Wie sicher ist dein Mail-Account? So schnell sind Hacker in deinem System!

Wann hast du zuletzt das Passwort deines privaten Mail-Accounts geändert? Wie sicher schätzt du insgesamt deine Online-Konten, Computer und vernetzten Geräte der heimischen Stube ein? Hast du den Router für den Internetzugang einfach nur angesteckt und losgelegt? Oder hast du das Standardpasswort doch noch geändert?

Dies und einiges mehr sind die Themen, die uns direkt betreffen. Mal angenommen, mein Blog wird nicht ausgedruckt und jemandem auf Papier zum Lesen vorgelegt, betrifft es uns tatsächlich ALLE. Das grosse Thema der Informationssicherheit. Die Vernetzung bringt uns grossen Nutzen, aber auch grosse Gefahren.

Aus diesem Grunde stelle ich euch heute ein Buch von Kevin Mitnick vor, einem ehemaligen Hacker und einst einer der meist gesuchten Verbrecher Amerikas. In Die Kunst des Einbruchs hat er mehrere spannende Geschichten von Hackern zusammengestellt, welche sich ihm anvertraut haben. Spannend und besorgniserregend zugleich. Auch wenn die erzählten Angriffe in dieser Weise heute wohl kaum noch möglich wären, wissen wir aus den Medien und vielleicht gar eigenen Erfahrung nur zu gut, dass Hackerangriffe heute noch genauso an der Tagesordnung sind.

Nehmt euch das Buch zu Herzen und denkt immer daran:

Du musst nicht Ziel sein, um Opfer zu werden.

Wo sollen wir das Buch nun einordnen? Es ist wohl am ehesten eine Mischung aus Fachbuch und Thriller. Eine Geschichtssammlung von Fachthrillern also. Um das Buch lesen zu können, ist jedoch überhaupt kein Fachwissen von Informationssicherheit notwendig. Einzig das Interesse für dieses Thema sollte vorhanden sein, was bei der alltäglichen Anwendung von IT-Geräten so oder so da sein müsste.

Falls Sie ein IT- oder Sicherheitsprofi sind, bringt jede Story für Sie einige Lektionen mit sich, damit Sie Ihre Organisation sicherer machen können. Falls Sie keinen technischen Hintergrund haben und einfach gerne Thriller mögen, in denen es um Waghalsigkeit, Risikobereitschaft und echten Mumm geht, dann ist dies Buch für Sie genau das richtige.

Kevin Mitnick hat zehn verschiedene Geschichten zusammengetragen, welche uns aufzeigen, was wirklich möglich ist. Wenn ein Hacker irgendwo rein will und er genügend Zeit und Ressourcen aufwendet, dann dürfen wir getrost davon ausgehen, dass er auch reinkommt. Punkt. Aus. Das ist auch heute noch so.

Die Schwachstellen

Meistens sind jedoch schlichtweg Schwachstellen im angegriffenen System schuld an einem Einbruch ins Netzwerk. So machen sich die meisten Hacker im Buch genau dies zu Nutze. Häufig sind es unsichere Passwörter oder – noch viel schlimmer – überhaupt keine oder schilchtweg das Standardpasswort. Den meisten Hacker im Buch kam ebenfalls zu Gute, dass sie nach Überwinden der ersten Hürde weitaus freie Bahn hatten. Das Sicherheitskonzept sollte eine gewisse Tiefe aufweisen. Je nach Berechtigung kommt man tiefer ins Netzwerk hinein. Aber auf keinen Fall darf man nach nur einer Tür überall Zugriff haben. Lassen wir mehrere tausend Schweizer Franken einfach so auf dem Esstisch herumliegen? Oder im Auto? Wohl kaum.

Wenn Sie versuchen, Ihre Systeme idiotensicher zu machen, wird es immer einen Idioten geben, der einfallsreicher ist als Sie.

Seit jeher eine der grössten Schwachstellen in einem IT-System ist jedoch der Mensch. Also wir ganz persönlich. So ist Social Engineering sehr oft ein Teil eines Angriffsszenarios, um an Zugangsdaten wie Benutzernamen und Passwörter, Aufbau des Netzwerks oder generell die Zutrittsmodalitäten zu kommen. Deshalb hat auch Kevin Mitnick diesem wichtigen Thema ein Kapitel gewidmet.

Wie reagiert ihr, wenn ein Herr in Anzug und Krawatte hinter euch her durch den Personaleingang läuft? Ist es nicht logisch, dass dieser Herr in die oberste Etage zur Geschäftsleitung gehört? Oder kennt ihr sämtliche Gesichter? Klar, das ist jetzt stark Abhängig der Firmenkultur und auch der Grösse des Unternehmens und der Anzahl Mitarbeiter am Standort. Aber mal ehrlich. Lässt ihr den Herrn draussen im Regen stehen, wenn er euch glaubhaft macht, er habe seinen Ausweis zu Hause vergessen und habe in zehn Minuten einen Termin beim CEO? Wohl kaum.

Wenn wir einen Mann sehen, der für eine ältere Dame die Tür offen hält, halten wir ihn für höflich. Wenn die Frau jung und attraktiv ist, werden wir wahrscheinlich ein ganz anderes Motiv unterstellen.

Es gibt viele Arten, wie man mit überzeugtem Auftreten jemanden Beeinflussen kann. Und ist man mal im Bürogebäude drin, so stehen die Computer häufig schon ungeschützt bereit, um mal eben kurz einen USB-Stick einzustecken. Je nach Methode, bleibt der eine Weile drin und protokolliert schön alles mit oder er liest direkt die Zugangsdaten für das Netzwerk aus und schreibt alles auf den Stick. Dieser Spuk dauert keine Minute und schon hat man einiges an Informationen, um von ausserhalb ins Netzwerk zu gelangen.

Die Prüfungen

Es gibt viele Sicherheitsfirmen, die das eigene Firmennetzwerk auf Herz und Nieren testen. In sogenannten Penetrationstests. Nicht nur technisch, zur Sicherheit gehören auch die Mitarbeiter. Aber will eine Firma wirklich über sämtliche Schwächen informiert werden? Will ein Unternehmen tatsächlich wissen, wie angreifbar es ist? Die einen bestimmt und das ist auch gut so. Andere wiederum möchten sich zwar testen lassen, aber bitte schön nur bis dahin und nicht weiter. Und auch bitte kein Social Engineering. Naja, dann kann man es häufig auch gleich bleiben lassen.

Sicherheit basiert hauptsächlich auf Vertrauen. Die Auftragsfirma muss der Sicherheitsfirma trauen, die das Sicherheits-Assessment durchführen soll.

In einer Geschichte des Buches war die auftraggebende Firma dermassen von den Angriffen des Sicherheitsbeauftragten schockiert, dass die mit Sicherheit das Letzte Mal zusammen gearbeitet haben. Der Auftragshacker kam insbesondere dank Social Engineering in die Büroräumlichkeiten und ins IT-Netzwerk, was der Auftraggeben jedoch ausdrücklich von den  Tests ausgeschlossen hatte. Aber nützt einer Firma ein technisch sicheres Netzwerk, wenn der Angreifer über soziale Kanäle an die notwendigen Informationen kommt?

Die Knastbrüder

Interessant und amüsant ist die Geschichte zweier Gefängnisinsassen in Texas. Für einmal wandern zwei Hacker nicht NACH ihrer Hackerzeit in den Knast, sondern erlernen sich ihr gesamtes Wissen WÄHREND ihres Gefängnisaufenthaltes an. Verurteilt wegen Mordes. Es ist beeindruckend, wie diese zwei Männer erst unabhängig voneinander mit ihrem grossen Interesse, viel Zeit, unglaublicher Gerissenheit und persönlicher Manipulation quasi vor den Augen der Wärter ihre eigenen Rechner zusammenbauen und in der Folge damit ins Internet gehen. Dies alles, um sich zu unterhalten. Musik hören, Videos schauen, Telefonieren.

Und in einem Gefängnis sollte man nicht erwarten, dass Insassen, die ständig überwacht werden und unter strengen Vorschriften leben, eine Möglichkeit finden, nicht nur ins Internet zu kommen, sondern sogar täglich stundenlang Musik zu hören, Filme zu schauen und mit dem anderen Geschlecht zu kommunizieren und mehr und mehr über Computer zu erfahren.

Diese beiden Typen hacken sich nicht in ein fremdes Netzwerk hinein. Nein, sie hacken sich ins öffentliche Internet hinaus. Jede der Geschichten im Buch steht für sich und doch erzählen sie uns alle, wie manipulierbar wir doch sind. Er zeigt uns, wie eine Gruppe mehrerer Päärchen die Casinos von Las Vegas um (sehr) viel Geld bringen, wie mutmassliche Attentäter des 11. September 2001 vorab verschiedene Hacker auf der Welt auskundschaften und für ihre Zwecke zu missbrauchen versuchen oder wie andere Hacker im Grunde nur das Gute für die Angegriffenen im Sinn haben.

Die Autoren

Die Geschichten in Die Kunst des Einbruchs wurden von Kevin Mitnick zusammengetragen und durch William Simon in eine lesbare Form gebracht. Kevin Mitnick ist ein ehemaliger Hacker aus den USA. Mehr als 100 mal soll er in das Netzwerk des US-Verteidigungsministeriums sowie einige Male in das der NSA eingedrungen sein. 1988 wurde Kevin Mitnick zu 12 Monaten Einzelhaft verurteilt mit einer anschliessenden Bewährungsstrafe von drei Jahren. Im Februar 1995 wurde er erneut vom FBI verhaftet und angeklagt.

Mitnick könnte einen Nuklarkrieg starten, indem er ins Telefon pfeift.

Im Januar 2000 wurde Kevin Mitnick nach knapp fünf Jahren aus der Haft entlassen. Als Bewährungsauflage ordneten die Richter ein dreijähriges Benutzungsverbot von EDV-Systemen an. Seither ist Kevin Mitnick als Autor und Sicherheitsberater tätig. Nebst Die Kunst des Einbruchs erschien auch Die Kunst der Täuschung, welches sich um Social Engineering handelt. In Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker (Englisch) erzählt er aus seiner eigenen Zeit als Hacker. Dies war ihm jedoch erst sieben Jahre nach Haftentlassung gestattet.

Die Tipps für etwas mehr Sicherheit

Ich bin kein Experte, aber ein paar wenige Tipps kann selbst ich euch geben. Denkt stets daran: es kann jeden erwischen! Es müssen auch keine gezielten bösen Absichten dahinter stecken. Aber ein gehacktes Facebook-Konto kann bereits zu sehr unangenehmen Folgen führen. Oder noch schlimmer ist es, wenn euer PC-Bildschirm geblockt wird oder gar eure Daten verschlüsselt werden mit der Forderung, Geld zu überweisen.

Aufwachen, Leute! Die Änderung der Standardeinstellungen und die Verwendung starker Passwörter könnte verhindern, dass ihr Unternehmen zum Opfer wird.

Sichere Passwörter

Also, achtet zu allererst auf genügend sichere Passwörter. Hier einige Infos dazu. Weitere nützliche Tipps findet ihr unter anderen auf den offiziellen Seiten eures Landes (MELANI in der Schweiz, BSI in Deutschland).

• Verwendet keine Phrasen, welche Rückschlüsse auf euch ziehen lassen (Namen, Wohnort, Geburtstag usw.)
• Ändert eure Passwörter regelmässig
• Verwendet verschiedene Passwörter für all die diversen Logins. Es ist wohl nicht so clever, für das Internetbanking und irgend einen ominösen Onlineshop im Internet das selbe Passwort zu verwenden.
• Achtet auf eine ausreichende Länge. Dies macht das Knacken des Passwortes ganz einfach schwieriger oder es dauert einfach länger. Weniger als acht Zeichen sind grundsätzlich unsicher und leicht zu knacken.
• Verwendet nebst den alphabetischen auch sonstige Zeichen wie Zahlen und Sonderzeichen sowie nutzt die Gross-/Kleinschreibung.
• Schreibt euer Passwort NICHT auf.
• Ändert die Standardpasswörter von verwendeten Geräten zu Hause (Router, Fernseher und einfach alles, was am Internet hängt)

Das Passwort bei diesem Cola-Automaten lautete David zufolge „pepsi“!

