hacker_angriffe_deutschland

Written by 13:44 IT & Technik

Hacker-Angriffe in Deutschland: Typen, Methoden & aktuelles Gefährdungspotenzial

„Wenn wir die Chancen der Digitalisierung voll ausschöpfen wollen, müssen wir die mit ihr verbundenen Risiken beherrschbar machen.“

(BSI 2019, S. 3)[1]

Hijacking, Phishing, Spearphishing, Jackpotting, u. v. a. m.: Hacker-Angriffe haben viele Gesichter. Sie unterscheiden sich sowohl in Quantität als auch in Qualität; jedoch verhalten sich Quantität und Schadenspotenzial nicht proportional zueinander. Mit anderen Worten: Je nach Angriffstyp reicht eine kleine Menge, um Millionenschäden zu verursachen. Und je ausgefeilter die IT-Sicherheitsvorkehrungen werden, desto innovativer werden die Hacker.

Der am 17.10.2019 vom BSI veröffentlichte Lagebericht zur IT-Sicherheit [L1] in Deutschland 2019 zeigt: Die Bedrohungslage ist so hoch wie nie zuvor. Doch wie verschaffen sich Hacker überhaupt Zugang zu ihren Hacking-Zielen? Welche Hacker-Methoden gibt es und welche davon sind im letzten Jahr am häufigsten angewandt worden? Welches Schadenspotenzial haben sie jeweils? Wir liefern ein paar Fakten.

Maliziöse Spams & Malware als Hacking-Methode

„Schadprogramme sind fester Bestandteil der meisten Angriffsszenarien […]“ (BSI 2019, S. 11). Unter Schadprogramme werden die Programme zusammengefasst, die unerlaubte bzw. ungewollte Veränderungen eines IT-Geräts ermöglichen. Somit stellen sie das Einfallstor für Viren, Würmer, Trojaner, u. v. a. m. dar und ermöglichen erst Ransomware- oder Botnetzangriffe. Besonders auffällig ist der schnelle Wachstum der existieren Malware-Varianten, mit denen Cyber-Security-Beauftragte zu kämpfen haben: Laut BSI (2019) wurden 114 Millionen neue Malware-Programm-Varianten im Berichtszeitraum 2019 entdeckt…!

Die Hacker werden immer einfallsreicher, um Antivirenprogramme zu umgehen. So werden bereits etablierte Methoden perfektioniert, um trotz hoher IT-Sicherheit Hacker-Angriffe erfolgreich durchzuführen. Eine beliebte Methode ist der Versand von böswilligen Spam-Nachrichten, die entweder im Anhang Malware enthalten, oder Links beinhalten, die auf eine mit Schadprogrammen infizierte Webseite verweisen.[2] Wenn man sich die reinen Statistiken anschaut, könnte man meinen, dass die Gefährdungslage erheblich gesunken ist: So verzeichnet der BSI [L2] für den Berichtszeitraum 2019 einen Rückgang von Malware-Spam von ca. 97 %.[3] Doch die wenigen versandten Malware-Spams hatten ein teilweise höheres Schadenspotenzial als die im Jahr zuvor in größerer Menge verteilten böswilligen Spams: Die angewandten Techniken wussten auch strenge Antivirenkriterien zu umgehen. Eine beliebte Taktik war zum Beispiel das Versenden von MS-Office-Anhängen, die an sich keinen Malware-Code beinhalteten und somit von der Antivirensoftware nicht als Spam identifiziert wurden, jedoch beim Öffnen durch die Aktivierung von Makros Schadprogramme aus dem Internet nachzuladen vermochten.[4] Die Innovation, die Hacker an den Tag legen, zeigt sich durch die neuesten sog. „Jackpotting“-Angriffe, die ausgehend von auf USB-Sticks gespeicherter Malware Geldautomaten hacken, und zur Herausgabe des kompletten Geldbestandes bewegen konnten.[5]

