin, dass Pentester einen definierten Auftrag und festgelegte Ressourcen haben.

Ein Angreifer hat theoretisch unendlich lange Zeit zu versuchen ein System anzugreifen, während ein Pentest häufig nur Tage oder Wochen dauert. Er darf zudem nicht destruktiv oder manipulativ vorgehen und häufig darf auch das Haupteinfallstor „Mensch“ nicht genutzt werden, um ein Unternehmen anzugreifen.

Einen Vorteil den wir als Pentester haben ist die Tatsache, dass wir nicht zwingend im verborgenen agieren müssen. Ein Hacker wird in der Regel nicht mit einem ausgiebigen Netzwerkscan starten, da die Wahrscheinlichkeit, dass er entdeckt wird dann hoch ist. Diese Werkzeuge können wir beim Pentest unbeschränkt einsetzen, da der Auftraggeber das Einverständnis gibt.

Arten von Angriffen, Untersuchungen und Analysen

Es gibt unterschiedliche Ausprägungen des Hackings und immer mehrere Wege nach Rom, wenn es um die Manipulation von Daten und Systemen gibt. Ein paar ausgewählte Arten wollen wir im Folgenden vorstellen:

  • Mobile Hacking: Bedingt durch die Tatsache, dass wir immer mehr mobile Endgeräte mit uns herumtragen, werden diese Systeme vermehrt angegriffen. Es gibt unterschiedliche Möglichkeiten ein mobiles Gerät anzugreifen, ein Angreifer kann beispielsweise versuchen eine gefälschte Applikation auf das Smartphone zu bekommen oder das Betriebssystem zu manipulieren.

 

  • Network Hacking: Das Hacken von Netzwerken ist genauso alt wie die Netzwerke selbst. Hier wird häufig ein Netzwerk zuerst abgescannt, um zu erfahren welche Endpunkte erreichbar sind, wo unzureichende Konfigurationen vorliegen und wo eine Firewall nicht so arbeitet wie sie soll. Ziel ist es entweder die Sicherheit des Netzwerks abzuschätzen oder konkret auf ein Gerät zuzugreifen, beispielsweise durch das Abfangen oder das Erraten von Passwörtern. Sollten Dienste auf Endgeräten laufen für die es aktive Exploits – also Schwachstellen, gibt können diese auch ausgenutzt werden.

 

  • IoT Hacking: IoT Hacking ist eine neue Disziplin, bei der es darum geht Geräte aus dem Internet der Dinge zu kompromittieren und so Zugang zu kritischen Daten oder Systemen zu erhalten. Häufig sind IoT Geräte ungemanagt in Netzwerken zu finden und mit Standardpasswörtern versehen, sodass Sie ein gutes Ziel für Angreifer sind.

Ziele eines Hackers

Als Hacker gibt es viele lukrative Ziele im Internet, da die Vernetzung immer weiter zunimmt und allgegenwärtiger wird. Von klassischen Computern über vernetzte Kühlschränke bis hin zum intelligenten Sexspielzeug gibt es alles mit Verbindung zum Internet. Die Cloud ist ein neues Angriffsziel über das bereits viele Dokumente die eigentlich unter Verschluss sein sollten, Ihren Weg an die Öffentlichkeit gefunden haben, beispielsweise über falsch konfigurierte Amazon Systeme. All diese Systeme sind potenzielle Angriffsziele für einen Hacker.

Um Ziele zu erreichen verlässt sich der Hacker auf Tools, die entwickelt wurden oder er selbst entwickelt hat. Es gibt unzählige Programme im Internet, die für einen Hacker interessant sind. Das Angebot reicht bis hin zur Auswahl des passenden Betriebssystems für Hacker. Für anfängliche Untersuchungen genügt oft bereits ein Browser. Zahlreiche Hacking Tools für den Firefox Browser sind kostenfrei verfügbar und leisten gute Arbeit. Von einem einfachen Netzwerkscan bis hin zu komplexen Angriffen auf CPU Ebene gibt es fast alles als frei verfügbare Software (Open Source).

