Eintrittskarten für Hacker werden von Mitarbeitern verteilt

Wenn Oliver Münchow, Geschäftsführer der schweizerischen Netprotect AG, einen Vortrag beginnt, legt er die Folie einer Sicherheitsarchitektur auf. Die einzelnen Elemente wie Firewalls, Virenscanner, Filterprogramme und Authentifizierungssysteme haben zwar rund 80 Prozent aller Unternehmen im Einsatz, doch nur so zusammengestellt entsteht “ein Mercedes unter den Sicherheitslösungen”, so Münchow. “Halten Sie eine solche Infrastruktur für sicher?” fragte er neulich auch Microsoft-Kunden, die sich zum NT-Anwendertreffen eingefunden hatten.
Das Publikum reagierte erst aufgeschreckt, denn der Münchow-Vortrag war als Life-Hacking angekündigt, aber angesichts der Folie und im offenbar guten Gauben, genug für die Security im eigenen Unternehmen getan zu haben, lehnte man sich entspannt zurück. Einige nickten.

Die größte Gefahr geht vom Mitarbeiter aus

Münchow leitet eine kleine Firma, die im Auftrag von Kunden Penetration-Tests macht, also hackt und Schlupflöcher aufdeckt. Dazu gehören auch sogenannte “social engineering attacks”. Dabei geht es darum, eine Person so zu beeinflussen, dass sie sensible Informationen preisgibt: “Ich bin Systemadministrator XXX und arbeite mit YYY zusammen. Seit gestern blockiert eine Ihrer Mails unsere Mail-Queue. Geben Sie uns kurz Ihren User-Namen und das Passwort. Dann können wir uns auf Ihrem Account einloggen und die Mail manuell weiterleiten….”. Wer einen solchen Anruf erhält, gibt in sechs von neun Fällen sein Passwort und seinen Benutzernamen preis.

Überhaupt liegt die größte Gefährdung von Unternehmen innerhalb des Betriebs. Das bestätigt auch Gernot Hacker, Senior Technical Consultant bei dem Hersteller von Antivirensoftware Sophos: “Die größte Gefahr geht von den Mitarbeitern aus. Oft spielten sie mit den zahlreichen, frei verfügbaren Viren-Tools herum nach dem Motto ‘Das hört sich lustig an, das tu ich einfach mal’.”

Die kleinen Programmier-Werkzeuge, mit denen sich Viren, Würmer und Trojaner basteln lassen, sind einfach zu finden, verrät Münchow. Die meisten enden mit dem Buchstaben “z” zum Beispiel: gamez, appz, toolz, warez, up3z und serialz. Darüber hinaus sind sie simpel zu bedienen. Viele kommen längst mit grafischer Oberfläche daher, in der sich auch Laienhacker per Point-and-Click bewegen können. Ausprobiert wird das Störprogrämmchen beim Kollegen, um ihn damit zu necken. Zum Beispiel lassen sich einzelne Buchstaben tauschen oder Seitenteile verschwinden.

Übereinstimmend stellen Hacker und Münchow fest, dass es in den Unternehmen offenbar an Aufklärung mangelt. Die Mitarbeiter sollten wissen, welchen Schaden sie unter Umständen anrichten können, wenn sie Unbekanntes ausprobierten. Sie müssten schlichtweg ein besseres Gespür für Gefahren bekommen. Hacker erzählt, dass ausgerechnet die Helpdesk-Abteilung seines früheren Arbeitgebers, die es hätte besser wissen müssen, vor drei Jahren den Love-Letter-Virus einschleuste und so eine unternehmensweite Lawine lostrat.

Stärkere interne Kontrollen durch Virenscanner zum Beispiel hält Hacker dagegen in vielen Fällen für absurd. So seien sensible Daten zumeist für Virenscanner unlesbar, weil sie Passwort-geschützt und verschlüsselt sind. Entsprechende Mails dürften nicht oder mit großem Aufwand passieren. Solche Maßnahmen würden etwa eine Personalabteilung lahm legen.

Fast alle Angriffe nutzen bekannte Sicherheitslücken

Bezüglich der Angriffe von außen auf ein Unternehmen gibt Münchow erst einmal Entwarnung. Die meisten Attacken sind keine gezielten, bei denen ein Unternehmen ausspioniert oder geschädigt werden soll. Häufig stecken Skript-Kiddies dahinter und schlichtweg grober Unfug.

Trotzdem können den angegriffenen Firmen große Schäden entstehen. Die Angriffe nützen in der Regel Schwachstellen aus, die nicht rechtzeitig durch einen entsprechenden Patch verschlossen werden. Nach Angaben des amerikanischen Computer Emergency Response Team (CERT) gehen 95 Prozent aller Fälle unberechtigten Eindringens auf bekannte Sicherheitsmängel oder Konfigurationsfehler zurück.

Mit Hilfe von Software-Agenten lassen sich bekannte Sicherheitslücken aufspüren. Um etwa 250 Rechner zu scannen, erläutert Hacker, benötigt ein solches Tool Minuten oder gar nur ein paar Sekunden, abhängig von der Kapazität der Leitung. Somit lassen sich innerhalb einer Stunde bis zu 30 000 Rechner auf ihre Schwächen und ihre IP-Adressen überprüfen. Deshalb ist es dem Sophos-Mitarbeiter Hacker ein Dorn im Auge, wenn IT-Security-Firmen entdeckte Softwarefehler veröffentlichen, ohne den Softwareherstellern die Chance zu geben, baldigst mit einem Patch aufwarten zu können.

