Kriminellen Hackern eilt ihr Ruf voraus: Sie gelten ganz allgemein als Über-Genies, die jedes Passwort in Sekunden erraten haben, jedes System hacken können und mit einem Tastendruck Chaos auf tausende von Netzwerken regnen lassen, die noch nicht einmal miteinander verbunden sind. So sieht man es zumindest in der Traumfabrik Hollywood. Jeder, der in seinem Job täglich den Kampf gegen cyberkriminelle Elemente aufnimmt, weiß, dass die "guten Jungs" oft auch ein bisschen smarter sind - beziehungsweise sein müssen. (Kriminelle) Hacker brauchen hingegen des Öfteren lediglich einen langen Atem.
Jedes Jahr machen einige, wenige Hacker etwas wirklich Neues. Der Rest beschränkt sich auf die bewährten Methoden und Ziele. Um ein fehlendes Patch zu entdecken oder eine Social-Engineering-Attacke zu forcieren, braucht man jedenfalls kein Diplom. Im Grunde ist es mit dem Hacking wie in jeder Berufsausbildung: Wenn man einmal ein paar Tricks und Tools kennt, kommt der Rest nach und nach, es folgt die Routine. Richtig inspirierend kann es hingegen werden, wenn man den Security-Spezialisten auf die Finger schaut - den Hackern der Hacker.
Wir haben 15 der cleversten Tricks gegen kriminelle Hacker für Sie zusammengefasst. Darunter auch einige echt fiese Fallen, für deren Umgehung sich Cyberschurken einiges einfallen lassen müssen. Wenn Sie demnächst wieder einmal von einem großen Hack lesen, können Sie sich fast sicher sein, dass der oder die Betroffene(n) diese Tricks nicht im Repertoire hatte(n). Machen Sie es besser!
Nutzen Sie Daten für die Defensive!
Defensivmaßnahmen auf der Basis von Daten gibt es schon seit längerer Zeit. Insbesondere solche Konzepte, die Daten nutzen, um Bedrohungen besser aufspüren, klassifizieren und beseitigen zu können, kommen in den letzten Jahren verstärkt zur Anwendung - fast alle Unternehmen im Security-Umfeld sind inzwischen auf diesen Zug aufgesprungen. Der Aufstieg der Cloud hat hierzu ebenfalls beigetragen, schließlich ermöglicht die Wolke erst die relativ einfache Sammlung und Auswertung von großen Datenmengen. Der wesentliche Fortschritt liegt darin, dass die Entstehung von Daten nun in den Vordergrund rückt.
Unternehmen wie Crowdstrike, FireEye, CounterTack oder ThreatMetrix bieten Produkte an, die die Datenströme innerhalb Ihres Netzwerks analysieren. Dabei werden nicht nur alle ausgehenden Verbindungen auf Connections zu bekannten, bösartigen Netzwerken untersucht, sondern auch nach APT-Familien geforscht, die sich eventuell bereits in der Netzwerkumgebung befinden. Andere Security-Produkte wie Microsofts Advanced Threat Analytics können dabei helfen herauszufinden, ob ein krimineller Hacker versucht, Ihre Login-Datenbank zu knacken und falls ja, wie lange er sich bereits im Netzwerk aufhält.
Zahlreiche andere Firmen sorgen mit ihren Produkten für schnelles Aufspüren von Spam, Phishing-Versuchen und Malware - einfach per Abgleich mit einer weltweiten Datenbank. Diese Unternehmen können regionale und globale Verhaltensmuster erkennen - ein Unternehmen alleine könnte das nicht bewerkstelligen. Wenn Ihre Daten also noch nicht in Ihre IT-Sicherheits-Lösungen mit einfließen, sollten Sie das ändern.
Täuschen Sie mit Daten an!
Legen Sie ein paar gefälschte Datensätze in Ihrem Netzwerk an und lassen Sie die kriminellen Hacker zuschnappen. Schließlich ist es ziemlich schwer, alle Datenlecks zu stopfen und mindestens genauso schwer alle Daten so zu untersuchen, dass dabei nicht eine Armada von ‚false positives‘ ausgegeben wird. Stattdessen sollten Sie Ihr internes Netzwerk mit DLP (Data Leak Prevention) Software einem Monitoring unterziehen und nebenbei auf externen Seiten nach ihren Fake-Daten Ausschau halten - schon haben Sie "Ihren" Hacker identifiziert.
