Die Hacker kommen!

Foto: dbb berlin Gespanntes Auditorium
Foto: dbb berlin Die „Hacker“ Roberto Becker und Markus Beier (von links) bei ihrer Präsentation.

Ob Hacking oder Datendiebstahl, ob geknackte Passwörter oder gezielte Angriffe auf mobile Datenträger – Cyber-Kriminalität kann enorme Schäden verursachen. Für den dbb berlin Grund genug, seine Interessenvertreter in den Gewerkschaften und Beschäftigtenvertreter vor den konkreten Gefahren im Netz zu warnen und sie für einen achtsamen Umgang mit persönlichen Daten zu sensibilisieren. Die erste Betriebs- und Personalrätekonferenz in diesem Jahr stand deshalb ganz im Zeichen der Aufklärung über die Machenschaften der Hacker, denen oft durch einen allzu sorglosen Umgang mit sensiblen Daten Tür und Tor für ihr zerstörerisches Tun geöffnet wird.

Gründlich die Augen geöffnet wurden den rund 125 Teilnehmern der Veranstaltung am 24. Mai 2016 von dem Spezialistenteam der IT-Sicherheitsfirma consectra, Markus Beier und Roberto Becker, die in den Rollen von Hacker und Opfer auf kurzweilige Art die verschiedensten Angriffsformen simulierten und von Anfang bis Ende der ganztägigen Veranstaltung ihr Publikum fesselten und teilweise in ungläubiges Erstaunen versetzten.

Noch recht geläufig schien allgemein die Problematik der sogenannten Phishing-Mails zu sein, die in ihren Word- und mittlerweile auch PDF-Dateien Schadsoftware verbergen, deshalb derartige Anhänge auf jeden Fall nur von vertrauenswürdigen Absendern geöffnet werden sollen. Allerdings ist auch hier allerhöchste Wachsamkeit geboten, weil der Phantasie der Hacker ganz offensichtlich keine Grenzen gesetzt sind. Da werden ganze Homepages nachgebaut und mit Domains verknüpft, die nur ganz geringfügig von den echten abweichen und zum Anklicken von Links auffordern, mit denen sich der User ganz schnell einen Trojaner einfangen kann. Vor dem Anklicken heißt es also: Link-Eigenschaften prüfen, wobei man gut daran tut, den Domainnamen von rechts nach links zu lesen, um zu erkennen, dass etwa der Link zu www.dbb.berlin.de.hacker.com keineswegs zur vertrauten Homepage der gewerkschaftlichen Dachorganisation führt.

Verdächtige Mails nicht weiterleiten

Wer eine verdächtige Mail im Dienst erhält, sollte diese übrigens keinesfalls im Behördennetzwerk weiterleiten, sondern umgehend die IT rufen, damit der potenzielle Angriff nicht noch weiter verbreitet wird. Im höchsten Maße fahrlässig handelt aber, warnten die „Hacker", wer alle Eingänge öffnet und die Firewall deaktiviert, Virenscanner abstellt oder Sicherheits-Updates verzögert durchführt (auch Hacker wissen um die Nachlässigkeit mancher User nach einem Update und blasen sehr gern zum Angriff auf die aktuell geschlossene Sicherheitslücke).

Wer sich über den Update-Status auf seinem PC nicht sicher ist, sollte sich deshalb den für den Privatgebrauch kostenlosen „Personal Software Inspector" herunterladen, um etwaige Lücken zu schließen. Gewarnt sei auch vor Makros, die beispielsweise gern in Excel-Dateien platziert sind und deren etwaiges Schädigungspotenzial von Virenscannern nicht erkannt wird.

Im schlimmsten Fall: Neuinstallation

Was aber, wenn der Rechner, etwa durch die Umleitung eines Facebook-Links auf eine andere IP-Adresse, gründlich verseucht ist? Hier hilft tatsächlich nur Neuinstallation – eine gewaltige Aufgabe, für die der Nichtfachmann drei bis vier Tage rechnen muss. Immerhin müssen das Betriebssystem samt Updates, alle Computer- und Internetprogramme neu aufgespielt werden. Wer auch auf diesen Super-Gau vorbereitet sein will, kann eine Sicherheitskopie nicht nur seiner Dateien, sondern auch für ein Backup auf einer externen Festplatte ablegen. Komfortabler sind natürlich Systeme mit zwei Festplatten, die sich gegenseitig spiegeln.

Einsatz von Geräten

Gefahren lauern für die Anwender aber nicht nur im Netz. Auch mithilfe von Geräten kann Schadsoftware eingeschleust werden. Wer macht sich schon klar, wenn er seine Digitalkamera aus der Hand gibt, dass diese auch ein USB-Stick ist, mit dem auf einfache Weise Malware transportiert und platziert werden kann. Überhaupt sollten USB-Sticks vor Gebrauch unbedingt durch den Viren-Scanner laufen. Damit sich niemand über das Ausmaß des Schadens, den Hackerangriffe anrichten können, täuschen möge, führten die Referenten das Beispiel eines Mitarbeiters an, dem Kinderpornografie untergeschoben worden war. Bis der wahre Sachverhalt geklärt war, hatte der Mann praktisch alles verloren: Familie, Freunde, Job und Ansehen – wiederherstellen lassen sich die verlorenen Lebensumstände auch bei erwiesener Unschuld bekanntlich nicht.

Hacker mit unterschiedlichen Absichten

Stellt sich die Frage, was das für Menschen sind, die derartige Taten begehen? Unterschieden werden drei Hauptmotivationen von Hackern. Während die einen es vor allem darauf absehen, ihren Mitmenschen Geld aus der Tasche zu ziehen, legen es andere vorrangig darauf an, Schaden anzurichten. Die dritte Gruppe will vor allem Schlagzeilen machen. Ihr sind wohl auch die sogenannten white Hacker zuzurechnen, die einfach wissen wollen, wie weit sie gehen können und keine Schädigungsabsichten verfolgen. Als Hauptangriffsziele der Hacker gelten insbesondere soziale Netzwerke, persönliche nicht gesicherte Webseiten, Shoppingportale und Unterhaltungsprogramme.

Es möge sich niemand, der sich im Google Play Store mit frei verfügbaren Apps versorgt, darüber täuschen, dass diese vom Store-Betreiber lediglich auf Funktionstüchtigkeit aber nicht auf Sicherheit geprüft wird, warnten die Spezialisten. Jeder User, der seinen Arbeitsplatz – wenn auch nur kurzzeitig – verlässt, sollte zum eigenen Schutz und dem seiner Kollegen nie vergessen, sich von seinem Computer abzumelden. In der Zwischenzeit könnten sonst gefährliche Angriffe stattfinden, etwa durch eine präparierte Maus, durch USB-Sticks oder direkte Manipulationen am Gerät.

Sichere Passwörter vergeben

Bequemlichkeit und Nachlässigkeit haben auch bei der Passwortvergabe nichts zu suchen. Als sicher gilt zurzeit ein mindestens achtstelliger Code mit Zahlen, Buchstaben und Sonderzeichen. Ein Hash-Generator knackt andernfalls ein achtstelliges Passwort in drei Tagen, vier Stellen erledigt er gar in Sekundenzeiträumen. Es ist auch keine gute Idee, sich aus Angst vor der eigenen Vergesslichkeit stets mit demselben Kennwort anzumelden. Stattdessen empfiehlt es sich, ein Programm wie z. B. Keepass zu nutzen, das eine verschlüsselte Passwortdatei anlegt, die mit einem Masterpasswort wieder entschlüsselt werden kann. Der Vorteil für den User: Er muss sich nur noch ein Passwort merken.

