Sicherheit am PC und im Internet E-Book

VORWORT

Heutzutage bewegt sich nahezu jeder im Internet. Wir chatten mit Freunden auf Facebook, lassen Verwandte und Bekannte per Instagram an unserem Urlaubserlebnissen teilhaben, suchen neue Jobs und berufliche Kontakte auf Seiten wie LinkedIn, wir bestellen Artikel auf diversen Webshops, erledigen unsere Bankgeschäfte online und vieles mehr.

Das Internet ist aus unserem Alltag nicht mehr wegzudenken!

Allerdings wird auch sehr viel Geld im Internet bewegt und die wenigsten Nutzer interessieren oder beschäftigen sich mit den dahinterliegenden Techniken.

Das lässt unglaublich viel Raum für alle möglichen Kriminellen die es meist mit einfachen Tricks schaffen User zu täuschen oder dazu zu bringen Ihre Daten preiszugeben.

Dieses Buch soll Ihnen einige grundlegende Dinge näherbringen und Ihnen das Rüstzeug in die Hand geben um den Großteil der möglichen Angriffe auf Sie und Ihre Daten zu erkennen.

Hierbei geht es nicht nur darum sich selbst zu schützen. Sie sollten auch an Ihr Umfeld denken – eine Person die Ihnen etwas im Vertrauen erzählt, möchte dann auch, dass diese Dinge vertraulich bleiben.

Ein Angriff auf Sie betrifft nicht nur Sie allein. Sie haben Bekannte, Kollegen und Verwandte mit denen Sie per Nachrichten oder Email kommunizieren. Sie haben eventuell Leute die Ihnen auf Facebook oder Instagram folgen. Wenn es mir als Hacker beispielsweise gelingt Ihre Accounts zu kapern, kann ich jeden mit dem Sie in Kontakt stehen unter Ihrem Namen Nachrichten schicken und die Vertrauensbeziehung zwischen Ihnen und derjenigen Person ausnutzen.

Die Chance, dass jemand auf einen Angriff hereinfällt ist deutlich höher, wenn dieser (vermeintlich) von einer Person kommt, der derjenige vertraut!

Damit sitzen alle Ihre Kontakte und Ihr gesamtes soziales Umfeld mit Ihnen im gleichen Boot!

Abgesehen davon gibt es für Hacker bei jedem etwas zu holen – und sei es nur die IP-Adresse und Ihr Computer! Viele Webseiten erkennen aus welchem Land der Zugriff stammt und erlauben dann nur eine Registrierung für das jeweilige Land.

Wenn ich als Hacker Ihre IP-Adresse beispielsweise aus Deutschland nutzen kann, dann kann ich mir damit ein deutsches PayPal- und eBay-Konto registrieren. So verschleiere ich nicht nur meine Identität, sondern ich bin nur dadurch im Stande einen Betrug in Deutschland durchzuführen…

Darum geht uns IT-Sicherheit alle etwas an!

INHALT

Was ist Sicherheit

Sicherheit ist ein Prozess

Häufige Denkfehler

Gute und sichere Passwörter

Ein gutes Passwort generieren

Verlieren Sie ihre Passwörter nicht

2-Faktor-Authentisierung

Cookie-Diebstahl

Spam Emails

Erpressung mit Scaremails

Besser gemachter SPAM

Fake-Rechnungen

Dringende Email der Volksbank

Der Trick mit ähnlich klingenden Domains

Das Spiel mit der Angst

Schadware im Anhang

Seriöser anstrich für Betrugsmaschen

Gefälschte Emails erkennen

Header der Volksbank-Email

Fake Shops

Oftmals kommt es schlimmer als man denkt

Phishing

Das Prüfen der URL ist nicht genug

Wie man Phishing-Seiten erkennt

Cloud Sicherheit

Spear-Phishing von Zahlungs- und Kreditkartendaten

Die wichtigsten Netzwerk-Grundlagen

Zusammenspiel und Gefahren

Sicherer in öffentlichen Netzwerken mit VPN

Trojaner und Trojaner-Downloader

Zwei schädliche Office-Dateien im Detail analysiert

Einen einfachen Schadware Angriff selber erstellen

Freeware mit dem gewissen Extra

Böse PDF-Dateien

Was Ihre IP-Adresse über Sie verraten kann

Namen über die IP ermitteln

Sicherheitsrelevante Fehlkonfigurationen

Abschließende Worte zur IP-Adresse

CSRF-Angriffe

CSRF mit POST-Parameter

NoScript Add-on für mehr Sicherheit

Clickjacking

XSS-Angriffe

Clipboard-Jacking

Ransomware

Fake Viruswarnungen

Der eigene Wordpress-Blog

Romance Scam – Abzocke mit der Liebe

BadUSB – Wolf im Schafspelz

Physische Sicherheit

Sicherheit mobiler Endgeräte

Social Engineering

Soziale Medien – Goldgrube für Hacker

Homeoffice

WAS IST SICHERHEIT

Ich erkläre Sicherheit immer gerne mit dem Beispiel eines Gebäudes.

Dabei muss man bedenken, dass Komfort und Sicherheit zwei völlig gegensätzliche Dinge sind… Wenn sie mit zwei Einkaufstüten oder einem schweren Paket nach Hause kommen wäre es das komfortabelste die Türe würde sich wie in einem Kaufhaus automatisch öffnen und Sie könnten einfach hineingehen.

Nur könnte dann auch jeder Einbrecher einfach hineinspazieren und Ihre Sachen stehlen.

Wenn wir an ein sicheres Gebäude denken dann fällt uns zB ein Gefängnis ein. Darin ist jede einzelne Türe verschlossen und wenn ein Wärter durch eine Türe geht, sperrt er diese auf, geht durch und verschließt Sie wieder hinter sich.

Es wäre aber nicht sehr komfortabel, wenn Sie mit den zwei Einkaufstüten nach Hause kommen würden diese abzustellen, die Haustüre aufzusperren, die Tüten hineinzutragen, die Haustüre zu versperren und die Türe zum Gang aufzusperren, die Tüten in den Gang zu stellen, die Türe zum Gang zu versperren und die Türe zur Küche aufzusperren um dann die Tüten in die Küche zu tragen und die Küchentüre wieder zu versperren.

Um dies besser zu verstehen betrachten wir kurz was für Sicherheit sorgt.

Nichts ist völlig sicher und jede Art von Sperre lässt sich auf die eine oder andere Art- und Weise überlisten. Stellen wir uns dazu eine Eingangstüre vor und vergleichen wir zwei Fälle:

Im ersten Fall haben wir eine günstige Türe mit einem billigen Schloss das leicht übersteht. Dazu muss man wissen, dass ein Schließzylinder einer Türe eine Schwachstelle hat:

Das schwarze Schließelement ist nicht fest mit dem Zylinder verbunden. Im Grunde wird nur von links und rechts eine Kupplung in den Ring mit der Schließnase gesteckt.

Das Einzige was dem Schließzylinder also Stabilität verleiht sind die zwei dünnen Metallstege über und unter dem Bohrloch.

Schafft es ein Einbrecher den Zylinder zu packen, kann er diesem mit einem entsprechend langen Hebel sehr einfach abbrechen und dann die Hälfte des Türschlosses entnehmen.

Auch das Aufhebeln der Türe gelingt bei einer günstigen Türe mit einer einfachen Zuhaltung problemlos. Also analysieren wir das Risiko und den Aufwand für so einen Einbruch.

Das Aufbrechen der Türe oder das abbrechen des Zylinders verursacht kurzfristig etwas Lärm, ist aber binnen weniger Sekunden erledigt. Würde ein Nachbar durch das Geräusch aufmerksam, ist der Täter schon im Haus verschwunden, bis der Nachbar aus dem Fenster schaut.

Der Aufwand und das Risiko sind also gering und das macht das Objekt zu einem potentiellen Ziel. Erhöhen wir die Sicherheit mit einer Sicherheitstüre mit mehreren Zuhaltungen und einem Sicherheitsschloss mit Bohr- und Ziehschutz dann sähe es wie folgt aus.

Das Aufbrechen würde mehrere Minuten dauern und das abbrechen des Schlosses wäre nicht mehr möglich. Ein Einbrecher müsste also mit einer sehr lauten Fräse mehrere Minuten arbeiten. Damit steigt das Risiko entdeckt zu werden exponentiell an und das Objekt wird uninteressant.

Das gleiche Prinzip gilt für IT-Sicherheit. Müsste ein Hacker 2.000 Rechner für 3 Jahre laufen lassen um Ihr Passwort zu knacken, steht der Aufwand nicht im Verhältnis zu der zu erwartenden Beute.

Daher wird sich ein Hacker einem anderen potentiellen Opfer zuwenden, dessen Passwort er in Sekunden oder Minuten knacken kann!

Aber Technik entwickelt sich rasant weiter und das bringt uns zu dem nächsten Punkt:

Sicherheit ist ein Prozess

Es reicht nicht irgendwann einmal kontrolliert zu haben ob die Fenster und Türen verschlossen sind, als Sie das Haus verließen. Sie müssen dies jedes einzelne Mal machen, wenn Sie zur Arbeit gehen oder in den Urlaub fahren!

Das gleiche Prinzip gilt auch für IT-Sicherheit.

Es werden täglich neue Sicherheitslücken und Angriffe bekannt und immer schneller werdende Hardware erlaubt es Angreifern zB heute Passwörter zu knacken die vor einigen Jahren noch als sicher galten.

Sehen wir uns dazu ein Beispiel an:

Heutzutage nutzt man zum Knacken von Passwörtern primär Grafikkarten. Dies liegt vereinfacht gesagt daran, dass die Hash-Berechnungen mit denen Passwörter geschützt sind den Berechnungen die Grafikkarten ausführen recht ähnlich sind. Da Grafikkarten für diese Art von Berechnungen deutlich stärker als der Prozessor des Rechners optimiert sind, kann man damit Passwörter um ein Vielfaches schneller knacken!