Diese Tools werden veröffentlicht, damit die breite Masse sich schützen kann und das Privileg des Angriffs auf Systeme nicht einigen wenigen gestattet ist, die das nötige Know-How und die entsprechenden Ressourcen haben. Es gibt neben Open Source Anwendungen auch eine Vielzahl an Programmen, die für elitäre, staatliche Zielgruppen vorbehalten werden.

Neben Softwareprogrammen gibt es auch spezielle Hardware, die nur für das Hacking gebaut wird. Es gibt beispielsweise frei verkäufliche „USB-Sticks“ die eigentlich eine Tastatur sind oder bloß einen sehr hohen materiellen Schaden verursachen. Aber auch manipulierte Ladekabel für Smartphones haben ihren Weg in den freien Handel gefunden. Die manipulierten Geräte enthalten  Schadcode der im schlimmsten Fall vollautomatisiert ausgeführt wird.

Wie Untersuchungen zur IT-Sicherheit beitragen

Bis jetzt liest sich der Artikel wie eine Lobhymne auf den Angriff und darauf, dass alle unsere Systeme dem Untergang geweiht sind und weniger zur Absicherung beitragen. Für Sie ist es wichtig zu wissen, wie moderne Systeme angegriffen werden können und welche Mittel Angreifer zur Verfügung haben, um sich entsprechend zu verteidigen. „Wer bringt schon Messer zu einer Schießerei mit“ ist hier salopp gesprochen das Motto. Sie müssen wissen wo Ihre Schwachstellen sind, um sich entsprechend vorzubereiten und zu verteidigen. Wenn Sie selbst dies nicht durchführen können, müssen Sie Pentester anheuern die genau das machen können und Ihnen am Ende einen aussagekräftigen Bericht vorlegen.

Es gibt jedoch keine einhundertprozentige Sicherheit. Die kann es nicht geben, da sich die IT rasant weiterentwickelt und heute noch allgemeingültige Wahrheiten wie beispielsweise

„Niemals direkt patchen, dann stürzt das System ab“

wandeln sich in das genaue Gegenteil nämlich „Patchen Sie sofort, warten Sie nicht“. Cyberkriminelle suchen sich gezielt die schwächsten aus, damit Sie wenig Arbeit haben sich an einem Ziel zu bereichern. Ihr Ziel sollte also sein nicht schneller zu schwimmen als der Hai, sondern nur schneller als die anderen Fische. Cybercrime ist heutzutage ebenfalls ein lukrativer Markt, der mehr Umsatz macht als der internationale Drogenhandel, es geht also um jeden Euro.

Sicherheit kann wie bereits gesagt nicht einhundertprozentig garantiert werden. Dies kann ziemlich frustrierend sein auf allen Seiten, egal ob für Anbieter, Kunden oder Hacker. Moderne Software besteht aus unzähligen Zeilen Code die aus unterschiedlichsten Teams kommen kann. Dort sind Fehler ebenfalls vorprogrammiert. Auch ein vermeintlich harmloser Fehler kann in einer komplexen Software zu schwerwiegenden Fehlern führen.

Eine weitere Herausforderung insbesondere für den Endnutzer ist die Tatsache, dass man der Hard- oder Software nicht ansieht wie sicher oder unsicher sie ist und es keine Siegel oder ähnliches gibt, die Sicherheit und Vertrauen stiften. Dies liegt an der Flüchtigkeit von moderner Software vor allem. Software ist nicht mehr fertig, sondern stetig in Entwicklung und Fortschritt. Ein heute getestetes und sicheres Produkt kann morgen eine völlig andere Codebasis haben. Selbst anspruchsvollste Technologie, beispielsweise die Entwicklung von neuartiger Kryptographie ist nicht frei von Fehlern und bietet immer wieder Angriffsfläche trotz jahrelanger Arbeit durch international anerkannte Experten und Teams.