Es spricht übrigens nichts dagegen, dieses Masterpasswort – für den Fall eines Blackouts – auch handschriftlich zu fixieren und an einem sicheren Ort zu verwahren. Auch die Anmeldung auf vielen Webseiten unter der gleichen E-Mail-Adresse halten die Experten nicht für optimal. Empfohlen werden zwei Mail-Accounts, einer für wichtige und einer für weniger wichtige, insbesondere nicht mit finanziellen Transaktionen verbundene, Vorgänge. Angriffe aufs Handy Last, but not least bietet auch das Handy eine breite Angriffsfläche für Hacker.

Schon wer einen QR-Code einscannt, sollte wachsam sein, wohin die Reise geht. Denn nichts ist einfacher, als derartige Codes auf Plakaten mit veränderten zu überkleben. Angeraten wird Handybesitzern zudem, sämtliche Apps auf ihre Berechtigungen hin zu überprüfen. Wer etwa für den Download einer Taschenlampen-App seinen Standort preisgeben soll, sollte wohl besser die Finger davon lassen.

Auf die Spitze getrieben wird die Überwachung übrigens durch die US-amerikanische APP Flexi Spy, die in Deutschland nur zur Überwachung von Kindern gestattet ist. Das Spionageprogramm kann allerdings in nur wenigen Minuten – etwa während eines Toilettenbesuchs – dem ahnungslosen Opfer untergeschoben werden. Betroffen von der Schnüffelei sind häufig Ehegatten, Freunde oder Mitarbeiter. Empfohlen wird von den IT-Sicherheitsexperten deshalb, das Handy auf jeden Fall bei Nichtbenutzung zu sperren, auch wenn dies manchmal lästig erscheint. Von biometrischen Daten zur Entriegelung wird wegen deren Ungenauigkeit abgeraten. Der Daumenabdruck etwa wird so wenig individuell eingescannt, dass praktisch mit jedem 20. Daumen entriegelt werden kann. Darüber hinaus sind Fingerabdrücke nicht allzu schwer zu generieren, etwa vom Trinkglas des Opfers oder durch eine Fotografie erhobener Hände.

Kritisch sehen die Experten auch die ständige Suche des Handys nach WLAN-Verbindungen, die allzu leicht auf unsichere Pfade führen kann. Die W-LAN-Funktion des Handys sollte man deshalb außerhalb des häuslichen und dienstlichen Bereichs deaktivieren. Waren alle Sicherheitsvorkehrungen vergebens, hilft auch beim Handy nur noch ein Reset. Immerhin ist der nicht ganz so aufwendig wie die Neuinstallation beim PC.

Vorsicht vor Social Engineering

Einfallstor für Hackerangriffe ist häufig Social Engineering, mit dem das Opfer durch geschickte Fragestellungen, die häufig mit Hilfsangeboten und dem Aufbau von Druck einhergehen, zur Preisgabe von Informationen oder unbedachten Handlungen getrieben wird. Gefahren also über Gefahren. Kein Wunder, wenn am Ende der Veranstaltung fast jeder Teilnehmer über seinen eigenen viel zu leichtfertigen Umgang mit der Technik ins Grübeln kam. Aber auch in Teilen der Verwaltung wird das Thema Datensicherheit teilweise gewaltig unterschätzt. Insbesondere an den Schulen gibt es keinerlei Standards, weil jeder Lehrer auf sich alleingestellt ist, gab eine VBE-Vertreterin dem hauptstadt Magazin zu bedenken. Ganz anders in der Steuerverwaltung, berichtete eine andere Teilnehmerin. Hier werde streng auf Datensicherheit geachtet. Für den privaten Bereich habe aber auch sie viel aus der Veranstaltung mitnehmen können.

Offenbar hatte der dbb berlin mit dem Thema der Konferenz und der Auswahl der ebenso kompetenten wie unterhaltsamen Referenten den Nagel auf den Kopf getroffen, was nicht zuletzt der anhaltende Beifall am Ende der Veranstaltung gezeigt hat.