IT-Security und wie viel kann wirklich gehackt werden?

IT-Security und wie viel kann wirklich gehackt werden?
Gewohnheiten und ihre Gefahren ...

Über die Macht unserer Gewohnheiten und welche Macht wir damit zum Beispiel auch in Sachen IT-Security haben könnten.

Lisbeth Salander, Protagonisten in den drei Millennium-Bestsellern «Verblendung», «Verdammnis» und «Vergebung», ist Hackerin schlechthin. Zumindest laut dem Autor Stieg Larsson. Auffallend, wie viel Salander über das Hacken von Computersystemen weiss und sie dementsprechend knackt. Die Story über die ziemlich asoziale Lisbeth Salander packt Leser wie mich. Man will Gerechtigkeit und nicht selten dachte ich beim Lesen «Hack sie doch einfach alle!» Was sie auch ohne weiteres gemacht hat. Nebst Salander dreht sich die Story auch um die Zeitschrift Millennium mit Chefredakteurin Erika Berger und dem Journalisten Mikael Blomkvist. Autor Larsson hat beide als überzeugte Journalisten präsentiert, die nicht nur süffige Storys wollen, sondern auch glaubwürdige Quellen. Das lässt die ganze Geschichte bei mir sehr authentisch erscheinen.

Die Millennium-Story hinterlässt allerdings auch sehr viele Fragen. Was lässt es sich wirklich hacken? Ist das Internet ein offenes Loch? In meiner Recherche hier versuche ich, ein Bild über die Realität und die Glaubwürdigkeit von «Hollywood» und «Hackeralltag» zu erhalten. Dabei möchte ich folgende Fragen klären:

  • Glaubwürdigkeit von Hacker-Geschichten allgemein
  • Was sagen Profis dazu?
  • Wie weit ist Sicherheit eine Frage der Technik?
  • Wie viel Sicherheit brauchen wir, damit unsere digitalen Daten geschützt sind?
  • Was können wir selbst tun, um unsere IT-Sicherheit zu gewährleisten?

 

Glaubwürdigkeit überprüfen

1. Glaubwürdigkeit der Geschichte

Wie glaubwürdig kann diese Geschichte um Salander, Blomkvist und Co überhaupt sein? frage ich mich. Sehe ich mir heute die Krimis im TV an, so werden umfangreiche und komplexe Handlungen mit Massenmördern, politischen Aufständen und vieles auf 40 Minuten zusammengefasst, oder besser gesagt hineingequetscht. Dank technischer Hilfsmittel und Datenbanken, die alles wissen. Nun ist Hacken ein Thema, das geografisch immer näher kommt und immer mehr in den Medien auftaucht.

«Hackerangriffe auf VBS und Ruag – Geschäftsprüfungsdelegation wollte Geheimhaltung aufheben»

schreibt zum Beispiel die NZZ.ch in ihrer Ausgabe vom 4. Mai 16. Hacker haben demnach versucht, den Rüstungsbetrieb Ruag und das Verteidigungsdepartement VBS auszuspionieren. Unklar sei, welche Schäden die Angreifer angerichtet haben. Der Bundesrat sei informiert worden und habe mehrere Massnahmen vorgeschlagen, die realisiert werden. Es habe sich um eine sogenannte DDoS-Attacke gehandelt (DoS; engl. für «Dienstblockade»; bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte).

Solche Medienmeldungen lassen mich innehalten. Ich frage mich: Wann trifft es Privatpersonen? Die Netzwoche berichtet im Artikel «Melani erklärt Ruag-Hack» (23.5.16), dass die Hacker nur Opfer attackierten, an denen sie Interesse haben. Gehackt wird dort, wo es sich lohnt. Dabei sind wohl die meisten Privatpersonen ausgenommen. Vermute und hoffe ich zumindest. Trotzdem. In Gesprächen mit Freunden und Kollegen stelle ich immer wieder fest, dass die IT-Sicherheit unterschätzt wird. Diese Seite fand ich an der Millennium-Story realistisch dargestellt. Menschen, die Daten nur auf ihrem Laptop haben und das oft ungesichert, ist ein Beispiel von Fahrlässigkeit – insbesondere bei heiklen Daten.

Glaubwürdigkeit der Geschichte um Blomkvist und Salander

Wie glaubwürdig ist der Autor selbst? Immerhin musste er sich in ein komplexes Thema einarbeiten und immerhin war das Thema IT-Sicherheit ein wesentlicher Bestandteil der Geschichte. Ohne diese Kompetenz würde das Ganze gewaltig verlieren.

