Immer wieder werden in den Medien von großen Hackerangriffen berichtet. Oft geht es dabei um persönliche Daten, wie Anschriften, Passwörter und Kreditkarteninformationen. Aber es gibt auch kleinere "Hacks", von denen selten berichtet wird, weil sie nur einzelne Personen oder Firmen betroffen. Selten oder nie wird aber erklärt, was hacken eigentlich ist und wie Hacker vorgehen.
Was ist überhaupt ein Hack? Kurz gesagt bezeichnet es nur das Benutzen von Dingen in einer oft sehr kreativen Weise, die so nicht vorgesehen war. Ein Hack kann eine Umgestaltung von Gegenständen sein, es kann die Modifizierung von Programmen beinhalten, um diese auf anderen Systemen zum Laufen zu bekommen, aber eben auch ein unbefugtes Eindringen in ein Computersystem darstellen. Es gibt gute Hacks und böse Hacks und manchmal ist die Grenze dazwischen fließend. Ich möchte hier kurz erklären, wie Hacker vorgehen. Ich werde aber nicht zu weit ins Detail gehen und werde auch keine Werkzeuge nennen. Es soll keine Anleitung sein, sondern die Denkweise von Hackern offenbaren.
Das Ziel
Als erstes braucht es ein Ziel. Bei der Auswahl kommt es auf die Motivation des Hackers an. Soll ein altes Spiel auf einem modernen Rechner zum Laufen gebracht werden? Oder ein modernes Spielzeug zerlegt und in anderer Form zusammengesetzt werden? Aber vielleicht hat unser Hacker auch böses im Spiel und will möglichst viele Kreditkarteninformationen abgreifen.
Informationensbeschaffung
Als nächstes gilt es möglichst viel über das Ziel herauszufinden. Den Anfang machen passive Verfahren. Dokumentationen beschaffen und lesen, Leute anschreiben, die vielleicht mehr wissen. Oder im bösen Fall Listen über Mitarbeiter anlegen und möglichst viel über Websites, Betreiber dieser und die Software darauf herausfinden.
Es folgt der aktive Versuch an Informationen heranzukommen. Bei einem Stück Hardware kann das bedeuten einfach Signale hinzuschicken und schauen, ob sie darauf reagiert. Dann kann vielleicht der Speicher ausgelesen und analysiert werden, um herauszufinden wie sie funktioniert. Soll aber ein Unternehmen angegriffen werden, dann wird oft versucht diese fast professionell auszuspähen. Wann verlassen die Mitarbeiter das Haus? Bleiben Fenster gekippt? Wo hängen Kameras und wie und wann läuft der Wachdienst? Manchmal werden Mülltonnen durchsucht. Ganz dreist wird es, wenn Social Engineering zum Einsatz kommt, was schon ein Hack in sich ist. Dabei wird versucht durch geschickte Fragestellungen über die zuvor gesammelten Informationen an weitere Internas zu gelangen. Manche schrecken auch nicht vor Verwanzung, Bestechung und Bedrohung zurück. Die Verfahren unterscheiden sich dann nicht mehr von denen, die Geheimdienste einsetzen würden.
Der Plan
Aus den so gewonnen Informationen wird ein Plan erstellt. Was lässt sich wie erreichen? In diesem Schritt werden die gewonnen Informationen sortiert und bewertet. Im Falle des Hardwarehacks kann es sein, dass Bauteile umgelötet oder neue Bauteile angelötet werden müssen. Geht es um alte Software ist es vielleicht notwendig ein Wrapper-Programm zu schreiben, welches die Programmaufrufe für das neue System wie ein Dolmetscher übersetzt. Für den Einbruch in ein Serversystem reicht es vielleicht eine veraltete Serversoftware auszunutzen.
Der Hack
Jetzt ist es Zeit den Plan auszuführen, zu Löten, die gelernten Befehle an das Gerät zu schicken oder aber durch Social Engineering Menschen dazu zu bewegen Dinge zu tun, die sonst nicht tun würden. Wenn man dem Ziel schaden will, dann werden manchmal einfach deren Systeme mit vielen Anfragen überfordert, so dass diese nicht mehr benutzbar sind. Oder die gesammelten Informationen werden benutzt, um über Sicherheitslücken in das Computersystem einzudringen und es von innen zu stören. Beides zählt zur Kategorie der Computersabotage. Wird in das System eingedrungen, um Informationen egal welcher Art abzugreifen, dann ist von Computerspionage zu sprechen. Die Grenzen sind manchmal schwimmend, da von der Spionage mittels Sabotage abgelenkt werden soll.
Was kann dagegen getan werden?
Offensichtlich ist das Modifizieren von alten Computern und alter Software kein echtes Problem. Einige Hersteller strengen sich zwar stark an das zu unterbinden, aber nicht aus Gründen der Sicherheit. Gegen Hacker mit böswilliger Absicht hilft hingegen Vorbereitung. Zum einen müssen Angestellte und sonstige Mitarbeiter regelmäßig geschult werden. Wenn zum Beispiel komische Anrufe eintreffen, dann sollten diese nicht einfach auflegen und den Fall vergessen, sondern sich direkt an Vorgesetzte oder die Sicherheitsbeauftragten wenden. Auch sollte am Telefon unbekannten Anrufern oder solchen, die nicht direkt zu identifizieren sind, so wenige Informationen wie möglich gegeben werden. Auf allen Arbeitsrechnern und den Servern müssen immer die aktuellsten Updates eingespielt werden. Viele automatisierte Angriffe lassen sich alleine schon dadurch verhindern.
Wer mehr machen möchte etabliert ein Informationsmanagementsystem (ISMS) und hält dieses aktuell. Dieser Prozess analysiert alle Prozesse und (IT-)Strukturen im Unternehmen und gibt einen Überblick darüber, wo Informationen abgegriffen werden können. Es mag kein Allheilmittel gegen Angriffe sein, denn es kann dabei immer etwas übersehen werden. Doch die regelmäßige Überprüfung minimiert die Angriffsfläche stark. Wichtig ist es auch Notfallpläne zu erstellen für den Fall, dass etwas passiert. Nach einem Einbruch ist die Situation oft chaotisch und ein vorher erstellter Plan hilft Ruhe und den Überlick zu bewahren.