Sie nennen sich White Hat HackerInnen und brechen in Computer ein – aber nicht um Schaden anzurichten, sondern um im Auftrag von Unternehmen Lücken zu finden und Systeme sicherer zu machen.  Wie einfach das ist, erklärt ein Profi an einem realen Beispiel.

R. ist gerade dabei, den Inhalt seines E-Mail-Postfachs abzuarbeiten, als eine Mail-Benachrichtigung sich in die rechte Ecke seines Bildschirms schiebt. Die lange Liste wandert eine weitere Zeile nach unten. Es ist Montag kurz nach acht. Die erste Tasse Kaffee wartet noch darauf, trinkbare Temperatur zu erreichen, während der HR-Beauftragte scrollt, klickt. Eine Bewerbungsmail. Keine Seltenheit in einem Unternehmen, das mehr als 1.000 MitarbeiterInnen beschäftigt.

„Sehr geehrter ... Hiermit möchte ich mich ... angebotene Stelle ... Bewerbungsunterlagen anbei.“

Ein Attachement hat die E-Mail nicht, dafür aber einen Link. „OneDrive – Bewerbungsunterlagen Herr Maier.pdf“ liest sich dort, blau und unterstrichen. R. klickt, der Browser öffnet die Microsoft-Login-Seite. Der erste Schluck Kaffee, während er Benutzername und Passwort eingibt und auf Enter drückt. Das PDF ist schnell heruntergeladen, die E-Mail kommt in den „erledigt“-Ordner, die Bewerbung selbst in die Ablage am Desktop. Wieder etwas geschafft.

Gut vorbereitet

Für R. ist zumindest diese Aufgabe abgehakt – für David Winkler und sein Team beginnt die eigentliche Arbeit damit erst. Denn hätte der HR-Beauftragte sich den Link zu der Bewerbung ein wenig näher angesehen, wäre ihm vielleicht aufgefallen, dass er zu www.officeserver.at führt: einer Internetadresse, die zwar offiziell klingt, aber nichts mit dem Microsoft-Dienst zu tun hat.

Die HackerInnen haben schon im Vorfeld ihre Hausaufgaben gemacht: „Das Job-Posting war öffentlich im Internet ausgeschrieben“, meint David Winkler, Gründer und Geschäftsführer des Innsbrucker Unternehmens Strong-IT. Natürlich. Es soll ja auch von BewerberInnen gefunden werden. „Und die E-Mail-Adresse der Kontaktperson war logischerweise ebenso angegeben.“ Ein wenig mehr Detektivarbeit hat den HackerInnen zudem verraten, dass ihr Ziel Microsoft Office benutzt und damit ein über Microsoft-Benutzeraccounts verwaltetes E-Mail-System. Und auch der Zeitpunkt, an dem das Bewerbungsschreiben angekommen ist, war nicht zufällig. „Montag ist ein guter Tag für Phishing-Attacken“, meint Winkler. „Über das Wochenende haben sich Mails im Account angesammelt, die abgearbeitet werden. Eine Mail am früheren Vormittag wird meistens gleich bearbeitet, während ihr weniger Aufmerksamkeit geschenkt wird.“

Einfach abgekupfert

Die Seite, auf der R. sich eingeloggt hat, um die Bewerbungsunterlagen herunterzuladen, gehört dementsprechend auch nicht Microsoft – selbst wenn ihre URL-Adresse auf den ersten Blick so aussieht. Stattdessen haben die AngreiferInnen die Login-Page von OneDrive ganz einfach kopiert und in eine eigene, von ihnen erstellte Website integriert. Dieser Klon sieht dem Original so ähnlich wie möglich, inklusive ihrer nur minimal veränderten Internetadresse. Nur dass die Textfelder dort die eingegebenen Daten direkt und unverschlüsselt an die HackerInnen weiterleiten.

In den Fokus der AngreiferInnen ist das Unternehmen, bei dem sie sich „beworben“ haben, allerdings nicht gerückt, weil es mit einem Jahresumsatz von mehr als 250 Millionen Euro jährlich ein formidables Ziel darstellen würde. Vielmehr hat sich der Konzern selbst an die ExpertInnen gewandt und einen sogenannten Pen-Test in Auftrag gegeben.

