Schwach-stellen Der Mensch |
Der Mensch ist die größte
Schwachstelle |
Konten sekundenschnell gehackt Forscher warnen vor Whatsapp-W-Lücke |
|
|
|
Der erschreckend einfache Weg, sich in
Systeme zu hacken
Cyberattacken verursachen jährlich Schäden in
Milliardenhöhe. Eine häufige Fehlerquelle ist der Mensch
Andreas Danzer 31. Jänner 2020, 09:00
Wien – Wer sich erfolgreich verteidigen will,
muss wissen, gegen wen er kämpft. Das galt bei den alten Römern und gilt
auch heute noch. Selbst wenn sich Waffen wie Schwerter verwandelt haben,
beispielsweise in USB-Sticks oder E-Mails. Jährlich schnellen die Kosten
zur Abwehr von Cyberkriminalität in die Höhe. Beim World Economic Forum
prognostizierten Experten für den Zeitraum von 2019 bis 2023 einen
Schaden durch Cyberattacken in der Höhe von rund fünf Billionen Dollar.
Zusätzlich häufen sich die Meldungen prominenter Institutionen, die
Angriffen zum Opfer fielen, hierzulande in jüngerer Vergangenheit etwa
das Außenministerium, das UN-Büro oder die Austria Presse-Agentur.
"Heutzutage kann beinahe jeder ohne großen
technischen Aufwand Hacker werden und damit Geld verdienen", sagt
Alexandra Kroon von IBM. Sie ist Cybercrime-Expertin und gastiert gerade
mit dem IBM X-Force Command Center in Wien. Dabei handelt es sich um
einen umgebauten Lkw, der nun als eine Art mobile Kommandozentrale zur
Simulation von Cyberangriffen in Echtzeit dient. Darin veranstaltet IBM
Coachings für Unternehmen, um Mitarbeiter, aber auch immer mehr
Stundenten oder Schüler für das Thema Sicherheit zu sensibilisieren.
Vollgestopft mit technischem Schnickschnack und etlichen Bildschirmen,
demonstrieren die Experten, wie erschreckend einfach es ist, sich Zugang
zu fremden Smartphones oder Systemen zu verschaffen. Der Fokus liegt auf
der Schwachstelle Mensch.
Diesen Truck hat IBM umfunktioniert und eine
technische "Ansa-Panier" verpasst.
Ein USB-Stick etwa kann weit mehr Schaden
anrichten, als man meinen möchte. Vor allem wenn es sich um ein
sogenanntes "Rubber Ducky" handelt. Sieht aus wie ein herkömmlicher
USB-Stick, hat jedoch einen Chip eingebaut, und einmal kurz an einem
Laptop angesteckt, ist dieser kompromittiert. Ein Rubber Ducky gibt sich
als Tastatur aus und tippt blitzschnell vorab programmierte
Tastenbefehle ein, wodurch der Hacker Hoheit über das Gerät erhält.
Trojanischer Stick
Den Pseudo-Speicherstick gibt es auf Amazon zu
kaufen, die vorgefertigten Befehle zum Download im Internet. Ein
Praxisbeispiel: Aus Studienzwecken wurden Rubber Duckies in Parkhäusern
ausgeteilt. Rund die Hälfte der vorbeikommenden Personen hob den
trojanischen Stick auf und steckte ihn an. Voilà. Das Unglück kann
seinen Lauf nehmen.
"Darf ich mein Handy an ihrem Laptop
aufladen?" – keine verwerfliche Frage. Beim Ladekabel könnte es sich
jedoch um einen USB-Ninja handeln. Es erfüllt einerseits den Zweck eines
Ladekabels, andererseits lässt sich via Bluetooth ein Befehl senden, und
das eigene Gerät wird zum Selbstbedienungsladen.
Dem nicht genug. Ein USB-Stick lässt sich als
wortwörtlicher Brandherd einsetzen. Sogenannte Killer-USBs erzeugen hohe
Spannungen, entladen diese sofort über den Port und wiederholen den
Vorgang mehrere Male pro Sekunde. Im schlimmsten Fall entfacht das einen
Brand.
Von innen ähnelt der Truck einer
Kommandozentrale aus einem Science-Fiction-Film. Was darin passiert, hat
damit ebenso eine gewisse Ähnlichkeit.
Heimtückische Ananas
Es wird allgemein davon abgeraten,
beispielsweise Banküberweisungen zu tätigen, solange man mit einem
öffentlichen WLAN-Netzwerk verbunden ist. Der Grund dafür sind
"Wi-Fi-Pineapples". Das Gerät ähnelt einem WLAN-Router, dient allerdings
für "Man in the Middle"-Angriffe. Es imitiert existierende Netzwerke,
Flughäfen oder Cafés bieten sich an. Aus Bequemlichkeit haben viele
Menschen die automatische Einloggfunktion am Smartphone aktiviert, was
Hackern in die Hände spielt. Wer also bei "Free Wifi Airport" eingeloggt
ist, obwohl er sich in einem Kaffeehaus befindet, sollte
schnellstmöglich die Verbindung trennen. Einmal drinnen, lässt sich
anhand der WLAN-Historie im Smartphone auch ein durchaus
aussagekräftiges Profil des Benutzers erstellen.
Mit Phishing-Mails kam praktisch jeder schon
einmal in Berührung. Man wird via E-Mail aufgefordert, sich "aus
Sicherheitsgründen" auf einer dem User bekannten Seite einzuloggen. In
der Regel haben Hacker zuvor einen Klon von besagter Seite erstellt. Wer
der Aufforderung Folge leistet, hat verloren. Dann ist der Zugang zu
persönlichen Daten oder auch dem Bankkonto offengelegt.
Die Sicherheitsexperten Pompeo D'urso, Stephan
Preining und Alexandra Kroon (von links) demonstrierten, wie schnell
sich ein System hacken lässt.
Wachsendes "Geschäft"
Die notwendigen Gerätschaften lassen sich für
meist wenig Geld im Internet bestellen, "Bedienungsanleitungen" spuckt
Google aus. Phishing-Mails lassen sich verfolgen wie Marketingkampagnen.
Das hat zur Folge, dass Unternehmen über hervorragende
Sicherheitssysteme verfügen können, ein einzelner Mitarbeiter mit einem
falschen Klick jedoch viel Schaden anrichten kann. "Üblicherweise merkt
eine Firma erst nach rund 200 Tagen, dass jemand im System
herumgeistert, der da nicht sein darf", erklärt Kroon. Deshalb müsse die
Fehlerquelle Mensch entsprechend geschult werden. (Andreas Danzer,
31.1.2020)
World Economic Forum
Mehr zum Thema:
https://www.derstandard.at/story/2000113983055/im-kopf-eines-hackers-wo-die-gefahren-fuer-cyberangriffe-lauern