Wenn Hacker Menschen hacken

Der bei Weitem größte Unsicherheitsfaktor in puncto Hacking ist der Mensch.

»Unser System ist unhackbar«, hören wir diverse Hersteller von Software oder Hardware immer wieder betonen. Und immer und immer wieder werden sie eines Besseren belehrt, sobald Fachkundige mit gutartiger oder bösartiger Motivation diese Aussage auf die Probe stellen. Wie aber funktioniert eigentlich dieses Hacken? In der Breite der Gesellschaft herrscht über diese Frage eine ausgeprägte Unkenntnis, in deren Schatten sich allerlei mythische Theorien breitmachen. Klar, das Hacken hat eine technische Komponente, und die Übernahme technischer Systeme ist sein Ziel: Angreifende wollen Verfügbarkeit, Integrität oder Vertraulichkeit von System und Daten verletzen. