Christian Szidzek - Datenschutzgrundverordnung für Dummies

Der White-Hat-Hacker arbeitet oft im Dienst von Unternehmen, die sogenannte Penetrationstests durchführen lassen wollen. Unternehmen beauftragen White-Hat-Hacker dann damit, in ihr IT-System einzudringen, diese also zu penetrieren , um auf diese Weise Schwachstellen des Systems zu identifizieren. Solche Leute heißen auch Pen-Tester . White-Hat-Hacker bezeichnen sich gerne auch als ethical Hacker.

Es gibt aber auch böse und ganz und gar unethische Hacker. Das sind die Black-Hat-Hacker . Das sind Kreaturen, die gerne andere ärgern oder noch düstere Ziele verfolgen. Dazu gehört zum Beispiel die Beeinflussung von US-Wahlen durch das Abgreifen geheimer Dokumente und deren Veröffentlichung. In Deutschland schafften es solche Hacker im Mai 2015, Schadsoftware auf das Netzwerk des Deutschen Bundestags namens Parlakom zu installieren mit der Folge, dass das Computernetzwerk des Bundestags laut Presseberichten nicht mehr zu retten gewesen sei. Eine weitere Möglichkeit, Informationen abzugreifen, besteht darin, Netzwerkinformationen kabelloser Netzwerke, sogenannter WLAN s auszulesen ( WLAN-Hacking) . Es gibt hierzu ganze Kompendien und Lehrbücher sowie frei verfügbare Tools und käufliche Gerätschaften für Angriffe auf Ihre Systeme, von einfachen Keyloggern bis zum Rootkit .

Einen Keylogger ( Tasten-Protokollierer ) kann man dafür verwenden, Tastatureingaben zu protokollieren. Sobald Sie eine Taste auf Ihrem Rechner drücken, wird die Information an den Hacker geschickt. Das geht entweder über einen Stick, der ähnlich aussieht wie ein USB-Stick und der an Ihren Rechner angesteckt wird, oder eine Software, die auf Ihren Rechner aufgespielt wird. Beides können Sie für kleines Geld über das Internet erwerben. Ziel des Einsatzes eines Keyloggers ist es vor allem, Passwörter oder Bankdaten auszuspähen, indem Ihre Eingaben auf der Tastatur mitgeschrieben und an den Hacker geschickt werden.

Ein Rootkit ( Administratorenbausatz ) ist eine Sammlung von Softwaretools , die Hacker einsetzen können, um auf Ihrem IT-System ihr Unwesen zu treiben. Es ist längst nicht mehr so, dass Hacker wie in Hollywood-Filmen umständlich programmieren müssen. Im Rootkit, das im Internet oft frei verfügbar ist, befinden sich viele kleine Softwareprogramme, die nur auf Ihrem Rechner aktiviert werden müssen, um dem Hacker die Informationen zu liefern, die er sucht. Er braucht nur noch eine Schwachstelle in Ihrem System, und schon kann es losgehen.

Wer sich selbst einmal am Hacken versuchen möchte, kann im Internet zahlreiche Anleitungen auf YouTube ( Tutorials ) finden. Das gängige und unter Hackern beliebteste Programm, um unentdeckt solche Angriffe durchführen zu können ist KALI LINUX , eine DEBIAN-basierte UNIX-Anwendung. Das Betriebssystem ist voll und ganz darauf ausgelegt, sich im Netz unbemerkt verhalten zu können, und beinhaltet ein riesiges Arsenal ( Repository ) von Tools, die für Angriffe verschiedenster Art verwendet werden können.

Wenn Sie selbst Erfahrungen als Hacker sammeln wollen, dürfen Sie dabei nur eigene Systeme angreifen! Es gibt eine ganze Menge von Straftatbeständen , die Sie verwirklichen können, wenn Sie Schadprogramme auf fremden Systemen ausführen.

