Das Zeitalter der Massenhacks

Inhaltsverzeichnis

Die Zahl riesiger Datendiebstähle nimmt zu, selbst etablierte IT-Unternehmen scheinen den Angriffen der Hacker schutzlos ausgeliefert zu sein. Ist der Kampf verloren?

Es ist der 15. August 2012. Die meisten Mitarbeiter feiern bei ihren Familien den Ramadan, als die Computer der Ölfirma Saudi Aramco zu spinnen beginnen: Bildschirme flickern, manche Rechner reagieren gar nicht oder schalten sich von selbst ab. Dann verschwinden Dateien, ganze Festplatten sind plötzlich gelöscht, das interne Netzwerk bricht vollständig zusammen. Noch bevor die Handvoll anwesender Mitarbeiter versteht, was gerade geschieht, sind mehr als 30000 Rechner unbrauchbar oder ein großer Teil ihrer Daten ist unwiederbringlich gelöscht.

Die Firma Risk Based Security spricht in ihrem Jahresbericht von weltweit 3014 Fällen von Datenverlust allein im vorigen Jahr. Dabei sollen insgesamt 1,1 Milliarden Datensätze erbeutet worden sein. Für denselben Zeitraum nennt der Verizon Data Breach Investigations Report 2122 bestätigte Fälle. Einig sind sich die Quellen darin, dass mindestens 80 Prozent der Diebstähle auf das Konto von Hackern gehen. Den Gesamtschaden durch Hackerangriffe im Jahr 2014 schätzt der IT-Sicherheitsspezialist McAfee auf 375 Milliarden US-Dollar.

Unter den Opfern großer Hacks sind immer wieder auch Institutionen, für die Datensicherheit ein wesentlicher Teil der täglichen Arbeit sein sollte. Seit 2010 waren unter den Betroffenen Finanzinstitute (NASDAQ, JP Morgan), globale Technologie-Unternehmen (Apple, Ebay, Adobe, Sony), Behörden (die EZB, US Office of Personnel Management) und ein Parlament (der deutsche Bundestag).

Wie kommt es, dass sich selbst milliardenschwere Konzerne, etablierte IT-Firmen und staatliche Institutionen gegen Hacker-Angriffe offenbar kaum wehren können? Ist die Sicherheitstechnologie nicht ausgereift genug? Fehlt es den Nutzern an Expertise? Oder macht die Architektur von Rechnern und IT-Netzen Hacks schlicht unvermeidbar?

Um Zugriff auf einen Rechner oder ein Netzwerk zu erlangen, gibt es unterschiedliche Wege. Einer davon besteht darin, über das Internet nach Schwachstellen, sogenannten Remote Exploits, zu suchen. Dazu braucht ein Hacker lediglich eine IP-Adresse: Mit ihr kann er einen entfernten Rechner nach offenen Ports durchsuchen, zum Beispiel jenen Schnittstellen, über die E-Mail- und Chat-Programme oder Internet-Browser mit dem Internet verbunden sind. Oft verrät ein solcher Port-Scan viel über die Architektur und die Sicherheitsvorkehrungen des Computers, etwa welche Programme seine Ports nutzen und welches Betriebssystem auf dem Rechner läuft. Für Hacker gibt es heute sogar kostenlose Software wie "Metasploit", mit der selbst Unerfahrene ohne viel Programmierkenntnis einen fremden Rechner nach Schwachstellen abklopfen können.

Mit den so gewonnenen Informationen kann sich ein Hacker auf die Suche nach bekannten Exploits machen. Entweder testet seine Angriffssoftware die Schwachstellen automatisch, oder er wird in Internet-Foren fündig, in denen sich Interessierte darüber austauschen, wie sie etwa an Login-Daten kommen. Sind diese ergattert, kann der Hacker eine Schadsoftware auf der Plattform ausführen und die computereigene Überwachung des Datenverkehrs oder Anti-Virus-Programme lahmlegen.

Ein anderer Weg in einen Computer führt über den ahnungslosen Nutzer am Bildschirm. Beim Ölkonzern Aramco, so stellte sich später heraus, hatte Mitte des Jahres ein Mitarbeiter auf einen unverdächtig erscheinenden Link in einer E-Mail geklickt. Hinter dem Link verbarg sich der Virus Shamoon, der unbemerkt den Rechner des Mitarbeiters infiltrierte und von dort aus das ganze Aramco-Netzwerk. Laut dem Bericht von Verizon machen solche "Phishing"-Attacken heute 20 Prozent aller Cyber-Angriffe aus, Tendenz seit Jahren steigend.

So kann ein einziger Klick in einer E-Mail Millionenschäden anrichten: Ohne wichtige Vertragsdaten, ohne E-Mail-Adressen, ohne die gespeicherten Belieferungsstrukturen musste Saudi Aramco, das täglich rund 12,5 Millionen Tonnen Öl fördert, wochenlang auf Papierformulare zurückgreifen. Lieferungen verzögerten sich. Bald verschenkte Saudi Aramco sein Öl sogar, um Lieferlücken zu vermeiden. Das Unternehmen selbst bezifferte den Schaden auf rund 15 Millionen US-Dollar. Medienberichte sprachen von bis zu 750 Millionen Dollar.

Whitfield Diffie, Sicherheitsforscher und Erfinder des Public-Key-Verfahrens, warnt aber davor, dem einzelnen Mitarbeiter die Schuld die Schuhe zu schieben. "Beim Hack auf die Firma RSA Security von 2011 zum Beispiel hatte ein Mitarbeiter eine Excel-Tabelle in einer völlig normal anmutenden E-Mail geöffnet", sagt Diffie. "Schnell war der Großteil des Netzwerks seines Arbeitgebers kompromittiert, und es wurden Sicherheitscodes geklaut, mit denen sich weltweit Menschen authentifizieren."

In Fällen wie Saudi Aramco oder RSA Security hätten Mitarbeiter einfach keine Chance, hinter einer E-Mail einen Angriff zu erkennen. Das tiefer liegende Problem bestehe darin, dass es eine Schadsoftware auf Computern sehr leicht hat. Denn die Architektur der heutigen Geräte erlaubt es selbst Verwaltungssoftware wie Excel, jeden beliebigen Code auf dem Rechner auszuführen. Hat ein Angreifer also erst mal Zugang zu einem Computersystem, bekommt er über eingeschleusten Code viel zu schnell Zugriff auf alle Funktionen.

Zwar werden Schwachstellen von Software-Anbietern schnell geflickt, auf Englisch "gepatcht". Systemadministratoren erledigen aber die neuesten Updates oft nicht zügig genug. So bleibt Hackern viel Zeit, um Systeme über ein bekanntes Exploit anzugreifen und dabei wieder neue Angriffspunkte auszumachen. Dem Sicherheitsbericht von Verizon zufolge werden Exploits in 99,9 Prozent der Fälle mehr als ein Jahr, nachdem die eigentliche Schwachstelle bekannt wird, zum ersten Mal ausgenutzt. Im Jahr 2014 sollen 97 Prozent aller Exploits auf nur zehn bereits bekannte Sicherheitsmängel zurückführbar gewesen sein.