Sehen wir uns das am Beispiel von MD5-Hashes an:

* Device #1: Quadro 4000, 1664/2048 MB (512 MB allocatable), 8MCU Speed.#1.........: 5954.4 kH/s (6.03ms) @ Accel:256 Loops:1 Thr:64 Vec:1

Dies ist die Rechenleistung einer Grafikkarte (Quadro 4000) aus dem Jahre 2010. Diese Karte schafft es 5954 kH/s (Kilohashes pro Sekunde) oder umgerechnet 5,9 Megahashes / Sekunde (MH/s) zu berechnen.

Das entspricht einer Geschwindigkeit von 5,9 Millionen Passwörtern pro Sekunde!

* Device #1: GeForce RTX 3070, 7531/7979 MB, 46MCU Speed.#1.........: 38807.4 MH/s (79.45ms) @ Accel:64 Loops:1024 Thr:1024 Vec:1

Die RTX 3070 aus dem Jahr 2020 schafft allerdings schon 38807 MH/s und ist damit um den Faktor 6577 schneller. Brauchte man 2010 mit der Quadro 4000 noch beispielsweise 10 Jahre (3650 Tage) um ein Passwort zu knacken, kann man mit einer RTX 3070 das gleiche Passwort in ca. einem halben Tag knacken!

Ein Passwort das 2010 noch sehr sicher war, stellt heute für jeden Mittelklasse Gaming-PC keine Herausforderung mehr da!

Selbst eine deutlich günstigere Einsteiger-Grafikkarte würde dies problemlos schaffen:

* Device #1: GeForce RTX 2060, 1482/5931 MB allocatable, 30MCU Speed.#1.........: 24005.9 MH/s (83.38ms) @ Accel:512 Loops:512 Thr:256 Vec:1

Diese würde das Passwort dank der immerhin noch 24005 MH/s ebenfalls in unter einem Tag knacken!

Das zeigt sehr gut, dass Sicherheit auch ein Wettrüsten zwischen Angreifern und Verteidigern ist und man den technischen Fortschritt im Auge behalten muss!

Dennoch gibt es einige allgemeingültige Regeln die völlig zeitlos sind. Das Einzige was sich hierbei ändert ist das Mindestlevel was über die Zeit angehoben werden muss um den technischen Fortschritt zu kompensieren!

HÄUFIGE DENKFEHLER

Es gibt bestimmte Aussagen bzw. Annahmen von Usern mit denen ich bei meiner Arbeit immer wieder konfrontiert werde. Daher will ich einige davon an dieser Stelle etwas ausführlicher kommentieren...

Ich habe die Webseite / das Programm nach maximal 3 Sekunden geschlossen...

Viele Leute betonen immer wieder, dass ein Risiko nur für Sekunden bestand. PCs sind allerdings unfassbar schnell!

Eine meiner CPUs ist ein i5 10400 – dieser Prozessor hat 6 Kerne die mit 2,9 - 4,3GHz arbeiten. Das entspricht bei nur einem Kern 2.900.000.000 – 4.300.000.000 Prozessor-Aktionen pro Sekunde!

Das wären dann in "nur" 3 Sekunden bis zu 12,9 Milliarden Aktionen mit einem Kern und 77,4 Milliarden Aktionen mit allen 6 Kernen.

Ein Programm kann also mit Leichtigkeit hunderte oder sogar tausende Aktionen auf einem System in dieser "kurzen" Zeit ausführen und hierbei habe ich schon berücksichtigt, dass Betriebssystem und andere Programme sich die Ressourcen teilen!

Außerdem nutzen viele Schadprogramme eine Technik namens "Staging". Hierbei läuft der Angriff in zwei Schritten ab. Ein kleines Programm, der Loader, wird dem Opfer untergeschoben. Wird dieser Loader ausgeführt, lädt er das eigentliche Schadprogramm auf den Opfer-Rechner und führt dieses aus.

Auch hier reichen oftmals 3 Sekunden aus um die Schadware nachzuladen und zu starten. Außerdem kann sich Schadware binnen Sekunden in andere Prozesse migrieren und so problemlos weiterlaufen nachdem die Träger-Applikation geschlossen wurde.

Angriffe wie CSRF oder XSS brauchen auch nur 1 oder 2 Sekunden um Daten zu stehlen oder Aktionen im Namen des Opfers auszuführen. Es ist also in der Regel völlig irrelevant wie lange oder kurz man ein Schadprogramm geöffnet hat oder wie lange man auf einer Webseite mit einem entsprechenden Angriffscode war.

Ich will dies hier anhand unseres CSRF-Beispiels demonstrieren:

Wir sehen hier das Ladeverhalten des Angriffs. Die Seite csrf.html wurde in 81 Millisekunden (0,081 Sekunden) geladen und ausgeführt. 294 weitere Millisekunden später war die Suche ausgeführt und die HTML-Datei der Suche geladen.