Darüber hinaus gibt es allerdings besonders gefährdete Adressen. So gelte es in der Szene zum Beispiel als “prestigeträchtig, Quellcode von Microsoft zu mopsen”, berichtet Hacker. Beliebt als Angriffsziele sind auch Banken. Vor zwei Jahren etwa machte ein Bericht vom Norddeutschen Rundfunk Schlagzeilen, als das TV-Magazin ARD-Ratgeber Technik zeigte, wie ein beauftragter Hacker in den Homebanking-Computer einbrach. Innerhalb weniger Tage habe man 1,5 Millionen Onlinebuchungen einschließlich Geheimnummern abfangen können, hieß es in der Sendung. Außerdem sind die IP-Adressen zum Beispiel von der Deutschen Post öffentlich zugänglich und daher ohnehin Anreiz für schlimme Programmierfinger.

Hacken = Schwachstellen suchen und nutzen

Detlef Hühnlein, Senior-Berater bei der secunet Security Networks, Michelau, hat das grundsätzliche Vorgehen von Hackern einmal zusammengestellt. Zunächst geht es darum, Informationen zu sammeln. Da gibt es sowohl öffentlich zugängliche Informationsstellen wie Internet-Registries, Domain-Name-Services (DNS) und Tools wie whois, nslookup, finger, aber auch das Social Engineering.

Daraus lassen sich dann Verzeichnisse erstellen von aktiven IP-Adressen, DNS-Einträgen, Plattformen, laufende Services (Ports), Netzwerken, Routern, Pfaden, registrierten Benutzern oder SNMP-Services. Auch hierfür gibt es Werkzeug: nmap, dig, snmp-Tools, traceroute, CastingNT und netcat beispielsweise.

Zur Vorbereitung gehört dann auch das Identifizieren von Schwachstellen wie – Konfigurations- und Design-Fehler, etwa “private” Dial in-Zugänge oder Buffer-Overflows. Zu den bekannten Schwachstellen-Scannern gehören der Internet Security Scanner sowie die Programme Nessus, SATAN und Saint.

Darüber hinaus lassen sich aber auch IP-Netze abhören, zum Beispiel durch die Installation sogenannter Packet-Sniffers wie Sniffit oder tcpdump. Sofern Mails unverschlüsselt sind, lassen sich auch diese abhören.

Der Erfindungsreichtum von Hackern kennt offenbar keine Grenzen. Als beliebter Trick gilt etwa Surfer zu einer falschen Web-Adresse zu locken, um sie quasi auszuhorchen oder direkt anzugreifen. Die Kriminellen bauen zum Beispiel die Startseite einer Bank nach. Ehe der User merkt, dass er sich auf der falschen Site befindet, hat er unter Umständen sogar bereits einige Kästchen mit seinen Angaben ausgefüllt. Betrüger können sich diese Informationen zunutze machen.

Die Folgen sind ernst

Die Folgen eines Einbruchs sind vielfältig. Schafft es ein Hacker, beispielsweise in einem Formular Code einzutragen, kann er sogar bis zur Datenbank vordringen und die gelagerten Informationen ändern oder löschen. Man spricht von SQL-Injection-Attacken. Sie werden wie auch Cross-Scripting-Attacken durch Konfigurationsfehler ermöglicht.

Als vergleichsweise harmlos erscheint dagegen das Verändern der Web-Seite selbst. Rechner und Daten bleiben von unliebsamen Eingriffen verschont. Allerdings entsteht ein Imageschaden.

Die NT-Anwender, die dem Vortrag Münchows lauschten, belächelten diesen Punkt der Ausführung nur kurz. Der Sicherheitsprofi zeigte das Beispiel der australischen Fluggesellschaft Air Tran. Vor dem Angriff zeigt die Home-Seite ein Flugzeug, das in den Himmel steigt und den Slogan “the making of a new airline”. Nach einem Flugzeugabsturz brannte der aufsteigende Flieger und aus dem Motto war geworden: “So we killed a few people, big deal”. Das Lächeln auf den Gesichtern der NT-Spezialisten fror angesichts solch fragwürdigen Humors ein. Der Imageschaden war zu einer konkreten Bedrohung geworden.

Selbst Firmen, die Sicherheitsprodukte verkaufen wie RSA Security, können solche Attacken treffen. Vor zwei Jahren fanden sich auf einmal in den Köpfen von zwei abgebildeten Personen Schlüssellöcher und in den Händen beider Männer Schlüssel.

Solche Exempel zeigen, wie wichtig Sorgfalt im Umgang mit Patches und der Konfiguration von Sicherheitsprodukten ist. Andererseits belegen die Beispiele, dass es unmöglich ist, ein Unternehmen komplett abzudichten. Schutzmaßnahmen verhinderten laut Münchow Einbrüche nicht – sie verbreitern nur das Zeitfenster, das ein Angreifer für einen erfolgreichen Datenklau benötigt. Die Verantwortlichen müssten sich deshalb fragen, wie viel Aufwand Hacker betreiben müssen, um in die Unternehmens-DV eindringen zu können. Reichen für einen Angriff Jedermann-Tools, sind Tage notwendig oder Monate der Recherche? Nur Firmen, die gefährdet sind, müssen eventuell einer monatelangen gezielten Attacke standhalten.