Der Blick auf Stieg Larsson zeigt folgendes Bild auf: Vip.de schreibt, dass er bei seinen Freunden und Arbeitskollegen als ‚Workaholic‘ galt. Er war bekannt dafür, dass er am Tag als Journalist arbeitete und nachts seine Romane schrieb. Diesen Raubbau am eigenen Körper hat er zudem mit bis zu 60 selbstgedrehte Zigaretten am Tag und reichlich Kaffee gefördert. So ist schon mancher Beststeller entstanden. Auch John Grisham stand am Morgen früher auf, um an seinem ersten Roman zu arbeiten. Ohne Zusatzaufwand geht es nicht. Nur führte dieser offenkundig extreme Lebensstil bei Larsson zu einem frühzeitigen Ende.

Kurdo Baksi, Stieg Larssons bester Freund und langjähriger politischer Weggefährte, beschreibt in «Mein Freund Stieg Larsson» die Unbeirrbarkeit, Arbeitswut und Genauigkeit des Autors der Trilogie. Larsson besass ein immenses Wissen und hatte eine beeindruckende politische Bildung. Wie Blomkvist war er davon besessen, das Richtige zu tun. Mut und Unerschrockenheit begleiteten ihn im Kampf gegen die rechtsradikale Szene. Ebenso Drohungen, Sturheit und die Unfähigkeit, zu vergeben. Diese Charakterzüge hat auch Jan-Erik Pettersson, Autor der politischen Biografie über Stieg Larsson, bestätigt.

Diese Informationen vermitteln mir eine grosse Kompetenz und Glaubwürdigkeit Larssons, was die rechtsextreme Szene angeht. Dafür war der Autor international bekannt. Was das Hacken anbelangt, habe ich aber offen gesagt ein mulmiges Gefühl. Obwohl die Bücher bis über 800 Seiten umfassen, scheint Hacken darin sehr einfach und geht sehr schnell. Was sagen externe Quellen? Aktuelle. Was sagen Profis?

Was sagen die Hacker-Profis dazu?
Was sagen die Hacker-Profis?

2. Hacken für jedermann – Was sagen Profis dazu?

Kaspersky und der vierte Teil «Verschwörung»

Ich stosse auf den Blog «Ein Buch hacken: So wurde ich zu Lisbeth Salander» von Kaspersky Lab, der Internet Security Software. Die müssen es ja wissen, denke ich. Dort schreibt der Blogger David Jacoby, dass ihn eines Tages ein Mann namens David Lagercrantz anrief. Dieser sagte Jacoby, dass er am vierten Buch «Verschwörung» der Millennium-Serie arbeite und sich über das Thema Hacking unterhalten möchte. Er wollte es ein bisschen anders machen. Wollte wissen, wie Hacker «tatsächlich Systeme kompromittieren», um «eine Portion Realität» in die Bücher zu bringen. Diese Aussage lässt mich dann doch stutzig werden. Jacoby beschreibt seine Arbeit als Hacker, in dem er und seine Kollegen Sicherheitslücken und Probleme identifizierten, die es Angreifern ermöglichen würden, Datenbanken sowie Systeme zu kompromittieren und die Kontrolle über Netzwerke zu erlangen. Sein Fazit:

«Wir haben die meiste Zeit auf schwarze Bildschirme mit weissem Text gestarrt – und das war’s. So sieht Hacking in Wirklichkeit aus.»

Jacobi versuchte Lagercrantz zu erklären, dass Hacking nichts Alltägliches sei. Es benötige viel Forschung und Arbeit mit Listen und Werten. Ich komme offenbar der Realität näher. Hacking scheint aufwändiger zu sein, als wir uns das aufgrund der Millenniumstory vorstellen. Trotzdem zweifle ich nicht daran, dass professionelle – das sind meist unauffällige und mit viel Geduld arbeitende – Hacker, zum Erfolg kommen. Facebook hat im Jahr 2011 von über 600‘000 Hackversuchen täglich gesprochen. Ich vermute aufgrund der Hackversuche bei meinen Blogs, dass viele davon automatisch und plump erfolgen. Masse statt Klasse. Die gefährlichen sind die wirklich durchdachten Versuche. Diejenigen, die sich mit dem Denken und Handeln des Menschen auseinandersetzen (siehe dazu mein Blog «IT Sicherheit und Passwörter. Wie Hackversuche eingegrenzt werden können.»).

Darum verlassen ich die Schuldzuweisung an die Hackerbranche möchte einen aus meiner Sicht sehr wichtigen Punkt ansprechen. Das Thema Selbstverantwortung.

Ist IT-Sicherheit eine Frage der Technik?
Ist IT-Sicherheit eine Frage der Technik?

3. Ist Sicherheit eine Frage der Technik?

«Tausende Schweizer fielen auf Hacker herein»

… schreibt der Tagesanzeiger in seiner Ausgabe vom 16.10.2016. Es ist die Story von drei jungen Hackern, die heute in den Schweizer Gefängnissen Lenzburg, Thorberg und Bern sitzen. Mindestens 133’610 Kreditkarten-Datensätze haben sie gemäss dem Artikel im internationalen Raum erbeutet. Das im Zeitraum von fünfeinhalb Jahren. In der Schweiz haben die Hacker mit 2562 Kreditkarten Gelder in Höhe von 3’516’000 Franken ergaunert. Liest man den Artikel, so fällt auf, wie einfach die Hacker dies bewerkstelligen konnten. Man versendet sogenannte Pishing Mails. Das sind E-Mails mit gefälschtem Absender einer bekannten Firma und fordert die Kreditkartenangaben ein, die auf einer fast identischen, aber eben nicht der richtigen Webseite der Bank, eingegeben werden sollen. So werden die Daten mithilfe vom unachtsamen Umgang der Kreditkartenbesitzer abgeholt.

Passwörter gut schützen und unlogische Kombinationen wählen.
Passwörter gut schützen und unlogische Kombinationen wählen.

4. Wie viel Sicherheit brauchen wir, damit unsere digitalen Daten geschützt sind?

Was gebe ich für Daten bekannt?

Keine Bank und kein Kreditinstitut verlangt von seinen Kunden, dass sie ihre Daten im Internet eingeben. Weil man weiss, dass die in Mails aufgeführten Webseiten oft identisch nachgebaut werden. Alltagsstress und Zeitdruck tragen das Ihrige dazu bei, dass wir fahrlässiger werden. Es geht gar nicht immer um komplexe Passwörter, obwohl diese auch wichtig sind. Schwachpunkt ist der Umgang, das Verdrängen von Verantwortung oder das zu hohe Vertrauen in den Bankplatz Schweiz.

«Phishing-Attacken sind ja immer primär Attacken auf die Inkompetenz der Nutzer.»

«Der wichtigste Grundsatz lautet, solche Mails nicht zu öffnen und konsequent zu löschen… denn kein Finanzinstitut dieser Welt sendet Ihnen solche Mail Anfragen!»

das ein Auszug aus den Kommentaren auf den Tagi-Artikel. Auf der gleichen Seite stosse ich noch auf einen Artikel über den IT-Spezialisten, den Romand Paul Such. Als 23-Jähriger gründete er seine eigene Hackerfirma, SCRT. Heute hat er sich auf das Hacken von Autos spezialisiert. Auch Autos werden mittlerweile über Netzwerke gesteuert. Such sagt:

«Nein, die totale Sicherheit vor Hackern wird es nie geben.»

Auf diese Tatsache machen auch die beiden amerikanischen IT-Sicherheitsexperten Richard A Clarke und Robert K. Knake im Buch «World Wide War – Angriff aus dem Internet» aufmerksam.

Verantwortung im WWW lässt sich nicht abschieben.

Welchen Einfluss können wir auf unsere IT-Sicherheit nehmen?
Welchen Einfluss können wir auf unsere IT-Sicherheit nehmen?

5. Was können wir selbst tun, um unsere IT-Sicherheit zu gewährleisten?

IT Sicherheit eine Frage des …?

Man kann als Nutzer nur staunen. Das Internet bietet uns so viele Möglichkeiten und hat unser Leben tatsächlich nachhaltig verändert. Allerdings wurde es nie für 3, 1 Milliarden (Stand Internetbenutzer 2015 – de.statista.com) geplant. Das Internet ist darum als ein «offenes Netz» zu verstehen. Dessen müssen wir uns bewusst sein.

Daten, die die ganze Welt sehen dürfte …

Es dürften nur Daten und Fakten von uns im Internet veröffentlicht werden – oder auf einem PC vorhanden sein – die die ganze Welt sehen dürfte. Ein hoher Anspruch! Damit wird einiges von uns verlangt. Es geht überhaupt nicht um Panik, sondern um unsere eigenen Möglichkeiten, die wir nutzen sollten. Ein anderer Umgang, ein anderes Verhalten. Doch nichts ist so schwer zu ändern, wie Gewohnheiten. Nur ist genau dieser Punkt enorm wichtig. Dazu muss man zugegebenermassen eine gewisse Kompetenz entwickeln. Und die ist durchaus sehr wirksam. Zum Beispiel nicht auf Mails reagieren, die sensitive Daten möchten. Alleine so wären wohl in der Schweiz 2562 Kreditkarten weniger gehackt worden …

Selbstcoaching-Fragen und Tipps:

  • Zugangsdaten für Finanzinstitute werden auf seriöse Weise nie online abgefragt.
  • Lesen Sie die Absendermails und Internetadressen im Browserfenster gut durch. Stimmen diese genau überein?
  • Wie viele Daten braucht diese Welt? Wäre weniger nicht mehr?
  • Das Internet vergisst nichts.
  • Bisherige Posts, Bilder und Blogs reflektieren. Was könnte man in Zukunft anders machen?
  • Gibt es aufgrund eines Stellenwechsels oder aufgrund einer politisch veränderten Situation Gründe, warum ihre Person oder ihre Stelle wichtig für Hacker sein könnte?
  • Keine wichtigen Passwörter auf dem PC speichern.

Quellenangaben

Werbung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert