«Die Welt brennen sehen»: Hacker missbrauchen sensible Daten

07.06.2016
Kriminelle Hacker haben Hochkonjunktur. Ganze Hacker-Gruppen sind im Netz auf Tricks spezialisiert, um an sensible Daten zu kommen. Dabei können sie großen Schaden anrichten.
Weil das Karrierenetzwerk LinkedIn gehackt wurde, brauchen die Nutzer nun ein neues Passwort. Foto: Jens Büttner
Weil das Karrierenetzwerk LinkedIn gehackt wurde, brauchen die Nutzer nun ein neues Passwort. Foto: Jens Büttner

Bremen (dpa) - Mit tiefen Augenringen sitzen übernächtigte Hacker an überladenen Schreibtischen, leere Cola-Dosen und Pizza-Schachteln stapeln sich um sie herum. So stellt man sich Hacker vor, die in fremde Netzwerke eindringen - ein Klischee.

Kriminelle Hacker sind oft sehr organisiert und agieren hochprofessionell. Und: Es gibt auch «gute», gesetzestreue Hacker, die den Kriminellen die Arbeit erschweren. Henning Ziegler (27) und Carsten Cordes (29) gehören zur letzteren Gruppe. Sie sind IT-Sicherheitsspezialisten des Bremer IT-Unternehmens HEC und versuchen, Schwachstellen in Programmen und Webseiten zu finden, die vertrauliche Daten preisgeben könnten.

Für kriminelle Hacker lohnt sich das Geschäft mit Nutzerdaten: Je mehr Informationen sie erbeuten, desto mehr können sie für die Datensätze verlangen. «Es gibt garantiert auch ein, zwei, die einfach nur die Welt brennen sehen wollen - es gibt Leute, die wollen einfach nur kaputt machen, aber der Großteil wird natürlich auf Geld aus sein», erklärt Ziegler.

Regelmäßige Datenlecks großer Unternehmen zeigen die steigende Notwendigkeit für IT-Security-Spezialisten. Zuletzt sorgte das Karriere-Netzwerk LinkedIn für Schlagzeilen. Im Mai soll dort ein Hacker weiter über 100 Millionen Datensätze aus einem Datenleck von 2012 online im Darknet zum Verkauf angeboten haben. Im Darknet können sich Internetnutzer weitgehend unerkannt bewegen. Der nur über Anonymisierungsdienste wie TOR erreichbare Teil des Internets wird vor allem von Kriminellen genutzt.

Wenn Mail-Adressen, Namen oder Passwörter erst einmal verkauft wurden, können sie für Spamkampagnen missbraucht werden, beschreibt Cordes das Dilemma. Dabei gilt: Je mehr Informationen die Hacker haben, desto personalisierter können derartige Spamnetzwerke gefälschte Mails verfassen. Am Mittwoch (8. Juni) geht es beim 38. Bremer Security Forum um Strategien gegen Cyber-Attacken.

Das Landeskriminalamt in Niedersachsen erkennt derzeit einen Trend: «Momentan weit verbreitet ist die Infektion mit sogenannter Ransomware in Form eines Verschlüsselungstrojaners, der gegen die Zahlung einer bestimmten Summe in Bitcoin die zuvor verschlüsselten Daten wieder freigibt.» Im Klartext: Einmal raufgeklickt, sperrt das per Mail versendete Schadprogramm den Computer, der erst nach Zahlung von Lösegeld - hoffentlich - wieder freigeschaltet wird. Um gegen solche Erpressungstrojaner und andere Betrugsmaschen vorzugehen, hat das LKA Niedersachsen 2009 eine Zentralstelle für Internetkriminalität eingerichtet.

Wie so oft bei Computern sitzt eine der Hauptfehlerquellen vor dem Bildschirm. «Man schaut schon danach, was der einfachste Weg ist, um in ein System reinzukommen», sagt Cordes. Die größte Schwachstelle ist oft der Mensch. Kriminelle Hacker versuchen ganz simpel per Telefon oder gar persönlich Passwörter und Daten zu beschaffen. Oder sie spionieren Abwesenheiten von Arbeitnehmern aus, wenn diese über soziale Netzwerke freizügig ihre Urlaubspläne kundtun.

Im Kampf gegen Cyperattacken gehen viele Unternehmen auch ungewohnte Wege. Sie rufen «gute» Hacker dazu auf, Sicherheitslücken zu finden. Das Stichwort heißt «Bug Bounty». Bei diesen Programmen werden Hacker finanziell belohnt, wenn sie ein Leck im Sicherheitssystem finden. Bei der Telekom etwa stößt das Programm auf rege Beteiligung. «Bug Bounty Programme leben von Offenheit», sagt eine Telekom-Sprecherin. «Wir machen aus den geschlossenen Lücken keinen Hehl.»

Telekom zu Cybersicherheit

LinkedIn zu Datenleck

Firmenliste Bug-Bounty-Programme

BSI-Tipps zum Umgang mit Passwörtern

Passwortwechsel-App (Android, iOS und Windows Phone)

Mitteilung im Eco-Blog Botfrei.de

Alter Linkedin-Hack holt Nutzer ein: Dringend Passwörter ändern

Betroffen sein können sowohl aktuelle als auch ehemalige Linkedin-Nutzer: Wer bei dem Karrierenetzwerk seit dem Jahr 2012 dasselbe Passwort verwendet, sollte es jetzt dringend ändern - und zwar auch bei anderen Diensten, für die das alte Passwort heute noch verwendet wird. Darauf weist der Verband der Internetwirtschaft (Eco) hin. Hintergrund ist, dass Hacker bereits im Jahr 2012 mehr als 100 Millionen Datensätze mit Benutzernamen und Passwörtern entwendet haben. Die Daten sind kürzlich im Netz veröffentlicht worden.

Ein prominentes Opfer dieser Altlast könnte Mark Zuckerberg geworden sein. Der Facebook-Chef bestätigte, dass sein Pinterest- und sein Twitter-Konto gehackt worden sind. Die Angreifer hatten behauptet, Zuckerbergs Passwort in den gestohlenen Linkedin-Daten entdeckt zu haben. Das ist nicht bestätigt, könnte aber erklären, wieso mehrere Dienste betroffen waren - vorausgesetzt Zuckerberg hätte dasselbe Passwort bei mehreren Diensten verwendet.

Genau davor warnen Experten, weil so das Risiko steigt, dass das Passwort gestohlen oder ausgespäht wird - und der Schaden sehr groß wird, wenn Hacker mit einem Passwort Zugriff auf alle Konten eines Nutzers erhält. Für jeden Dienst sollte man daher ein individuelles und starkes Passwort wählen und dieses nach 90 Tagen ändern.


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Emily Hammes lötet während des 34. Chaos Communication Congress in Leipzig LED-Schmuck. Das Do It Yourself ist ein wesentlicher Grundsatz der Hackerszene. Foto: Sebastian Willnow/dpa-Zentralbild/dpa Hackerkongress in Leipzig: Vom Lötkolben zur Big-Data-Kritik Der kritische Blick auf die digitale Gesellschaft beginnt mit Auseinanderbauen und Zusammenlöten. Auf dem Chaos Communication Congress in Leipzig treffen düstere Zukunftsszenarien auf eine bunt blinkende Gegenwelt.
Fake News von Tatsachen zu unterscheiden, ist nicht immer ganz einfach. Mit dem Online-Spiel «What the fact» können Nutzer ihr Faktenwissen testen. Foto: Marijan Murat/dpa #whatthefact: ein Online-Spiel gegen Vorurteile Egal ob es um Kriminalität, Klimawandel oder Flüchtlinge geht - zu vielen poltischen Themen kursieren eine Menge Fake News im Netz. Ob sie in der Lage sind, diese zu entlarven, können Internetnutzer nun in einem Online-Spiel testen.
Workshops zu Cyberattacken geben Informationen was im Ernstfall getan werden kann. Foto: Lino Mirgeler/dpa Wenn man Opfer eines Cyber-Angriffs wird Cyber-Attacken mit Erpressungssoftware nehmen zu. Die Programme befallen Rechner, blockieren Daten und fordern Lösegeld. Theoretisch kennt man die Gefahr. Aber was, wenn es tatsächlich passiert? Dann ist man schnell überfordert. Besuch in einem Cyber-Workshop
Achtung Betrug: Solche Mails sind meist der erste Schritt eines mehr oder weniger geschickten Betrugsversuchs. Foto: Andrea Warnecke Wie Scam-Mails erheblichen Schaden anrichten Sie versprechen einen lukrativen Job oder werben um Spenden für einen kranken Verwandten: Betrügerische E-Mails gibt es in immer neuen Varianten. Wer sich darauf einlässt, hat nicht nur ein paar Euro weniger auf dem Konto, sondern eventuell auch eine Anzeige am Hals.