Hacking ist nicht gleich Hacking

Es gibt mannigfaltige Angriffsvektoren für einen Angreifer, wenn er in Infrastruktur eindringen möchte. Drei Beispiele für Angriffsvektoren haben wir bereits im Kapitel Arten von Hackings beschrieben. Darüber hinaus gibt es natürlich noch weitere Angriffsvektoren die wir nun beschreiben wollen.

  • Malware: Geräte können mit Malware(Schadsoftware) infiziert werden. Schadsoftware findet auf wieder unterschiedlichsten Wegen Ihren Weg auf Geräte, beispielsweise als Anhang einer E-Mail, über eine Webseite oder per USB Stick. Häufig führt Schadsoftware ungewollten Code auf dem Gerät aus der beispielsweise dazu führt, dass Tastaturanschläge mitgeschrieben und an Dritte gesendet werden oder der Rechner verschlüsselt wird. Dann wird von „Ransomware“ gesprochen.

 

  • Phishing:  Der Angreifer versucht sein Opfer dazu zu bringen auf einer falschen Anmeldeseite seine Login Daten einzugeben. Häufig wird Phishing per E-Mail betrieben kann allerdings auch über soziale Netzwerke oder Webseiten erfolgen.

 

  • Physikalischer Angriff: Der Angriff auf Hardware ist ein simpler aber effektiver Angriff. Insbesondere in kleinen und mittelständischen Unternehmen wird die Gefahr die durch ein gestohlenes Gerät ausgeht häufig unterschätzt. Es gibt oft keine Meldeprozesse und Folgehandlungen für abhanden gekommene Geräte, dabei enthalten diese sehr häufig noch kritische Daten oder Anwendungen. Auch Büroräume können ein Einfallstor sein, wenn es keine ausreichenden Zugangsbeschränkungen gibt oder Besucher nicht begleitet und protokolliert werden.

 

  • Social Engineering: Beim Social Engineering werden menschliche Schwächen ausgenutzt. Gerade in Kombination mit Phishing und dem physikalischen Angriff ergibt sich hier ein oft vernichtendes Angriffspotenzial. Kennt der Hacker die Vorlieben seiner Opfer kann er gezielt Phishing Mails um diese Interessen herum schreiben und darf mit Klicks auf seine Phishing Webseiten rechnen.

https://youtu.be/lc7scxvKQOo

Nichts tun schützt vor Strafe nicht

[su_note note_color=“#ff120d“ text_color=“#000000″]Unerlaubtes Hacking ist in Deutschland strafbar nach §202c StGB. Dieser definiert den Straftatbestand „Vorbereiten des Ausspähens und Abfangens von Daten“.[/su_note]

Der gutwillige Umgang mit Hacking Tools wird in der Regel toleriert, gibt aber noch lange keine Narrenfreiheit. Außerhalb von Testsystemen oder speziell freigegebenen Systemen bedarf es einer schriftlichen Genehmigung und Freistellung von diesem Paragraphen.

Als Betreiber von Systemen ist allerdings auch der fahrlässige Umgang mit IT-Sicherheit strafbar. Die Datenschutzgrundverordnung formuliert Schutzanforderungen „nach dem Stand der Technik“. Die Definition was genau „Stand der Technik“ ist, ist streitbar aber in der Regel gehört dazu die verschlüsselte Verbindung mit einer Webseite und verschlüsselte Ablage von personenbezogenen Daten. An Banken und KRITIS Betreiber werden darüber hinaus unterschiedliche Anforderungen und Standards definiert, die in unterschiedlichen Bereichen Anwendung finden.




Wenn Sie wissen wollen, wo Sie aktuell stehen mit Ihrer IT-Sicherheit und was die nächsten sinnvollen Schritte sind, dann sollten Sie RISKREX testen. Wir bieten Ihnen mit unserer Technologie einen ressourceneffizienten Überblick über Ihre Exposition gegenüber vielfältigen Angriffsvektoren beispielsweise Social Engineering, Phishing und technischen Sicherheitslücken.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar