Doxing: Kein neuer Fitnesstrend, sondern ernstes Sicherheitsproblem
In der Serie „Dreimal aufgeschlaut“ erklären Experten der Plan.Net Gruppe regelmäßig ein aktuelles Thema der digitalen Welt aus unterschiedlichen Perspektiven. Was bedeutet es für die Oma, was für den Agentur-Kollegen? Und was hat der Kunde, also ein Unternehmen, davon? In dieser Ausgabe verrät Security-Experte Sven Scheil, wie man sich privat und im Job vor Hackerangriffen schützen kann.
Mit der Nutzung unterschiedlichster Onlinedienste, Apps und Websites sorgen wir für riesengroße Datenmengen, die oftmals in Clouds gespeichert und mit jedem einzelnen Nutzer verknüpft werden können. Dabei nehmen die meisten Internet User den Schutz ihrer Daten nicht allzu ernst und Unternehmen kommen oftmals mit der rasanten Entwicklung nicht hinterher, bedrohliche Sicherheitslücken schnell genug zu schließen. Auch die Politik war lange nicht dazu bereit, bestehende Datenschutzgesetze durchzusetzen.
Der aktuell in den Medien präsente Fall, in dem vermutet wird, ein 20-jähriger Mann habe Politiker und Prominente ausgespäht, zeigt, wie leicht sich über die in der Cloud gesammelten Daten, komplette persönliche Netzwerke ausspionieren lassen.
„Nein Oma, du hast das Internet nicht kaputt gemacht!“
Zugegeben, wer von uns war nicht auch schon nur einen kleinen Klick von einem potenziellen Übergriff durch Hacker entfernt? Falsche Landingpages oder Phishing-E-Mails verwirren selbst jüngere Semester noch häufig und laden dazu ein, all ihre Daten und Passwörter sowie die der Bekannten preiszugeben. Online-affine Omis und Opis bleiben da leider nicht verschont, wenn sie dem Fortschritt die Stirn bieten wollen und der Enkel doch so liebevoll alle Passwörter der Bookmarks im Browser gespeichert hat. "Alles nur einen Klick entfernt, siehst du?"
In der Regel wird der Benutzer aber von täuschend echten E-Mails zum Öffnen eines Anhangs oder Links aufgefordert. Auf der geöffneten Webseite wird der Nutzer dann gebeten, sich zwecks Authentifizierung bei seiner Bank anzumelden. Folgt er dieser Aufforderung, gelangt der Hacker an die Zugangsdaten und schon ist das Rentenkonto leer und die Scham groß. Doch hinzu kommt, dass Kriminelle Sicherheitslücken sogar bereits im Darknet kaufen können und nicht mal mehr die technischen Kenntnisse eines Hackers brauchen. Diese Art des Übergriffs ist völlig willkürlich und trifft selbst ahnungslose Omis. Einen einfachen Schutzmechanismus gibt es bei einem derartig komplexen Thema also nicht.
Das Benutzen von komplexen Passwörtern und einer Passwort-Manager-App – vor Allem das einmalige Verwenden eines Passworts für einen Dienst ist der erste Schritt zur Besserung.
„Safety first – auch im sicher anmutenden Büroalltag“
Als Internetnutzer ist man nicht nur für sich selbst verantwortlich, sondern auch Kollegen sowie seinem Arbeitgeber gegenüber, dessen Daten man nutzt. Backups vom eigenen oder von Firmen-Smartphones werden heutzutage oft automatisch in einer Cloud gespeichert. Somit ist es nahezu unumgänglich, dass Informationen und Kontaktdaten von Arbeitskollegen auch extern gespeichert sind. Verschafft sich ein Hacker Zugriff auf einen der persönlichen Accounts, wie beispielsweise Google-Mail, Apple oder Facebook, so erhält er automatisch auch den Zugriff auf die Firmenkonten und die Kontaktdaten Dritter, obwohl die Sicherheitsstandards des Unternehmens eingehalten wurden.
Für diese Problematik gibt es beispielsweise sogenannte Sandboxes, die Nutzungskontexte verwalten und dabei helfen, Privates von Beruflichem zu trennen. Aller Anfang sollte aber sein, dass Unternehmen Policies festlegen, die vorgeben, welche Clouds generell genutzt werden dürfen und welche im beruflichen Kontext lieber nicht genutzt werden.