Die weiteren Dateien sind Teile der Webseite die nachträglich geladen werden. Der eigentliche CSRF-Angriff ist allerdings bereits nach weniger als 375 Millisekunden (0,375 Sekunden) erfolgreich beendet.

Ein Angriff der Schwachstellen im Browser oder in Plugins ausnutzt würde bereits nach den 81 Millisekunden gestartet werden!

2 oder 3 Sekunden mögen für uns nur ein Augenblick sein aber wir müssen bedenken wie schnell Rechner heute eigentlich sind. Innerhalb dieser 81 Millisekunden wurde die IP des Servers ermittelt, eine Verbindung zu dem Webserver aufgebaut, die Webseite angefordert und vom Webserver geliefert.

Auch wenn das Laden aller Bilder, Schriften und der weiteren Teile der Webseite dann etwas über 1 Sekunde gedauert hat, wurden dazu hunderte Aktionen von verschiedensten Teilen des Betriebssystems, der Treiber und dem Browser sowie dem Server der die Daten liefert ausgeführt. Ganz abgesehen davon wurden hunderte Datenpakete ausgetauscht:

Jedes dieser 127 Request-Datenpakete an den Server hat ein oder mehrere Response-Datenpakete zur Folge. So wurden in 1,21 Sekunden mindestens 254 Datenpakete generiert, verschickt, empfangen, verarbeitet und angezeigt bzw. beantwortet und das über eine Entfernung von einigen hundert Kilometern.

Aufgrund dieser enormen Geschwindigkeit mit der Daten verarbeitet und übertragen werden ist die Zeit oftmals kein Faktor für die Sicherheit.

Ein weiteres Beispiel ist dieser sehr einfache Python-Programmcode:

import time

while time.time() < start + 3:

print(ctr)

Im Grunde wird hier mit import die time-Bibliothek nachgeladen, dann ein Zähler (ctr) mit 0 initialisiert und die Startzeit (start) mit der aktuellen Systemzeit (time.time()) belegt.

Die while-Schleife wird so lange ausgeführt bis die aktuelle Systemzeit (time.time()) größer als die Startzeit (start) + 3 Sekunden ist.

Innerhalb der Schleife erhöhen wir den Zähler (ctr) bei jedem Durchlauf um 1.

Nachdem die Schleife fertig ist (also nachdem die 3 Sekunden vergangen sind) wird der aktuelle Zählerstand mit print ausgegeben.

Nachdem ich das Programm laufen ließ, erhielt ich folgenden Wert:

22198340

Hierbei möchte ich anmerken, dass dies auch der niedrigste Wert von 10 Versuchen war. Der höchste Wert entsprach 24086436!

Auf meinem Office-PC mit einem Intel i5 10400 konnte Python also 22,2 bis 24,1 Millionen Mal die Zeit prüfen, dem Startwert die Zahl 3 hinzuaddieren, die zwei Werte vergleichen und den Zähler erhöhen. Das entspricht gut 88 – 92 Millionen Aktionen in einer Sprache die als nicht sehr schnell gilt.

Das gleiche Programm in einer deutlich performanteren Programmiersprache verfasst, könnte auch locker 10-50 Mal so viele Aktionen schaffen.

Damit hätten wir auch einen Realwert für unsere theoretische Berechnung anhand der Prozessorgeschwindigkeit. Hierbei war der Rechner in einer völlig normalen Alltagssituation mit einigen offenen Programmen, einigen offenen Browser-Tabs, etc.

Im Hintergrund teilt sich jede der Aktionen die Python ausführt dann wieder in verschiedene einzelne Prozessorschritte auf aber das führt an dieser Stelle viel zu weit... Für uns ist es nur wichtig zu verstehen, dass selbst eine langsame Programmiersprache wie Python viele Millionen Programmanweisungen pro Sekunde ausführen kann!

Hierbei ist es natürlich auch wichtig wie effizient ein Programm geschrieben ist darum habe ich den zuvor gezeigten Code etwas optimiert:

import time

while time.time() < end:

print(ctr)

Nun habe ich die Berechnung der Endzeit nicht laufend während der Prüfung gemacht, sondern einmalig errechnet bevor wie die Schleife betreten. Damit erhöhte sich die Anzahl der Aktionen auf 28,6 – 29,1 Millionen bei wiederum 10 Versuchen.

Sie sehen anhand dieser sehr einfachen Programmieraufgabe wie schnell ein PC ist aber auch wie schnell ein Entwickler durch suboptimalen Code Zeit "verschenken" kann.