Sesam öffne dich

Mit den Login-Daten von R.s E-Mail-Account ist der erste und wichtigste Schritt geschafft. Die HackerInnen loggen sich ein und beginnen, seine Mails zu lesen, ohne dass der HR-Beauftragte etwas davon mitbekommt. Und sie haben Glück: Fein säuberlich in einem Ordner abgelegt finden sie ein Handbuch für einen Bewerbungsserver inklusive der standardisierten Login-Daten, die nie geändert worden sind. „Über diesen Server wurden Benutzerdateien im ganzen Unternehmen zur Verfügung gestellt“, erklärt Winkler. „Dementsprechend loggen dort MitarbeiterInnen aus den verschiedensten Bereichen ein“ – und nun auch die HackerInnen, die sich in dem System auf die Lauer legen.

Versteckt vor aller Augen

Es dauert nicht lange, bis ein weiterer User auf den Server zugreift, um seinen täglichen Aufgaben nachzugehen. Das verrät den AngreiferInnen ein einfacher, einzeiliger Tastaturbefehl. Und das ist nicht alles. Das Benutzerkonto aus dem Handbuch in R.s Mail-Account besitzt Administratorenrechte auf diesem Server: Wer damit eingeloggt, darf also deutlich mehr als reguläre UserInnen. Mit diesen Erlaubnissen und einem frei verfügbaren, relativ einfach zu benutzenden Tool können die HackerInnen die Login-Daten aller angemeldeten BenutzerInnen abgreifen.

Mit diesem stetig wachsenden Schlüsselbund an neuen Benutzernamen und Passwörtern stehen ihnen nun neue Wege auf weitere Server offen. So tasten sie sich langsam vor und kartografieren des Netzwerks ihres Ziels. Sie springen von einem Server zum nächsten und warten. Während die arglosen MitarbeiterInnen ihren Aufgaben nachgehen, sammeln sie weitere Benutzernamen und Passwörter, mit immer höheren Berechtigungen, bis ihnen der erste Domain Admin begegnet. „Das sind UserInnen, die Zugriff auf das gesamte Netzwerk haben“, erklärt Winkler. „Ihre Login-Daten sind gewissermaßen der Generalschlüssel für das gesamte System. Wer sie in Händen hält, dem stehen Tür und Tor offen.“ Und auch diese Information wird ebenso schnell wie unbemerkt ausgelesen.

Am Ziel

Für die HackerInnen ist der Angriff damit ein Erfolg. Ohne viel Know-how einsetzen zu müssen und mit nur einer frei verfügbaren Software sind sie bis ins Herz des Systems vorgedrungen. Dort legen sie einen Account mit dem Benutzernamen Pr0t3ctY0$3lf (Protect Yourself, also „Schütze dich“) an, der ihnen den weiteren Zugriff von außen sichert und später als Beweis für ihre Präsenz dienen wird. Danach heißt es abwarten, bis ihr Auftraggeber sie wieder kontaktiert, um zu erfahren, wie der Test ausgegangen ist.

„Hätten wir Böses im Schilde geführt, wäre das der Moment, in dem wir weitere sogenannte Persistenz etablieren“, meint Winkler. „Das oberste Ziel aller AngreiferInnen ist es, sich so einzunisten, dass man sie nicht mehr loswird – im Idealfall sogar, wenn alle Daten und Betriebssysteme gelöscht werden.“ Erst wenn das gelungen ist, gehen HackerInnen in der Regel ihren eigentlichen Motiven nach. Und davon gibt es viele.

Über den Account eines Domain Admins können Verschlüsselungstrojaner im gesamten Netzwerk verbreitet und Backups infiziert oder gelöscht werden. Doch auch wenn solche Erpressungsangriffe medial derzeit viel Aufmerksamkeit erregen, sind sie bei Weitem nicht die einzigen Attacken.