Hacking & Vortäuschen von Authentizität

Für die authentisch wirkende Gestaltung von Spam-Nachrichten werden andere „Hacking-Methoden“ angewandt. Besonders effektiv und dementsprechend verheerend war der Einsatz von der Emotet-Schadsoftware, die an sich schon seit 2010 existiert uns somit jedem IT-Sicherheitsexperten altbekannt sein dürfte. Jedoch wurde Emotet Ende 2018/Anfang 2019 mit zusätzlichen spitzfindigen Funktionen ausgestattet, die das Schadenspotenzial in die Höhe treibt: Darunter fällt zum Beispiel das sog. „Outlook-Harvesting“, das es ermöglicht, über Emotet den Mailverlauf eines infizierten Computers zu analysieren, um dann passgenaue gefälschte böswillige Spam-E-Mails zu versenden:[6] Beispielsweise kann eine dem Mailverlauf zu entnehmende erwartete Rechnung als Anlass für einen maliziösen Angriff durch ein entsprechendes Office-Dokument genutzt werden. Zudem ermöglichen die neuen Varianten der Emotet-Software das Nachladen von Malware-Komponenten: Ist ein Computer mit Emotet infiziert, kann ein Hacker die neuesten entwickelten Schadcodes problemlos nachladen und weitere Schäden anrichten. Aus Cybercrime-Perspektive hat es den Vorteil die Entdeckungswahrscheinlichkeit bei der ersten Infizierung durch Emotet zu reduzieren, um dann im Nachgang weitere Schadcodes unauffällig nachzuladen.

Hacking, ransomware und Lösegeldforderungen

Unter Ransomware[7] wird Schadsoftware gefasst, „die den Zugriff auf den eigenen Rechner oder die eigenen Dateien verwehrt oder einschränkt“ (BSI 2019, S. 15). Es handelt sich um eine moderne Form des Erpressungsdeliktes[L3] : Hierbei werden die Daten des Opfers zunächst verschlüsselt, um ihn dann meistens aufzufordern, einen Lösegeldbetrag in Bitcoin oder Ethereum zur Entschlüsselung der Daten zu zahlen. Die Zahlungsweise erschwert die Ermittlung des Zahlungsempfängers, da die gewählte Kryptowährung anonym ausgetauscht wird. Der hiermit bewirkte Schaden ist immens: Unabhängig von der geforderten hohen Lösegeldsumme (die im Normalfall aufgrund des sehr unwahrscheinlichen positiven Ausgangs nicht gezahlt wird) kann die Datenverschlüsselung bei Unternehmen einen großen wirtschaftlichen Verlust bedeuten. Ein anschauliches Beispiel liefert ein Aluminium-Konzern aus Norwegen, dessen Ransomware-Schaden im März 2019 binnen einer Woche sich auf 40 Millionen Euro belief![8]

Eine Infektion mit Ransomware kann über verschiedene Kanäle erfolgen: neben Spam-E-Mails kommen auch sog. „Drive-By-Exploits“-Verfahren zum Tragen: Beim Aufrufen einer mit entsprechendem Schadcode infizierten Webseite lädt sich die Ransomware auf das IT-Gerät des Nutzers herunter. Diese letztere Variante ist umso gefährlicher, als in Folge des Onlinezugangsgesetzes (OZG) [L4] zahlreiche Verwaltungsportale digitalisiert werden, die nun eine potenziell hohe Angriffsfläche liefern.[9] Das Schadenspotenzial ist umso größer, als die Ransomware immer ausgefeilter geworden ist und zum Teil auch als Dienstleistung für den technischen Laien angeboten wird (s. „Crime as a service“ und insbes. GandCrab).[10]

Hacking und DDoS-Angriffe

Aus krimineller Perspektive besonders wirkungsvoll sind die sog. „DDoS-Angriffe“[11], die „Multivektor-Attacken“ erlauben und ganze Internetplattformen lahm zu legen vermögen. Hiervon sind vor allem Seiten betroffen, deren Ausfall einen hohen wirtschaftlichen Verlust nach sich ziehen. Um nur ein Beispiel zu nennen: Wird ein Unternehmen von einem solchen Angriff betroffen, steht die Plattform für die Kunden stundenlang nicht zur Verfügung, was sich natürlich erheblich auf die Verkaufszahlen auswirkt. Daher überrascht es wenig, dass DDoS-Angriffe vermehrt an verkaufsreichen Tagen auftreten, wie zum Beispiel an Cybermondays oder Blackfridays.[12] Laut BSI (2019) werden DDoS-Angriffe auch zur Ablenkung der IT-Sicherheit und zur Verschleierung bzw. zur Ermöglichung anderer Hacker-Angriffe verwendet.[13] In letzter Zeit stellen die sog. „DDoS-Angriffe aus der Cloud“ ein neues, besonders hohes Risiko dar. Unter den registrierten DDoS-Angriffen ist die „Cloud-Variante“ zwischen 2016 und 2018 von 2% auf 59% gestiegen…! So werden Cloud-Server benutzt, um schwer zurückverfolgbare Angriffe durchzuführen. Auch hier ist besonders auffällig, dass eine neue „Dienstleistungsbranche“ entstanden ist, die hochwirksame DDoS-Angriffe für den Laien zugänglich macht.

Hackerangriffe & Botnets

In dem Zusammenhang werden ganze Botnetze („botnets“)[14] aufgebaut, die eine automatisierte, rasant schnelle Verbreitung von Malware sowie die Durchführung von DDoS-Angriffen ermöglichen. Im Berichtszeitraum 2019 wurden „täglich bis zu 110.000 Botinfektionen“[15] allein in Deutschland registriert; dabei dienten Botnets hauptsächlich dem Informationsdiebstahl, dem Onlinebanking-Betrug, sowie der Malware-Distribution. Angesichts der aktuellen preisgünstigen Dienstleitungsangebote zur Durchführung von DDoS-Angriffen werden Botnetze hierfür weniger eingesetzt.[16] Aufgrund der gestiegenen IT-Sicherheitsvorkehrungen basieren Botnetze zunehmend auf mit Botsoftware infizierten Android-Geräten. Angesichts der vergleichsweise sehr unvorsichtigen Verwendungsweise von Smartphones durch Privatanwender, gepaart mit einer zunehmenden Nutzung mobiler Devices, um Homebanking u. Ä. zu erledigen, ist es wenig überraschend, dass diese Angriffsfläche für Cyberkriminelle besonders attraktiv zu sein scheint.[17]

Hacking und APT-Angriffe

„Advanced Persistent Threats“ (APT)[18], die durch „Lateral Movement“[19] Kollateralschäden in großer Menge verursachen können, sind erheblich schwerer zu beseitigen, da sie in letzter Zeit zunehmend anhand von Penetrationstest-Tools[20] erfolgen, die legal zu bekommen sind und ähnlich wie Spionageprogramme funktionieren. Diese ursprünglich für Nachrichtendienste bzw. IT-Security-Experten entwickelten Tools (wie zum Beispiel Meterpreter oder Powershell Empire)[21] erschweren die Zuordnung solcher Angriffe immens. Allerdings ermöglicht die öffentliche Zugänglichkeit der entsprechenden Tools eine raschere Entdeckung der Angriffe an sich durch Cybersecurity-Experten. Dadurch werden zumindest die nur mit Halbwissen durchgeführten Angriffe schneller entdeckt. Professionelle Hacker bevorzugen neuere Techniken und entwickeln stets innovative Tools, die nicht zugänglich gemacht werden (siehe bspw. APT28 oder APT 10).[22] Das Einfallstor für solche Angriffe wird häufig durch mit Schadcode infizierte Installationsarchive (siehe „Installer- und Update-Hijacking“) geschaffen.[23]

Hacking als „Geschäftsmodell“: Wiederverwertung gestohlener Daten & CaaS

Unabhängig von dem direkten Hacker-Angriff an sich und der hiermit verbundenen Verwundbarkeit und Lahmlegung ganzer IT-Systeme, verfolgen Hacker-Angriffe weitere kriminelle Zwecke. Hierunter ist vor allem der Identitätsdiebstahl für Kriminelle besonders rentabel. Durch Phishing-Angriffe[24] erlangte personenbezogene Daten werden zum Teil eigens weiterverwendet, um weitere Betrugs- bzw. Erpressungsdelikte (siehe zum Beispiel „Sextortion“)[25] durchzuführen. Das sogenannte „Doxing“ ist eine weitere Variante der Wiederverwendung solcher Daten und trifft meistens in der Öffentlichkeit stehende Persönlichkeiten, deren private Daten z. B. in Twitter auf einmal erscheinen.[26] Auf der anderen Seite ist ein ganzer Markt rund um Hackerangriffe entstanden: Zum Teil werden die gestohlenen Daten im Darknet zum Verkauf angeboten (Datenhehlerei); zum anderen werden im Darknet ebenfalls Schadsoftware vertrieben, die Hackerangriffe überhaupt ermöglichen. Ein anschauliches Beispiel bildet hier die zwischen April und Mai 2019 erfolgte Aufdeckung und Stilllegung der „ausschließlich über das TOR-Netzwerk im sogenannten Darknet zugänglich[en]“, „weltweite[n] zweite[n] Handelsplattform“ Wall Street Market, die unter anderem Profit aus Identitätsdiebstahl und Schadsoftware machte.[27]