Ein Krankenhaus war beim Anlegen der Fake-Daten besonders kreativ und legte fiktive Patientenakten an, für die die Namen der Bandmitglieder von Kiss benutzt wurden - mit kleinen Änderungen. So wussten nur die IT-Abteilung und das Management, dass Ace J. Freelee, Gene H. Symmons, Petre L. Chriss und Paulie S. Stanlee keine echten Patienten waren.
Legen Sie Honeypots aus!
Der Einsatz von Honeypots verstärkt diesen Ansatz weiter. Bei den "Honigtöpfen" handelt es sich um hundertprozentige Fake-Güter, die in der Produktion platziert werden. Der Honeypot kann dabei nahezu jede Form annehmen, egal ob Server, Client oder Netzwerk-Device. Einmal aufgesetzt, sollte jeder User, der mit dem Honeypot in Berührung kommt, auf Bösartigkeit untersucht werden. Dabei steht der Einsatz von Honeypots im krassen Gegensatz zu den traditionellen Maßnahmen der IT-Sicherheit: Er ist von hohem Wert und absolut unauffällig.
Unternehmen wie Cymmetria oder KFSensor bieten kommerzielle Honeypots an - daneben existieren auch noch zahllose Open-Source-Alternativen. Sie können dafür auch einfach alte Daten nutzen, die ansonsten aussortiert würden. Das hat den Vorteil, dass diese Daten für Hacker am authentischsten aussehen.
Durchforsten Sie Hacker-News!
Um auf Augenhöhe mit den Cyberkriminellen bleiben zu können, ist es wichtig zu wissen, was diese im Sinn haben. Deshalb sollten Sie auch regelmäßig Seiten besuchen, von denen man weiß, dass dort Cyberkriminelle ihr Unwesen treiben. Das sind Seiten wie Pastebin, aber auch bestimmte Sites im Darknet. Dort bekommen Sie aber nicht nur Infos über neue Exploits, sondern eventuell auch Informationen über die neuesten Hacks. Wenn in den Datenbergen der Hacker auch ihre Fake-Daten auftauchen, wissen Sie auch gleich woran Sie sind. Dieses Vorgehen kann also auch eine gute Detection-Strategie darstellen, die wertvolle Zeit gibt, Löcher zu stopfen, Angreifer zu tracken oder die Management-Ebene auf eine demnächst anstehende, unangenehme Pressemitteilung vorzubereiten. Firmen wie Hold Security überwachen die Hacker-Seiten auch gegen Gebühr für Sie.
Dabei ist dieses Vorgehen nicht ausschließlich reaktiv: Sie können die Daten der Hacker auch aktiv nutzen - selbst wenn Ihr Unternehmen nicht gehackt wurde. Viele Postings der Cyberkriminellen enthalten beispielsweise tausende von Login-Daten - zum Beispiel für Social-Media-Konten oder andere, populäre Consumer-Webseiten. Es kann sich unter Umständen lohnen, diese Daten genauer zu betrachten: Findet sich hier ein Mitarbeiter Ihres Unternehmens, sollten Sie das dazugehörige Passwort einmal im Unternehmensnetzwerk ausprobieren. Stimmen die Daten überein, können Sie dem betroffenen Mitarbeiter ans Herz legen, schnellstmöglich sein Passwort zu ändern. Bei dieser Gelegenheit können Sie ihm oder ihr auch gleich verklickern, dass es mehr als ungünstig ist, das Firmen-Passwort für private Zwecke wieder zu verwenden.
Hinweis: Das reine Besuchen und Mitlesen in solchen Hacker-Foren ist legal. Solange sie keine dort angebotenen Daten kaufen, sind Sie auf der rechtlich sicheren Seite. Aber trotzdem Vorsicht: Drive-by-Malware, Trojaner und andere bösartige Dinge, die Sie sich bereits beim Surfen einfangen können, lauern gerade auf diesen Seiten an jeder Ecke. Zudem laufen Sie Gefahr, dass Sie in das Visier der Ermittlungsbehörden geraten, sollten die besuchten Seiten überwacht und Ihre IP-Adresse mitgeloggt werden.
Faken Sie E-Mail-Accounts!
Mit E-Mail-Accounts können Sie ebenfalls nach kriminellen Hackern fischen. Legen Sie dazu einfach Fake-Accounts an, die von extern nicht erreichbar sind und auch auf keiner Gruppenliste auftauchen. So stellen Sie sicher, dass der Account ausschließlich über Ihr Netzwerk erreichbar ist. Anschließend erfahren Sie per Monitoring, ob irgendwelche verdächtigen Bewegungen festzustellen sind. Wenn an den Account E-Mails gesendet werden, handelt es sich dabei entweder um Spam - oder Ihr E-Mail-System ist bereits kompromittiert.