Viele Geschäftsmodelle

„Bei einem Unternehmen dieser Größe könnte es noch lukrativer sein, keine Aufmerksamkeit zu erregen und stattdessen längerfristig Daten abzuschöpfen“, meint Winkler. Das können Produktdesigns oder Herstellungsverfahren ebenso sein wie Finanzdaten oder E-Mail-Verkehr. „Weiß ich, wie viel mein Konkurrent für die Ausschreibung eines Projekts veranschlagt, fällt es mir leicht, ihn zu unterbieten.“ Und auf Daten, die AngreiferInnen selbst nicht gebrauchen können, warten nicht selten AbnehmerInnen im Darknet. Finden HackerInnen keinen Weg in einen großen Konzern, bedienen sie sich zudem nicht selten sogenannter Supply-Chain-Attacks. Dabei wird nicht das eigentliche Ziel angegriffen, sondern kleinere, schlechter geschützte Zulieferbetriebe. Dort werden die nötigen Zugriffsdaten oder Informationen gestohlen, mit deren Hilfe dann der eigentliche Angriff erfolgt.

Einfache Mittel, große Wirkung

„Mit diesem extrem breiten Spektrum an Gründen gibt es nahezu kein Unternehmen, das nicht in irgendeiner Form interessant für Cyberattacken ist“, ist Winkler überzeugt. Zugleich seien 80 bis 90 Prozent der Angriffe aber sogenannte Low-Skill-Attacks, also Angriffe, bei denen wenig Know-how nötig ist – „so wie bei diesem Pen-Test. Und gegen solche AngreiferInnen kann man seine Systeme sehr gut und sehr erfolgreich abhärten. Auch ganz ohne, dass man zu komplexen Maßnahmen greifen muss.“

Notschlachtung und Detektivarbeit

Hat sich jemand in einem System eingenistet, stehen VerteidigerInnen vor einer schwierigen Entscheidung. „Die Frage ist immer, wie groß das betroffene Unternehmen ist und wie wichtig die kompromittierten Daten sind“, sagt David Winkler. Denn ist ein Angriff einmal erfolgt, müsse grundsätzlich davon ausgegangen werden, dass sich die HackerInnen in sämtlichen Systemen festgesetzt haben. Nur die Computer, die offensichtlich betroffen sind, von Schadsoftware zu befreien oder neu zu installieren, sei deswegen oft sinnfreie Liebesmüh. „Alle auch nur ansatzweise versierten AngreiferInnen werden eine Attacke nutzen, um sich andere Hintertüren zu öffnen, mit denen sie zurückkehren können“, sagt Winkler. Und diese versteckten sie natürlich dort, wo sie nicht so schnell auffallen.

Kleinere Unternehmen sind daher meistens am besten beraten, ihre gesamte IT neu aufzusetzen. „Bei einem Unternehmen mit 20 bis 30 Rechnern ist das kein Drama“, meint Winkler. „Eine genau Angriffsanalyse mit spezifischen Gegenmaßnahmen lohnt sich unter diesen Umständen in den wenigsten Fällen.“

Anders sieht das in einem Großkonzern aus. Wo mitunter Tausende Computer
stehen, haben die ExpertInnen oft keine andere Wahl, als den AngreiferInnen Schritt für Schritt nachzuspüren. Als Erstes müssen sie dazu den Angriffsvektor finden – also die Lücke, über die eingedrungen worden ist. Von dort aus gilt es dann nachzuvollziehen, wie es gelingen konnte, sich im System auszubreiten. „Das ist oft extreme Detailarbeit“, meint Winkler. „Sind die Methoden, die zum Einsatz gekommen sind, einmal bekannt, durchkämmen wir dann das gesamte System und eliminieren Schadprogramme und Hintertüren Schritt für Schritt.“ Dabei darf allerdings nichts übersehen werden. Denn bleibt auch nur eine Lücke unverschlossen, ist es nur eine Frage der Zeit, bis eine neue Attacke Erfolg hat.    

Zur Person

David Winkler ist Gründer und Geschäftsführer des Innsbrucker IT-Sicherheitsanbieters Strong-IT. Neben Pene­trationstests und klassischer Netzwerkhärtung und -verteidigung bieten er und sein Team auch das aktive Jagen von Eindringlingen in bereits kompromittierten Netzwerken an.