Lehren aus der Geschichte der Cyberkriminalität Niemand hackt mehr zum Spaß!

Autor / Redakteur: Rik Ferguson / Peter Schmitz

Kein Tag vergeht derzeit ohne neue Berichte über Hacker-Angriffe. Die Liste der angegriffenen Unternehmen ist lang und beeindruckend, sie reicht von Google, RSA, Visa, MasterCard, Citibank, dem US-Senat, dem britischen National Health Service, Fox, Sony und Sega, bis hin zum CIA. Sind diese konzertierten Angriffe von Hacker-Gruppen etwas grundlegend Neues, gibt es so etwas wie eine neue „Hack-Ordnung“ im Web? Oder muss man vielleicht sogar von einem „Cyberkrieg“ sprechen?

Firmen zum Thema

Bringen Anonymous, LulzSec und Co eine neue „Hack-Ordnung“ oder sind die aktuellen Entwicklungen ein ganz normaler Prozess auf den man reagieren muss?
Bringen Anonymous, LulzSec und Co eine neue „Hack-Ordnung“ oder sind die aktuellen Entwicklungen ein ganz normaler Prozess auf den man reagieren muss?
( Archiv: Vogel Business Media )

Natürlich sind Hacker-Gruppen kein neues Phänomen. Erstmals kamen sie in den Anfangstagen der PCs während der frühen achtziger Jahre auf. Damals boten sie ihren Mitgliedern Foren, in denen diese sich informieren, lernen und ihre Fähigkeiten miteinander messen konnten. Die neunziger Jahre sahen dann den Aufstieg einer anderen Art von Hacker-Gruppe: „L0pht Heavy Industries“ wurde eher als Forschungsorganisation betrieben, offerierte Software-Tools und gab Hinweise auf Sicherheitslücken. Berühmt wurde 1998 ihr Beweis für den US-Kongress, dass sie das gesamte Internet in weniger als 30 Minuten würden lahmlegen können.

Vorhang auf für Anonymous

Das neue Jahrtausend erlebt nun den Aufstieg von „Anonymous“ und in jüngerer Zeit von „LulzSec“. Ersteres ist ein Kollektiv, das mit Angriffen auf die Scientology-Kirche begann und sich dank der breiten Medienberichterstattung zu einem größeren „Unternehmen“ entwickelt hat. Es handelt sich dabei um keine „geschlossene Gruppe“: Anwender können einer solchen zentralen Einrichtung die Kontrolle über ihren Computer übergeben, damit die Angriffe besser gesteuert und kontrolliert werden können.

Demgegenüber ist „Lulz Sec“ eine in sich geschlossene Gruppe, deren einzige Motivation in Anarchie besteht. Ähnliche Gruppierungen finden sich auf der ganzen Welt: In Pakistan und Indien beispielsweise ist ein heftiger Wettbewerb zwischen den einzelnen Gruppen entbrannt, in Rumänien haben Organisationen wie „HackersBlog“ bereits verschiedene Unternehmen angegriffen.

Es geht also keineswegs nur um Hacking zum „Spaß“ und des Ruhms wegen. Die organisierte Kriminalität beschäftigt sich mit dem Thema bereits seit vielen Jahren, in den vergangenen zwölf Monaten gab es lediglich einen deutlichen Anstieg, was die Häufigkeit der Angriffe betrifft. Ziel dieser Angriffe: Informationsdiebstahl und finanzielle Bereicherung. Ein einziger Angriff kann zu einer derartig großen Ausbeute an weiterverkaufbaren oder anderweitig zu missbrauchenden persönlichen Daten führen, dass sich eher die Frage stellt: Warum hat es so lange gedauert, bis diese Entwicklung Fahrt aufgenommen hat?

Seite 2: Lehren die man aus den Hacks der letzten Jahre ziehen kann

hackende Regierungen führen Cyberkrieg?

Ein weiteres Phänomen, das in jüngster Vergangenheit ins öffentliche Interesse gerückt ist, betrifft die angebliche Beteiligung von Regierungen. Auch wenn die jüngsten Berichterstattung in der Presse dies glauben machen will ist auch diese Entwicklung nichts Neues. Die „Titan Rain“-Angriffe aus dem Jahr 2003 sind dafür ein gutes Beispiel. Damals wurde China des Diebstahls großer Mengen an Informationen aus militärischen und staatlichen Einrichtungen beschuldigt.

In eine ähnliche Richtung zielen nun die jüngsten Angriffe auf RSA, den Europarat, das Französische Finanzministerium, die kanadische Regierung, Lockheed Martin, ebenso wie auch der Stuxnet-Fall. In der Tat haben derart viele Fortschritte auf dem Gebiet der Technologie und Kryptografie ihre Wurzeln in der Spionage, dass man sich nicht zu wundern braucht, wenn Geheimdienste mithilfe von moderner Technik ihre nationalen oder wirtschaftlichen Interessen wahren wollen.

Was nicht heißt, dass man von einem weltweiten Online-GAU, dem Ende der Internet-Wirtschaft oder der nationalen Sicherheit sprechen kann. Vielmehr handelt es sich hierbei schlicht um einen Evolutionsprozess, der derzeit im Gange ist. Sicherheitsanbieter und Unternehmen müssen sich genauso weiterentwickeln wie Privatanwender, um ihre Lehren zu ziehen. Speziell aus dem Vorgehen der Cyberkriminellen in den vergangenen Jahren lassen sich sogar einige Lehren ziehen, im Hinblick darauf, was man tun sollte um seine Systeme und Anwendugnen besser gegen Angriffe abzusichern:

  • Datenverschlüsselung,
  • Einbeziehung der Sicherheit in die Software-Entwicklung,
  • richtige Konfigurationen,
  • richtiges Testen der Sicherheitsmechanismen,
  • Einsatz komplexer Passwörter,
  • Abschirmen der Schwachstellen
  • Entwickeln der Systeme mit dem Wissen im Hinterkopf, dass Angriffe erfolgen werden. Garantiert.

Über den Autor

Rik Ferguson ist „Director Security Research & Communication EMEA“ bei Trend Micro. In dieser Position konzentriert er sich auf die Erforschung neuer Bedrohungen, besonders im Social-Networking-Bereich. Gleichzeitig ist Ferguson, der über mehr als 17 Jahre Erfahrung in der IT-Sicherheit verfügt, Sprecher des Unternehmens für die EMEA-Region sowie Autor des Blogs „CounterMeasures: a Trend Micro blog“. Rik Ferguson ist „Certified Ethical Hacker“, der im Unternehmensauftrag legale Tests mit den Mitteln und Vorgehensweisen eines richtigen Hackers ausführt.

(ID:2052044)