Hackerangriffen vorbeugen: Möglichkeiten & Grenzen

Um Hackerangriffe vorzubeugen, wurden in den letzten Jahren sog. „kryptografische Mechanismen“ entwickelt, die darauf abzielen, durch Kryptografie-Verfahren das Abfangen von sensiblen Daten zu verhindern oder zumindest zu erschweren. Abgesehen von der möglichen Umdisponierung solcher Verschlüsselungsverfahren zu kriminellen Zwecken (z. B. bei Erpressungsdelikten), wirken die im Rahmen der Künstlichen Intelligenz entwickelten Kryptoanalyse-Verfahren und die immer effizienter werdenden Quantencomputer solchen Verschlüsselungsmechanismen entgegen. Als Gegenmaßnahme werden „kryptografische Verfahren, die auf mathematischen Problemen beruhen“ (sog. „Post-Quanten-Kryptografie“) entwickelt, um neu entdeckte Sicherheitslücken zu schließen.[28]

Weniger verbreitet, jedoch im Ernstfall viel schwieriger zu bekämpfen sind die in letzter Zeit immer wieder aufgezeigten CPU-Schwachstellen (s. Spectre und Meltdown)[29], die für sog. „Seitenkanalangriffe“ anfällig sind. Hierbei werden „architektonische Eigenschaften“ ausgenutzt, um ansonsten nicht zugängliche Speicherbereiche auszulesen.[30] Zum Teil stehen Hardware-Lösungen zur Verfügung, oder es werden wirksame Gegenmaßnahmen (meistens mit hohen Leistungseinbußen) angeboten. Allerdings gibt es für manche Angriffstypen noch keine absehbaren Lösungen (z. B. Spectre V1).[31]

Legale Tools, Hacking für jedermann

Hacker-Angriffe werden durch öffentlich verfügbare, an sich legale Tools auch für technisch wenig begabte Leute vereinfacht. Um nur ein paar Beispiele zu nennen: Viele Hacker bevorzugen Linux-Systeme und benutzen hierfür konzipierte Software, wie zum Beispiel Tails: Hiermit wird mit dem integrierten Tor-Browser das anonymisierte Surfen im Internet möglich; weitere in Tails vorhandene Verschlüsselungs- und Chiffrierungstools bieten Kriminellen die Möglichkeit ihre Spuren zu verwischen. Auch Linux-kompatibel und unter professionellen Hackern sehr beliebt ist „Kali Linux“[32]: Ursprünglich innerhalb der IT-Sicherheit zur Durchführung von Penetrations- und Sicherheitstests entwickelt, bietet die Software auch den kriminellen Hackern jede Menge Tools, um ihre Hacker-Angriffe professionell zu planen. Ebenso beliebt ist das Hacker-Tool Nmap, das dem Scannen von Ports und Diensten sowie der Testung von Firewall-Konfigurationen dienen kann – was wiederum zur Ermittlung von Angriffspotenzialen hilft.[33]

Die Software „Wireshark“ ermöglicht ihrerseits unter anderem das Ausspähen von Daten und vereinfacht folglich den Identitätsdiebstahl.[34] Und wenn es darum geht, Passwörter herauszufinden bzw. W-LAN-Passwörter zu „knacken“, dann leisten Tools wie „John the Ripper“, „Ophcrack Live-CD“ oder „Aircrack-ng“ Abhilfe. Geht es dann um den illegalen Handel mit gestohlenen Daten im Darknet, wird der Zugang durch die Installation des Tor-Browsers für jedermann möglich. Der Hinweis auf die eingeschränkte Legalität der in diesen Tools enthaltenen Anwendungen dürfte Hacker wenig beeindrucken.

Hackerangriffen mit lizengo vorbeugen

Eine erfolgreiche Digitalisierung ist nur mit einem ausgefeilten Sicherheitskonzept zu gewährleisten. Das haben Behörden und größere Unternehmen längst erkannt. Doch der Mensch als lokaler IT-Anwender bleibt weiterhin ein hoher Risikofaktor: Geht zum Beispiel ein Mitarbeiter nachlässig mit seinen Passwörtern um und ruft seine Dienstmails von einem nicht sicher konfigurierten Privatrechner oder Smartphone ab, wird er für Hacker-Angriffe zur leichten Beute. So schafft er ein Einfallstor für größer angelegte Angriffe (DDoS oder APT), die dann das gesamte Unternehmen gefährden können. Hacker nutzen neu entdeckte Schwachstellen, um innovative Angriffe zu gestalten. Daher ist es umso wichtiger in Sachen Software nicht unachtsam zu werden.