Der Bösewicht muss ins schwarze Loch!
Schwarze Löcher gehören seit jeher zur Security-Profi-Grundausstattung. Dazu wird eine Umgebung geschaffen, in der sämtliche Hacking-Aktivitäten - und damit jede aufkeimende Gefahr - sofort unterbunden wird. Bei dieser Gelegenheit lässt sich die Aktivität der Cyberkriminellen durch gezielte Eingriffe auch noch massiv verlangsamen.
Ein schwarzes Loch kreieren Sie mit Hilfe von DNS- oder IP Management Services. Wenn dann ein Hacker (oder eine Malware) eine Anfrage nach einem nicht-existenten DNS-Namen oder einer IP-Adresse stellt, wird der Bösewicht direkt auf das schwarze Loch umgeleitet, wo jede Menge Tricks angewandt werden können, um den Kriminellen möglichst lange aufzuhalten (und ihm so auf die Spur zu kommen).
Das schwarze Loch arbeitet dabei genauso wie ein normales Device oder eine Software-Lösung und startet jedes Mal eine dreifache Befehlsabfrage. Wenn Sie Ihr schwarzes Loch zusätzlich mit Honeypots auslegen, können Sie mehr über die Intentionen des Angreifers erfahren. Denken Sie aber unbedingt daran, dass ein schwarzes Loch richtig konfiguriert sein muss. Ansonsten könnten auch versehentlich falsche Anfragen dort landen.
Zum Video: So halten Sie Hacker ab
Gehen Sie in die Offensive!
Bevor Sie weiterlesen: Selbst zum Hacker zu werden ist eine Möglichkeit, die sich im ethischen und vor allem im rechtlichen Graubereich befindet. Nichtsdestotrotz kann ein solches Vorgehen geeignet sein, um kriminellen Hackern das Handwerk zu legen. Viele Experten für IT-Sicherheit dürften es leid sein, Angriff um Angriff zu verfolgen. Ganz besonders dann, wenn es sich um ein ganz besonders dummes Exemplar eines Cyberkriminellen handelt.
Deswegen sind einige Experten der festen Überzeugung, dass es nicht nur ethisch gerechtfertigt, sondern auch ihre Pflicht ist, einen hartnäckigen Cyberkriminellen mit einem Präventivschlag zur Räson zu bringen. Eines der berühmtesten Beispiele für eine solche Präventivoperation ist übrigens Stuxnet, der mehrere Zentrifugen in iranischen Nuklearkraftwerken lahmlegte. Das war zwar weder legal, noch ethisch besonders vorzeigewürdig, aber es hat funktioniert.
Im kleineren, privaten Rahmen ist der Offensiv-Hack Gang und Gäbe. Es gibt Unternehmen, die Sie dafür anheuern können und jede Menge Tools. Auch Honeypots können mit automatisierten Hacking-Funktionalitäten ausgestattet sein. Für einen Hacker ist mit Sicherheit eine ziemlich Überraschung, wenn er von seinem "Opfer" plötzlich "zurück" gehackt wird.
Bitte beachten Sie aber unbedingt, dass Sie - selbst, wenn Sie Opfer eines Hackerangriffs geworden sind - nicht einfach in fremde Systeme eindringen und dort Daten abgreifen können, gerade dann nicht, wenn diese spezielle geschützt sind. Näheres regelt der "Hackerparagraph" §202 des Strafgesetzbuches. Also besser externe (forensische) Dienstleister, die seriös und juristisch wasserdicht arbeiten, heranlassen und nicht selbst Hand anlegen!
Legen Sie Fallen aus!
Ganz ähnlich wie bei einigen vorgenannten Taktiken geht es hier darum, möglichst attraktive Beutebrocken zu verstreuen. Werden die eingesammelt und zuhause ausgepackt, entlarven sie die IP-Adresse und damit die Identität des böswilligen Hackers. In der Regel enthalten solche Datenfallen versteckten Code oder Bilder, die bei Aktivierung beziehungsweise Öffnung "nach Hause telefonieren". Wenn der Bösewicht nicht in einer isolierten Offline-Umgebung in die Falle tappt oder sämtlichen ausgehenden Traffic blockiert (das tun sie nie), werden alle notwendigen Informationen gesammelt und direkt an Sie zurück geschickt.
