Homepage Cyberwar Cybersecurity Cyberspace C-Spionage C-Sabotage Gefährdung Kriminalität Computer Kommunikation mod. Systeme Der Mensch Beratung Bildung Fachberichte Information Kryptologie Emission Verschlüsselung Forschung Begriffe Recht Technik Verschiedenes
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch
Der Mensch eine entscheidende Schwachstelle
Schwachstelle Mensch
Der erschreckend einfache Weg, sich in Systeme zu hacken

 


 

 
 
 
 
 
 
Standard

Schwachstelle Mensch

Der erschreckend einfache Weg, sich in Systeme zu hacken
Cyberattacken verursachen jährlich Schäden in Milliardenhöhe. Eine häufige Fehlerquelle ist der Mensch
Andreas Danzer 31. Jänner 2020, 09:00

Wien – Wer sich erfolgreich verteidigen will, muss wissen, gegen wen er kämpft. Das galt bei den alten Römern und gilt auch heute noch. Selbst wenn sich Waffen wie Schwerter verwandelt haben, beispielsweise in USB-Sticks oder E-Mails. Jährlich schnellen die Kosten zur Abwehr von Cyberkriminalität in die Höhe. Beim World Economic Forum prognostizierten Experten für den Zeitraum von 2019 bis 2023 einen Schaden durch Cyberattacken in der Höhe von rund fünf Billionen Dollar. Zusätzlich häufen sich die Meldungen prominenter Institutionen, die Angriffen zum Opfer fielen, hierzulande in jüngerer Vergangenheit etwa das Außenministerium, das UN-Büro oder die Austria Presse-Agentur.
"Heutzutage kann beinahe jeder ohne großen technischen Aufwand Hacker werden und damit Geld verdienen", sagt Alexandra Kroon von IBM. Sie ist Cybercrime-Expertin und gastiert gerade mit dem IBM X-Force Command Center in Wien. Dabei handelt es sich um einen umgebauten Lkw, der nun als eine Art mobile Kommandozentrale zur Simulation von Cyberangriffen in Echtzeit dient. Darin veranstaltet IBM Coachings für Unternehmen, um Mitarbeiter, aber auch immer mehr Stundenten oder Schüler für das Thema Sicherheit zu sensibilisieren. Vollgestopft mit technischem Schnickschnack und etlichen Bildschirmen, demonstrieren die Experten, wie erschreckend einfach es ist, sich Zugang zu fremden Smartphones oder Systemen zu verschaffen. Der Fokus liegt auf der Schwachstelle Mensch.


Diesen Truck hat IBM umfunktioniert und eine technische "Ansa-Panier" verpasst.

Ein USB-Stick etwa kann weit mehr Schaden anrichten, als man meinen möchte. Vor allem wenn es sich um ein sogenanntes "Rubber Ducky" handelt. Sieht aus wie ein herkömmlicher USB-Stick, hat jedoch einen Chip eingebaut, und einmal kurz an einem Laptop angesteckt, ist dieser kompromittiert. Ein Rubber Ducky gibt sich als Tastatur aus und tippt blitzschnell vorab programmierte Tastenbefehle ein, wodurch der Hacker Hoheit über das Gerät erhält.

Trojanischer Stick
Den Pseudo-Speicherstick gibt es auf Amazon zu kaufen, die vorgefertigten Befehle zum Download im Internet. Ein Praxisbeispiel: Aus Studienzwecken wurden Rubber Duckies in Parkhäusern ausgeteilt. Rund die Hälfte der vorbeikommenden Personen hob den trojanischen Stick auf und steckte ihn an. Voilà. Das Unglück kann seinen Lauf nehmen.
"Darf ich mein Handy an ihrem Laptop aufladen?" – keine verwerfliche Frage. Beim Ladekabel könnte es sich jedoch um einen USB-Ninja handeln. Es erfüllt einerseits den Zweck eines Ladekabels, andererseits lässt sich via Bluetooth ein Befehl senden, und das eigene Gerät wird zum Selbstbedienungsladen.
Dem nicht genug. Ein USB-Stick lässt sich als wortwörtlicher Brandherd einsetzen. Sogenannte Killer-USBs erzeugen hohe Spannungen, entladen diese sofort über den Port und wiederholen den Vorgang mehrere Male pro Sekunde. Im schlimmsten Fall entfacht das einen Brand.


Von innen ähnelt der Truck einer Kommandozentrale aus einem Science-Fiction-Film. Was darin passiert, hat damit ebenso eine gewisse Ähnlichkeit.

Heimtückische Ananas
Es wird allgemein davon abgeraten, beispielsweise Banküberweisungen zu tätigen, solange man mit einem öffentlichen WLAN-Netzwerk verbunden ist. Der Grund dafür sind "Wi-Fi-Pineapples". Das Gerät ähnelt einem WLAN-Router, dient allerdings für "Man in the Middle"-Angriffe. Es imitiert existierende Netzwerke, Flughäfen oder Cafés bieten sich an. Aus Bequemlichkeit haben viele Menschen die automatische Einloggfunktion am Smartphone aktiviert, was Hackern in die Hände spielt. Wer also bei "Free Wifi Airport" eingeloggt ist, obwohl er sich in einem Kaffeehaus befindet, sollte schnellstmöglich die Verbindung trennen. Einmal drinnen, lässt sich anhand der WLAN-Historie im Smartphone auch ein durchaus aussagekräftiges Profil des Benutzers erstellen.

Mit Phishing-Mails kam praktisch jeder schon einmal in Berührung. Man wird via E-Mail aufgefordert, sich "aus Sicherheitsgründen" auf einer dem User bekannten Seite einzuloggen. In der Regel haben Hacker zuvor einen Klon von besagter Seite erstellt. Wer der Aufforderung Folge leistet, hat verloren. Dann ist der Zugang zu persönlichen Daten oder auch dem Bankkonto offengelegt.


Die Sicherheitsexperten Pompeo D'urso, Stephan Preining und Alexandra Kroon (von links) demonstrierten, wie schnell sich ein System hacken lässt.


Wachsendes "Geschäft"
Die notwendigen Gerätschaften lassen sich für meist wenig Geld im Internet bestellen, "Bedienungsanleitungen" spuckt Google aus. Phishing-Mails lassen sich verfolgen wie Marketingkampagnen. Das hat zur Folge, dass Unternehmen über hervorragende Sicherheitssysteme verfügen können, ein einzelner Mitarbeiter mit einem falschen Klick jedoch viel Schaden anrichten kann. "Üblicherweise merkt eine Firma erst nach rund 200 Tagen, dass jemand im System herumgeistert, der da nicht sein darf", erklärt Kroon. Deshalb müsse die Fehlerquelle Mensch entsprechend geschult werden. (Andreas Danzer, 31.1.2020)
World Economic Forum
Mehr zum Thema:
https://www.derstandard.at/story/2000113983055/im-kopf-eines-hackers-wo-die-gefahren-fuer-cyberangriffe-lauern