Nun ja, das ist der altbekannte Widerspruch. Das Passwort soll möglichst komplex sein, aber trotzdem soll man es nicht aufschreiben. Und regelmässig ändern soll man es auch noch. Es muss hier nun jeder den optimalen und für sich sinnvollen Mittelweg finden zwischen Sicherheit und Verwendbarkeit.

Verdächtige E-Mails

Weitherum bekannte Angriffsklassiker kommen via E-Mail. Wer bekommt nicht regelmässig irgendeine Aufforderung von irgendeiner Bank oder sonst einem vertrausenswürdigen Institut? Traut grundsätzlich erst mal keinem E-Mail! Eine Bank wird euch grundsätzlich NIEMALS per E-Mail zur Eingabe eures Passwortes auffordern. NIE! Bei solchen E-Mail gibt es nur genau eine sinnvolle Taste auf der Tastatur – DELETE! Weg damit.

Seid aufmerksam

Schon mal was von Schultersurfing gehört? Bei dieser Art von Informationsbeschaffung schaut der Angreifer ganz einfach anderen Leuten in der Öffentlichkeit ein wenig über die Schulter. Ganz unauffällig. Ihr sitzt am Bahnhof oder Flughafen und checkt mal  noch eure Mails auf dem Laptop. Was gebt ihr ein? Euer Passwort. Deckt ihr euch dabei mit einer Decke zu? Wohl kaum. Weiter kann der Angreifer auch einfach euer Verhalten oder Vorlieben für gewisse Tools auskundschaften. Welchen Virenscanner ihr verwendet. Und was weiss ich noch alles.

Der menschliche Faktor ist erwiesenermassen schon seit ewigen Zeiten das schwächste Glied in der Informationssicherheit. die Eine-Million-Euro-Frage lautet: Werden Sie das schwächste Glied sein, das ein Social Engineer in Ihrer Firma ausnutzen kann?

Oder wie offen besprecht ihr in der Mitarbeiterkantine oder gar dem benachbarten Restaurant am Mittagstisch geschäftliches mit euren Kollegen? Der Angreifer sitzt „zufällig“ am Tisch nebenan und hört ein wenig mit. Informationen zu sammeln ist ein wichtiger Bestandteil eines möglichen Angriffes auf das Netzwerk eures Unternehmens.

Der Gefahr bewusst sein

Also seid einfach grundsätzlich aufmerksam und eignet euch ein Bewusstsein für die mögliche Gefahr an. Beachtet die Sicherheitsrichtlinien in eurem Büro und definiert euch auch selbst welche für zu Hause. Natürlich gilt es auch immer abzuwägen, wie viel Aufwand denn sinnvoll ist. Aber seid ihr nicht auch froh um eure Haustüre und schliesst diese jedes Mal schön ab, bevor ihr rausgeht?

Den meisten der Leute, deren Stories in diesem Buch erscheinen, droht ein Strafverfahren, wenn ihre wahre Identität herauskommt – andere sind deswegen bereits ins Gefängnis gewandert.

Die Links für weitere Informationen

Nachfolgend noch einige Links mit weiteren Informationen zum Buch, dem Autor sowie allgemein zur Informationssicherheit.

• Kevin Mitnick auf Wikipedia
• Kevin Mitnick and the Global Ghost Team mitnicksecurity.com
• Melde- und Analysestelle Informationssicherung MELANI (CH)
• Bundesamt für Sicherheit in der Informationstechnik BSI (D)

Das Sprichwort stimmt, dass Sicherheitssysteme immer gewinnen müssen, der Angreifer hingegen nur einmal.

Kevin D. Mitnick, William L. Simon: Die Kunst des Einbruchs. mitp Verlag, 2008.