Natürlich haben wir nicht nur so einfache Aufgaben. Darum habe ich mit folgendem Testprogramm das Einlesen, Verändern und Speichern von Dateien simuliert:

import time

while time.time() < end:

ctr += 1

with open("test.xml", "r") as infile:

with open(f"{ctr}.txt", "w") as outfile:

outfile.write(text)

print(ctr)

Hier erreichen wir immerhin noch 2256 – 3722 Dateien. Wobei ich hier wieder vom Worst-Case ausgehe und den Test auf einer alten mechanischen Festplatte (HDD) ausgeführt habe. Moderne SSDs können viel höhere Schreib- und Lesegeschwindigkeiten erreichen und damit wäre ein Vielfaches an Schreibvorgängen möglich.

Es sollte Sie allerdings nachdenklich stimmen, dass gut 2200 – 3700 Dateien in den 3 Sekunden gelesen, verändert und wieder geschrieben werden konnten.

Sie sehen also wie schnell ein PC eigentlich ist und dabei habe ich nicht mal die parallele Ausführung von Programmteilen über so genannte Threads genutzt um mehrere Aufgaben gleichzeitig über mehrere Prozessorkerne zu verteilen.

So ist selbst eine wenig performante Sprache wie Python in der Lage in Sekundenbruchteilen sehr viele Programmschritte auszuführen oder dutzende Dateien zu manipulieren.

VPNs schützen mich im Internet!

Wir hören oftmals in den Werbeversprechen der Anbieter, dass VPNs vor Hackern schützen sollen und gleichzeitig auch die Privatsphäre der User wahren. Dies ist zwar korrekt aber nur unter bestimmten Gesichtspunkten. Darum will ich Ihnen an dieser Stelle erklären was Mythos und Realität ist.

VPNs sind quasi verschlüsselte Tunnel durch das Internet. Bei korrekter Konfiguration läuft sämtlicher Verkehr vom eigenen Rechner zum VPN-Server und dann vom VPN-Server zum Ziel. Damit können wir zwei Dinge erreichen:

1. Alle angesprochenen Server glauben mit dem VPN-Server zu kommunizieren und so kann man seinen Standort verbergen bzw. bewusst einen anderen Standort vorgaukeln um zB deutsches Netflix auch aus dem Ausland zu nutzen.

2. Da sämtlicher Verkehr nur über den VPN-Server läuft kann der Provider nicht sehen mit welchen Servern man kommuniziert und so lässt sich die deutsche Vorratsdatenspeicherung austricksen. Genau dies schützt auch vor einigen Hackerangriffen da wir so keine Ressourcen nutzen die uns ein potentiell Schädlicher DHCP-Server anbietet (dazu sehen wir später noch einiges mehr).

Damit dies klappt sollte man aber auch einige Dinge richtig konfigurieren und dafür sorgen, dass der ganze Verkehr durch das VPN läuft und es muss sichergestellt sein, dass immer ein vertrauenswürdiger DNS-Server verwendet wird! Auf diese Weise kann man zumindest Man-in-the-Middle (MITM) Angriffe verhindern.

Was ein VPN nicht kann ist es uns vor allen Angriffen zu beschützen. So kann ein VPN nicht verhindern, dass Sie eine SPAM-Email mit einem potentiell schädlichen Anhang empfangen oder sogar öffnen.

Außerdem schützt es nicht vor Angriffen wie Phishing, XSS, CSRF und vielen anderen!

In unserem privaten WLAN-Netzwerk müssen wir auch nicht vor potentiell falschen DNS-Daten oder MITM-Angriffen geschützt werden bzw. sollte dies doch der Fall sein, dann ist bereits einiges schiefgelaufen und nur das VPN wird uns auch nicht mehr helfen! Vielmehr kann ein VPN auch nachteilig sein denn Angreifer können in einem gehackten VPN den Verkehr vieler tausend Nutzer abfangen und das macht VPNs zu beliebten Zielen...

Dies haben diverse Angriffe in der Vergangenheit auch deutlich gezeigt!

Abgesehen davon kann man Sie trotz eines VPN wieder sehr gut tracken, wenn Sie über das VPN wieder auf diverse soziale Medien zugreifen und in diesen Diensten eingeloggt sind.

Auch wenn VPN-Anbieter versprechen keine Daten zu loggen, kann man diesen Versprechen kaum glauben. Vielmehr sind VPN-Anbieter auch stark im Fokus von Behörden und je nach Herkunftsland sogar verpflichtet zu Loggen oder Behörden Zugang zu gewähren. Die Hackergruppe LulzSec kann davon ein Lied singen – trotz des Versprechens es würde keine Logs geben, wurden sie durch die Logs des VPN-Anbieters schließlich überführt.

Oftmals werden VPNs nicht nur von Personen genutzt die auf Ihre Privatsphäre achten, sondern von allen möglichen Kriminellen um deren Identität zu verschleiern. Genau darum kann man nicht davon ausgehen es würde nichts geloggt. Wäre dies wahr, würden VPN-Anbieter recht aktiv bei der Verschleierung von Straftaten mitwirken und das wäre in jedem Land der Welt schwer rechtlich umzusetzen...

Durch die Nutzung eines VPN könnten Sie also mehr Aufmerksamkeit auf sich ziehen.