Ich kenne mehr als nur ein paar White-Hat-Hacker, die gelangweilt davon waren, dass jemand sie hacken wollte. Also ließen sie die bösen Jungs ein Fake-System hacken und den vermeintlichen Hauptgewinn mit nach Hause nehmen. Beim Öffnen des Geschenks wurden zur Feier des Tages ihre Festplatten formatiert oder alle Files gelöscht. Nicht schön, aber effektiv.
Wenden Sie Patching-Tricks an!
Sind Sie fürs Patching verantwortlich? Dann wissen sie ja, wie trickreich das sein kann. Alle kritischen Schwachstellen müssen zeitnah beseitigt werden. Sobald ein Patch released wird, fängt sofort die Suche nach dem neuen Exploit an. Und weil die meisten Unternehmen auf einem ganzen Haufen Patches sitzen und nicht hinterher kommen, beinhaltet jeder dieser Patches bereits ein Gateway für Hacker.
Wenn Sie Ihren Kunden einen Patch zur Verfügung stellen, können Sie folgenden Trick in Erwägung ziehen: Einer meiner Mitarbeiter hatte es einmal mit einem Sicherheitsleck zu tun, das so groß war, dass sämtliche Applikationen verwundbar waren. Der Schaden für das Ökosystem wäre nach einem Patch-Release zu groß gewesen. Also haben wir uns dazu entschlossen, den Patch versteckt in einigen anderen Patches über einen Zeitraum von einigen Monaten auszuliefern.
Jeder Hacker, der an dieser Stelle ‚Reverse Engineering‘ hätte betreiben wollen, hätte in einem der Patches lediglich ein paar unzusammenhängende Bytes gesehen. Das Gesamtbild hätte sich erst nach Auslieferung aller Patches gezeigt. Es besteht auch die Möglichkeit, dass der eigentliche Patch bei so einer Maßnahme komplett übersehen wird. Diese Taktik wird inzwischen von vielen Unternehmen angewandt.
Gehen Sie "zero admin"!
Über Dekaden war ‚root‘ der heilige Gral des Hacking. Was aber, wenn es so etwas nicht gibt? Was nicht da ist kann man schließlich nicht stehlen.
Wenn Sie also nicht der Tradition verhaftet sind, gehen Sie doch "zero admin". Dazu bereinigen Sie alle hoch privilegierten Gruppen von permanenten Mitgliedern. So fungieren die Admins als nicht-privilegierte User, bis sie etwas erledigen müssen. In diesem Fall stellt der Admin eine Anfrage auf einen Account oder eine limitierte Session. Bei diesem Vorgang ist jedes Mal ein neues Passwort erforderlich. Wenn es gestohlen wird, ist es also ohnehin wertlos.
Diese Strategie der "Just-in-time"-Nutzerdaten, die nur die nötigsten Rechte zugestehen, ist hocheffektiv. Ein Audit stellt in diesem Fall ebenfalls kein Problem dar, weil die Rechte beantragt und gerechtfertigt werden müssen. Es könnte aber schwierig sein, sich aller Ultra-Admins in Ihrer Umgebung zu entledigen. Aber: Je weniger es davon gibt, desto sicherer sind Sie unterwegs.
Sichern Sie Ihre Admin-Workstations ab!
Eine weitere Option, um das Risiko einer bösartigen Hacker-Attacke zu minimieren, ist die Verwendung von Secure Administrative Workstations (SAW). Statten Sie alle Ihre Admins mit solchen speziell abgesicherten (physischen oder virtuellen) Workstations aus. Dabei handelt es sich um Systeme, die keine Verbindung zum Internet aufbauen können, eine obligatorische Zwei-Faktor-Authentifizierung und ein limitiertes Set von Programmen auf der Whitelist haben. Wenn Sie eine hochsichere Umgebung für Ihre Administratoren und deren Arbeit schaffen, haben es kriminelle Hacker erheblich schwerer, wenn sie an Ihre Daten-Kronjuwelen wollen.
Hacken Sie sich selbst!
Die besten Softwareentwickler hacken ihren eigenen Code. Oder sie lassen das andere für Sie tun. Wenn Sie selbst zur Tat schreiten wollen, können Sie das manuell erledigen oder mit Hilfe eines Code Review Tools. In jedem Fall sollten Sie sicherstellen, dass es nicht der kriminelle Hacker ist, der als erstes ihren Programmcode knackt. Viele der größten Unternehmen der Welt setzen inzwischen auf White-Hat-Hacking und Bug-Bounty-Programme, bei denen hunderttausende Dollar zu holen sind.