Wie kann meine Firma der schnell wachsenden Bedrohung also richtig begegnen? Auch hier ist die oberste Priorität, den menschlichen Faktor nicht zu unterschätzen. Die komplexesten technischen Sicherungsmaßnahmen können durch unbedachtes Handeln eines Mitarbeiters ausgehebelt werden. Für Angestellte, die beruflich Internet-Dienste nutzen, gelten die gleichen Sicherheitsmaßnahmen, wie für private Nutzer. Für die Geschäftsführung bedeutet dies, neben der Ergreifung der verfügbaren technischen Maßnahmen, dass sie ihre Mitarbeiter im Umgang mit der Nutzung von Cloud-Services, Smartphone, E-Mail-Accounts und weiteren Diensten regelmäßig schulen müssen. Bietet eine Firma Waren- oder Dienstleistungen über das Internet an, so besteht potenziell immer die Gefahr, dass es einem Angreifer gelingt, diese Anwendung zu hacken.
„Ach, wieso sollte man meine Firma denn hacken?“
Viele Kunden, gerade kleinere und mittlere Unternehmen, schätzen die Bedrohungslage durch Hackangriffe falsch ein. Sie stellen die Frage: „Warum sollte jemand denn gerade uns hacken wollen? Wir sind doch viel zu klein und unbedeutend“. Die Massenhacks funktionieren heutzutage aber nicht so, dass ein Hacker sich gezielt ein Opfer aussucht. Im Internet existieren Suchmaschinen, die analog zu Google, das gesamte Internet scannen, um die verwendete Infrastruktur, wie zum Beispiel Hersteller von Server, Routern etc. und die darauf installierten Versionen der Software katalogisieren.
Weiß ein Hacker, dass in der Webserver-Software A in Version 1.4 eine Schwachstelle ist, die er nutzen möchte, so sucht er danach und startet dann automatisiert einen Angriff auf alle potentiellen Ziele, die die Suchmaschine ihm vorschlägt. Das bedeutet, dass wirklich jeder, der im Internet präsent ist, von Hackern – wenn auch indirekt – als potenzielles Ziel identifiziert werden kann. Der einzige Schutz dagegen ist, die Bedrohung zu kennen und in die Sicherheit seiner Systeme sowie die Ausbildung seiner Mitarbeiter zu investieren. In einem Live-Interview mit Edward Snowden auf der CeBit 2017 antwortete er auf die Frage, wie denn das Internet sicherer gemacht werden könne: „Jeder der etwas zum Internet beiträgt, sei es durch Texte, Videos, Apps, Shops, Cloud-Services oder ähnlichem, habe die Aufgabe, seinen Beitrag so sicher wie möglich zu machen“.
Auch im Umgang mit Drittsoftware (Softwarebibliotheken) und weiteren Dienstleistern, ohne die moderne Ecommerce-Plattformen überhaupt nicht mehr existieren würden, ist es wichtig darauf zu achten, dass hier die Sicherheitsrisiken erkannt werden. Nur so kann das Risiko minimiert werden, dass das vermeintlich sichere System durch einen unsicheren „Tunnel“ eines Drittanbieters geschwächt wird. Regelmäßige Updates sind hier ein absolutes Muss. Genauso gehört auch das regelmäßige Pentesting aller Systemkomponenten zum Pflichtprogramm eines Anbieters. Zu der Beauftragung eines Implementierungsdienstleister/Hosters etc. gehört heutzutage auch die Vorgabe von Sicherheitsanforderungen (z.B. in Form von Secure-Coding-Richtlinien). Da es dafür keinen definierten Software-Industriestandard gibt, muss man mit Experten zusammenarbeiten, die einen State-of-the-art Standard definieren können. Lassen sich Dienstleister nicht in die Karten schauen, ist dies bereits oft das erste Indiz dafür, dass es langfristig keine Gewährleistung geben wird, dass Sicherheitslücken geschlossen werden.
Über den Autor
Sven Scheil gehört zu der Generation, die während ihrer Hochschulausbildung die Premiere des Internets miterleben durfte. In Deutschland gab es derzeit einen „Cloud“-Dienst namens BTX. Der Chaos Computer Club erschien auf der Bildfläche: Mit seinem „BTX-Hack“, zeigte er damals, wie leicht man der Hamburger Sparkasse online 134.634,88 D-Mark klauen konnte. All dies hat den Security Manager fasziniert. Nach seinem Studium arbeitete er als Software-Entwickler und -Architekt. Seit 12 Jahren hat Sven Scheil bei hmmh ausschließlich E-Commerce Systeme entwickelt. Er ist als Ethical Hacker zertifiziert und hat ein eigenes firmenübergreifendes Team für die Themen Sicherheit und Softwarequalität aufgebaut.
Dieser Artikel wurde auf Lead-Digital.de veröffentlicht.