Natürlich kann man auch ein eigenes VPN im eigenen Heimnetzwerk einrichten aber damit bietet man quasi einen öffentlichen Server an und dies bedeutet, dass man sich um die Sicherheit aktiv kümmern und dass man Logs und andere Hinweise auf Angriffe auswerten muss.

IT-Sicherheit ist nur für Firmen wichtig – bei Privatleuten ist nichts zu holen...

Nein! Sie haben sehr wohl einige Dinge die Hacker oder Cyberkriminelle wollen. Unter anderem wären dies folgende Dinge:

Sie haben eine Kreditkarte, ein PayPal-Konto oder ähnliches mit dem man recht einfach an Ihr Geld kommt bzw. auf Ihre Kosten einkaufen kann!

Sie haben zB eine deutsche IP-Adresse, die ein Hacker dazu benötigt um PayPal oder eBay vorzugaukeln, dass er in Deutschland sei um ein deutsches Paypaloder eBay-Konto zu eröffnen. Außerdem kann er so den eigenen Standort verschleiern.

Sie haben zumindest eine Email-Adresse, die man dazu verwenden kann um SPAM-Emails zu verschicken.

Sie haben einen Ausweis dessen Daten man dazu verwenden kann um auf Ihren Namen ein Bankkonto oder einer Offshore-Firma einzurichten.

Sie haben eventuell Accounts bei Kleinanzeigenportalen, Foren, etc., die einen Handelsplatz bieten und die man nutzen kann um andere Leute in Ihrem Namen zu betrügen. Dabei ist es immer gut, Accounts zu nutzen die bereits positive Bewertungen haben oder zumindest schon einige Zeit existieren da viele User neuen Accounts die gleich nach der Anmeldung teure Waren verkaufen wollen eher misstrauen.

Ihr Rechner hat Rechenleistung und Internet-Bandbreite, die man dazu nutzen kann andere Systeme anzugreifen oder Passwörter zu knacken.

Sie sehen also auch Sie als Privatperson sind ein sehr willkommenes Ziel und im Gegensatz zu einer Firma haben Sie keine IT-Abteilung die Rechner überwacht und bei Auffälligkeiten die Systeme überprüft.

Sie zählen also zu den einfachen Zielen und sind damit nicht unbedingt ein gezielt ausgesuchtes, sondern nur ein Zufallsopfer.

Dazu sollte man wissen, dass weit über 95% der Angriffe der Schrotschusstaktik folgen! Hierbei wird nicht ein Ziel im speziellen, sondern tausende oder sogar zehntausende Ziele werden mit Dingen wie SPAM-Emails, verseuchten Downloads, Phishing, etc. angegriffen.

Sie haben also recht, dass es niemand auf Sie abgesehen hat aber Sie sind dann einfach eines der paar unbedarften Zufallsopfer die hereingefallen sind.

Ich habe ja nichts zu verbergen!

Diese Aussage höre ich immer wieder als Erwiderung bei verschiedensten Gelegenheiten. Diesen Leuten sage ich in der Regel folgendes:

"Wenn Sie wirklich nichts zu verbergen haben dann veröffentlichen Sie doch Ihren Browserverlauf, Ihre Gehaltsabrechnungen, Ihre Krankenakte und alle Ihre Emails und privaten Fotos im Internet und hängen Sie eine öffentlich zugängliche Überwachungskamera auf Ihr WC!"

In der Regel stellt sich dann doch schnell heraus das diejenigen doch etwas zu verbergen haben.

Bei dieser Argumentation wurde aber auch übersehen, dass Sie nicht nur für sich verantwortlich sind. Sie sollten ja auch "Geheimnisse" Ihrer Mitmenschen wahren. Wenn mir ein Kollege oder Bekannter etwas im Vertrauen mitteilt, sollte dies auch vertraulich bleiben und nicht dank meiner Unachtsamkeit irgendwo im Internet landen.

Noch wichtiger wird dies, wenn mir mein Arbeitgeber Zugang zu Firmengeheimnissen gibt. In Zeiten in denen das Arbeiten im Homeoffice immer beliebter wird, sind die Mitarbeiter die im Homeoffice arbeiten dürfen auch entsprechend gefordert Ihr Bestes zum Schutz der Firmengeheimnisse zu tun!

Hacken ist sehr schwer und kompliziert bzw. um hacken zu können braucht man eine jahrelange Ausbildung und Erfahrung!

In dieser Aussage steckt natürlich etwas Wahrheit aber wir müssen uns einmal kritisch Fragen was wir umgangssprachlich mit "Hacken" meinen.

Einerseits bezeichnen wir umgangssprachlich das Finden von neuen Angriffsmethoden und Sicherheitslücken als "Hacken". Dies erfordert gleichermaßen ein tiefgreifendes Verständnis der Arbeitsweise des Computers und auch ein breites Grundlagenwissen über die verschiedensten Themenbereiche von der Softwareentwicklung bis hin zu Netzwerken, Systemadministration und IT-Sicherheit.