Lizengo bietet Ihnen eine breite Palette an Software-Produkten, die Ihre Endgeräte vor unerwünschtem Eindringen schützen: Darunter fallen zum einen die seit der Ankündigung des Windows 7-Supportendes unerlässlich gewordenen Windows 10-Betriebssysteme und Office-Pakete, sowie Server, die zu einer höheren IT-Infrastruktur im Unternehmen eingesetzt werden können. Bei lizengo finden Sie auch die neuesten Antiviren-Software-Produkte, die durch regelmäßige Live-Updates neu entdeckte Malware-Programme berücksichtigen, zusätzlichen Internetschutz (s. Passwortmanager, Safe Search-Browser usw.) bieten und auch durch Backup-Angebote zur Sicherung sensibler Daten beitragen. Gerne berät Sie das lizengo-Team und unterstützt Sie bei der Auswahl des für Sie am besten geeigneten Produktes.

Fanden Sie den Beitrag interessant? Dann dürfte Ihnen Teil I  („Cybercrime & Informationssicherheit im Digitalisierungszeitalter: Über Möglichkeiten und Grenzen der Strafverfolgung“) sicherlich auch gefallen!


[1] BSI 2019 = (BSI, Lagebericht IT-Sicherheit in Deutschland 2019, veröffentlicht am 17.10.2019 unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile&v=6).
[2] Vgl. BSI 2019, S. 26.
[3] Vgl. BSI 2019, S. 27.
[4] Vgl. BSI 2019, S. 27.
[5] Vgl. https://www.computerbild.de/artikel/cb-News-Panorama-Jackpotting-Geldautomat-Hacker-24356185.html.
[6] Vgl. BSI 2019, S. 7 und 13.
[7] Vgl. https://www.kaspersky.de/resource-center/definitions/what-is-ransomware
[8] Vgl. BSI 2019, S. 7 und 17.
[9] Vgl. BSI 2019, S. 18.
[10] Vgl. BSI 2019, S. 17.
[11] DDoS = „Distributed Denial of Service“ ; s. dazu https://www.kaspersky.de/resource-center/threats/ddos-attacks
[12] Vgl. BSI 2019, S. 19–23.
[13] Vgl. BSI 2019, S. 18.
[14] Vgl. dazu https://www.kaspersky.de/resource-center/threats/botnet-attacks
[15] S. BSI 2019, S. 21 und S. 34.
[16] Vgl. BSI 2019, S. 21.
[17] Vgl. BSI 2019, S. 21.
[18] Vgl. https://www.kaspersky.de/resource-center/definitions/advanced-persistent-threats
[19] Vgl. BSI 2018, S.- 24 (= BSI, « Bericht 2018 : Die Lage der IT-Sicherheit in Deutschland 2018 », unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf?__blob=publicationFile&v=6.
[20] Vgl. https://www.itexperst.at/penetrationstest-definition-abgrenzung-ueberblick
[21] Vgl. https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/ und https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/
[22] Vgl. BSI 2019, S. 28.
[23] Vgl. BSI 2018, S. 23 f.
[24] https://www.security-insider.de/was-ist-phishing-a-591842/
[25] https://www.kaspersky.de/blog/sextortion-stats/8372/
[26] Vgl. BSI 2019, S. 9.
[27] https://www.bka.de/SharedDocs/Pressemitteilungen/DE/Presse_2019/pm1900503_WallStreetMarket.pdf?__blob=publicationFile&v=7
[28] Vgl. BSI 2019, S. 29–31.
[29] Vgl. https://www.kaspersky.de/blog/35c3-spectre-meltdown-2019/18332/
[30] Vgl. S. 43–44.
[31] Vgl. BSI 2019, S. 32–33.
[32] Vgl. https://www.security-insider.de/was-ist-kali-linux-a-688181/ und https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/.
[33] Vgl. https://www.computerweekly.com/de/tipp/Nmap-So-funktioniert-das-Scannen-von-Ports-und-Diensten und https://www.computerweekly.com/de/tipp/Mit-Nmap-die-Konfiguration-einer-Firewall-testen.
[34] https://www.ip-insider.de/was-ist-wireshark-a-771562/.


(Visited 393 times, 1 visits today)
Last modified: 7. April 2020