Auch das Phishing fällt unter die Kategorie Hackerangriff. Hier wird auf Ihrem System ebenfalls eine Schadsoftware installiert, indem Sie einen infizierten Link öffnen und sich dann auf dem täuschend echt nachgebauten angeblichen Internetportal Ihres Social-Media-Anbieters oder Ihres Online-Zahlungsdiensteanbieters wiederfinden. Dort werden Sie dann aufgefordert, sich einzuloggen und bestimmte Aktionen durchzuführen. Bei Eingabe Ihrer Zugangsdaten schreibt das Schadprogramm diese mit und übermittelt sie an den Hacker. Dieser kann die Zugangsdaten dann benutzen, um über Ihren echten Onlinebanking-Account Ihr Bankkonto zu plündern oder peinliche Gegenstände im Internet unter Ihrem Namen zu erwerben.

Es geht aber noch viel einfacher, fremde Systeme zu infiltrieren, als sich mühsam in IT-Systeme einzuhacken. Das Einhacken in Menschen ist meist viel effizienter. Das Ausnutzen menschlicher Schwäche bezeichnet man als Social Engineering .

Ein fataler Fall des Social Engineerings in der Version des sogenannten CEO-Fraud in jüngerer Zeit in Deutschland verlief so, dass Angreifer den Urlaub eines Geschäftsführers abwarteten, um dann dem leitenden Buchhalter am Telefon gegenüber aufzutreten als der Geschäftsführer selbst, der sich aus dem Urlaub heraus meldete. Trotz langjähriger Tätigkeit in dem Unternehmen bemerkte der Buchhalter nicht, dass tatsächlich eine andere Person am Telefon war als sein Geschäftsführer. Es ginge um den Kauf von Firmenanteilen an Konkurrenzunternehmen in zweistelliger Millionenhöhe, so der vermeintliche Geschäftsführer. Der arme Buchhalter wurde davon überzeugt, dass nur er selbst eingeweiht werde in das Vorhaben, da er als langjähriger Mitarbeiter das höchste Vertrauen des Geschäftsführers genieße. Das derart entgegengebrachte Vertrauen schmeichelte dem Angestellten offensichtlich derart, dass er nach einigem Hin und Her seine Bedenken über Bord warf und einen zweistelligen Millionenbetrag auf ein Konto bei der Alpha-Centauri-Bank (Name geändert) auf Sirius (Name geändert) überwies. Genaugenommen waren es rund 30 Millionen Euro. Das Geld ist bis heute weg.

In einem weiteren Fall schaltete sich ein angeblicher Mitarbeiter eines Unternehmens, das die IT-Systeme der Hausbank einer in Europa ansässigen Hotelkette umstellen sollte, ein in die Korrespondenz zwischen Hotelbetreiber und der Hausbank. Um angeblich die erfolgreiche Umstellung des Systems zu testen, sollte die Hotelkette eine Reihe von Testüberweisungen tätigen. Der gutgläubige Buchhalter überwies in mehreren Tranchen insgesamt rund 500.000 Euro. Im anschließenden Gerichtsprozess konnte nur noch festgestellt werden, dass das Geld irgendwo in Osteuropa versackt und abgehoben worden war.

Im Kleinen findet Social Engineering nahezu täglich auf die eine oder andere Weise statt. Oft verbirgt sich dahinter noch nicht einmal kriminelle Energie. Eltern wollen vom langjährigen Hausarzt wissen, wie es um den Gesundheitszustand erwachsener Kinder steht, oder Eheleute sorgen sich bei der Bank um die familiäre Vermögenslage und wollen in Erfahrung bringen, ob der Partner erneut ohne Rücksprache existenzgefährdende Kredite aufgenommen hat und Ähnliches. Gerade Ärzte, die noch dazu einer Schweigepflicht unterliegen, befinden sich hier oft in einem fast ausweglosen Dilemma zwischen rechtlichen Vorgaben und dem Bemühen, ihren Patienten und deren Familien zu helfen.

Wichtige Informationen sind regelmäßig über Passwörter geschützt. Das soll sicherstellen, dass nur solche Personen auf die geschützten Daten zugreifen können, die dazu besonders autorisiert sind. Leider werden Passwörter aber immer wieder von Hackern ausgespäht oder mit anderen Worten geknackt . Es gibt Verhaltensweisen, die dies begünstigen. Dazu zählt der oft laxe Umgang mit Passwörtern, aber oft auch einfach nur die Auswahl schwacher Passwörter .