Auf der anderen Seite bezeichnet der Volksmund auch viele andere Aktivitäten wie das Ausspähen von Passwörtern mit verschiedensten Tools oder das Ausnützen diverser bekannter Lücken mit einem fertigen Tool als "Hacken".

Daher will ich die oben genannte Aussage auf ein einfacher greifbares Thema umformulieren und dann beantworten denn im Grunde wäre sie gleichbedeutend mit der Aussage: "Um sich mit Autos auszukennen braucht man eine jahrelange Ausbildung und Erfahrung!"

Und auch hier kommt es auf die Definition von "auskennen" an. Um einen neuartigen Motor für ein Auto zu entwerfen, braucht man in der Regel ein Studium und einiges an Wissen aber um ein Auto sicher im Straßenverkehr zu bewegen reichen einige Theorie- und einige Fahrstunden und um mit dem Auto am Parkplatz herumzukurven reicht den meisten schon eine einzige Fahrstunde!

Es war auch niemals so leicht wie heute an Informationen zu gelangen. Das Internet bietet Antworten auf praktisch alle möglichen Fragen und dies von einer Vielzahl unterschiedlicher Quellen.

Sucht also jemand nach einer Anleitung um einen bekannten Angriff mit bereits existierenden Tools durchzuführen, ist diese heute nur einige Mausklicks entfernt.

Sehen wir uns zunächst an, wie viele Informationen man im Internet finden kann. Eine einfache Suche nach "Hacken Anleitung" bringt folgendes:

15,2 Millionen Treffer sind schon erschreckend aber hierbei unterscheidet Google nicht zwischen "Holz hacken Anleitung", "Zwiebel hacken Anleitung", "WLAN hacken Anleitung" oder "Webseite hacken Anleitung".

Um bessere Ergebnisse zu erhalten, sollten wie die Suche etwas präzisieren:

Immerhin haben wir noch 345.000 Anleitungen wie man ein WLAN hacken könnte. Wenn wir uns im englischsprachigen Raum umsehen, finden wir weit mehr als 10-mal so viele Anleitungen:

Beinahe 4,6 Millionen Treffer sprechen für sich!

Es braucht auch kein sehr großes technisches Verständnis einer Anleitung zu folgen um bestimmte Dinge zu tun. Sollte eine solche Anleitung Begriffe enthalten die derjenige nicht versteht oder Grundlagen verlangen die derjenige nicht hat, lässt sich dieses fehlende Wissen auch wieder mit Google finden. Meiner professionellen Meinung nach sollte man einem normalen User in 30-60 Minuten problemlos das Wissen vermitteln können um ein WLAN anzugreifen.

Selbst tiefgreifenderes Wissen über die zu Grunde liegenden Techniken und Technologien gibt es in einem kostenlosen Videokurs von Securitytube. Wenn Sie den "WLAN Security Megaprimer" in Google suchen, finden Sie über 40 Videos mit einer Laufzeit von über 12 Stunden die Ihnen genau erklären wie private und Enterprise-WLANs funktionieren, wie man sie angreifen kann und wie diese Angriffe funktionieren.

Somit ist es kein großes Problem sich an einem regnerischen Wochenende selbst beizubringen wie man WLAN-Netzwerke hacken kann.

Die entsprechenden Tools gibt es online zum Download und die empfohlenen WLAN-Karten die gut mit den gezeigten Tools zusammenarbeiten bekommt man für wenige Euro zu kaufen!

Weder das Wissen noch die Ausrüstung sind schwer zugänglich oder teuer.

Hacker sind böse!

Entgegen der landläufigen Meinung sind nicht alle Hacker Böse und nicht alle die von Medien oder umgangssprachlich als Hacker bezeichnet werden, sind auch wirklich Hacker!

Zuerst sollte man zwischen den verschiedenen Arten von Hackern unterscheiden:

Whitehats sind Hacker, die aus ihrem Spieltrieb, Interesse oder aus Neugier hacken. Diese Personen werden keine Systeme sabotieren, sie werden weder absichtlich Schaden anrichten noch Daten missbrauchen. Whitehats veröffentlichen Ihre Erkenntnisse und weisen Firmen und Betreiber auf Fehler hin um die Sicherheit von IT-Systemen zu verbessern!

Blackhats sind Hacker, die Ihre Fähigkeiten nutzen um auf kriminelle Weise schnelles Geld zu machen. Sie stehlen und missbrauchen oder verkaufen Daten, legen Firmen lahm, etc. Diese Art von Hacker ist tatsächlich böse.

Grayhats sind Hacker, die sich im Grenzbereich zwischen Whitehat und Blackhat bewegen und daher müsste man diesen Typ von Fall zu Fall auf ein Neues als gut oder böse bewerten.

Alle Arten von Hackern haben eines gemeinsam – sie besitzen großes technisches Know-How und sind in der Lage Systeme erfolgreich anzugreifen und auch eigene Angriffe und Tools zu entwickeln.