Hängen Sie in Hacker-Foren ab!
Früher haben Hacker über öffentliche Websites miteinander kommuniziert. Nach einigen Verhaftungen hat die Szene aber festgestellt, dass es besser ist, im Verborgenen zu operieren. Deswegen hat sich das Geschehen nun vor allem auf private Foren verlagert. Dorthin gelangt man nur auf Einladung - ein Sicherheitsmechanismus, der dafür sorgen soll, dass ausschließlich kriminelle Hacker Zugang erhalten.
Unglücklicherweise (für die Cyberkriminellen) finden die Strafverfolgungsbehörden auch hier Mittel und Wege, um mitzulesen. Zugang erhalten die Behörden beispielsweise, indem sie festgenommene Mitglieder der cyberkriminellen Bande zu V-Männern umfunktioniert oder ihre Accounts schlicht übernimmt. Auch der Einsatz von Geld kann unter Umständen Zugang zu solchen Geheimforen eröffnen. Wenn man den einmal hat, ist es ein Leichtes, Details über die Pläne der Kriminellen zu erfahren. Und brühwarm weiterzutragen. Hier gilt das Gleiche wie im letzten Absatz zu "Durchforsten Sie Hacker-News".
Tracken Sie Ihren Hacker!
Die Identität eines bösartigen Hacking-Fetischisten offenzulegen, ist ebenfalls ein guter Weg zu mehr IT-Sicherheit. Im Aufspüren von Hackern gibt es wohl kaum einen Besseren als den Security-Experten Brian Krebs. Er nutzt dazu DNS Lookups, Domain-Register und eine über Jahre zusammengetragene Liste mit den Fake-Identitäten der Hacker. Irgendwann (am wahrscheinlichsten vor der Black-Hat-Karriere) hat nämlich auch ein Hacker - zumindest kurz - seinen Schleier gelüftet. Etwa indem er E-Mails gecheckt oder Social-Media-Accounts genutzt hat. In einem Fall konnte Brian Krebs ein Familienfoto des Hackers auf Facebook ausfindig machen - es war ein früher Besuch in Disney World.
Die Nachforschungen, die Brian Krebs betreibt, enden oftmals mit einer Festnahme und gehören zu den besten True-Crime-Geschichten überhaupt. Sie tun also gut daran, jetzt KrebsOnSecurity zu besuchen und zu lesen. Lernen Sie vom Meister und gehen Sie auf die Jagd!
Locken Sie den Hacker hinter Gitter!
Es ist niemals empfehlenswert, einen kriminellen Hacker persönlich zu konfrontieren. Wenn Sie aber die Strafverfolgungsbehörden mit an Bord holen, kann diese Strategie zum Erfolg führen. Denn allzu oft kennen Security-Spezialisten die Identität eines Cyberkriminellen, können ihm aber nichts anhaben. Das liegt meist daran, dass diese in Ländern sitzen, wo die Spezialisten keine Handhabe besitzen. Deshalb gehen IT-Sicherheits-Unternehmen inzwischen dazu über, zu warten, bis ihre "Ziele" sich in einem "günstigen" Land aufhalten (etwa im Rahmen einer Urlaubsreise) und sorgen dann dafür, dass der Kriminelle behördlich aus dem Verkehr gezogen wird.
Eine der besten Methoden, um einen kriminellen Hacker zu seiner eigenen Festnahme zu locken, ist, ihn zu einem vermeintlichen Job-Interview einzuladen. Das findet natürlich in einem Land statt, in dem man dem Cyberschurken habhaft werden kann. Das funktioniert auch bei solchen Personen gut, die nach Jahren der kriminellen Machenschaften nun legales Einkommen erzielen wollen. Unter Umständen kommt man so auch an Passwörter oder andere Login-Daten des Digital-Unholds.
In so einem Fall ist ein schlechtes Gewissen übrigens fehl am Platz. Wer weiß schon wirklich, wie es um die Absichten eines kriminellen Hackers steht? Und selbst wenn er wirklich die dunkle Seite verlassen möchte: Nachdem er seine Strafe abgesessen hat, stehen ihm vermutlich immer noch alle Job-Chancen auf der White-Hat-Seite offen. Und Strafe muss schließlich sein. (fm/sh)
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation infoworld.com.