Scriptkiddies sind keine Hacker – sie arbeiten mit fertigen Tools und verfügen in der Regel gerade mal über genug Wissen um Standard-Angriffe nach dem Standard-Schema auszuführen. Der Großteil verfügt nicht über genügend Wissen um eigene Abwandlungen von Angriffen zu entwickeln oder Tools zu schreiben.

Manche Scriptkiddies verursachen Schaden, andere versuchen nur aus Neugier oder Interesse etwas zu hacken. In diese Kategorie fallen alle möglichen Akteure vom hauptberuflichen Cyberkriminellen bis hin zum neugierigen 13-jährigen Schüler.

Daher muss man Scriptkiddies im Einzelfall als Ärgernis oder als böse bewerten. Sie sind in der Regel aber nicht aktiv daran beteiligt die IT-Sicherheit zu verbessern. Obwohl Scriptkiddies für einen Großteil der Angriffe verantwortlich sind, sind diese Angriffe zumeist dilettantisch und nur für Unbedarfte ein Risiko.

Cyberkriminelle können sowohl Hacker, Scriptkiddies oder technisch nicht versierte Personen sein. Es bedarf nicht unbedingt großem technischen Know-How um im Darknet gestohlene Zugangsdaten, Kreditkartendaten oder Email-Adressen zu kaufen um mit diesen auf diversen Webshops einzukaufen oder um diverse Erpressungs-Emails zu verschicken, etc.

Der Großteil an Straftaten, die die Öffentlichkeit Hackern zuschreibt wird von Personen begangen, die bei weitem nicht das technische Wissen besitzen um ein Hacker oder auch nur ein Scriptkiddy zu sein! Das Darknet ist der Dreh- und Angelpunkt in dem einige wenige kriminelle Hacker Ihre erbeuteten Daten an tausende Kriminelle verkaufen damit diese dann Warenbetrug oder andere Straftaten begehen können...

Hacktivisten sind ein Zusammenschluss verschiedenster Personen die Hacking-Techniken und Angriffe zu politischen oder ideologischen Zwecken nutzen. Die wohl bekannteste Gruppe ist Anonymous die bei diversen Aktionen die Systeme von Regierungen und vielen großen Firmen lahmgelegt hat.

Hierbei sind in so einer Gruppe nicht nur Hacker und Scriptkiddies Mitglieder, sondern auch viele ganz normale Personen. Bei Anonymous kann sich jeder an Aktionen beteiligen indem er seine Bandbreite für DDoS-Angriffe zur Verfügung stellt. Dazu reicht es die entsprechende Software herunterzuladen und zum vorgesehenen Zeitpunkt der Aktion zu starten. Die Zuordnung zu einer Kategorie liegt hier im Auge des Betrachters...

APTs (Advanced Persistent Threats) steht eigentlich für fortschrittliche Angriffstechniken, wird aber mittlerweile auch oftmals als Überbegriff für Hackergruppen genutzt. Hierunter fallen alle möglichen Gruppen von organisierter Kriminalität bis hin zu staatlichen Hackergruppen die Konflikte nun auch auf das digitale Schlachtfeld ausweiten.

Diese Gruppen sind sehr gefährlich da es sich um einen Zusammenschluss von technisch versierten Hackern handelt, die nicht nur über das nötige Wissen, sondern auch über die nötigen Ressourcen verfügen um großen Schaden anzurichten. Die Angriffe dieser Gruppen richten sich in der Regel gegen große Firmen, staatliche Einrichtungen oder ganze Industriezweige.

Hierbei liegt es bei vielen dieser Gruppen wie auch bei den Hacktivisten im Auge des Betrachters ob man diese Gruppen als gut oder böse klassifiziert.

Damit haben wir einen groben Überblick darüber welche Arten von Hackern und welche Motivationen es gibt. Wie so vieles im Leben hat auch Hacking zwei Seiten. Ohne Whitehats würden Blackhats laufend Schaden anrichten und das Internet oder unsere Welt wäre heute nicht was sie sind.

Hacking an sich ist keine "schwarze Magie" sondern nur das kreative Verwenden und Zweckentfremden von Technologien. Ich kann ein Küchenmesser dazu verwenden einen Geburtstagskuchen zu zerteilen oder um einen Mord zu begehen. Nur weil es einige Leute gibt, die fähig sind, einen Mord zu begehen sollte man nicht den Zugang zu Messern beschränken.

Das Gleiche gilt meiner Meinung nach für Hacking und Hackingtools. Vielmehr sollten Grundlagen der IT-Sicherheit und des Hackings zum Lehrplan in Schulen gehören und in Firmen verpflichtende Security Awareness Schulungen stattfinden. Weit mehr als 90% der Angriffe die wir landläufig als Hackangriffe bezeichnen sind sehr primitiv und wenn die meisten Menschen die einfachen Grundlagen auf denen viele Angriffe beruhen verstehen würden, würden 90-95% der Cyberkriminellen kaum noch Opfer finden!

Dank eines Virenscanners bin ich geschützt!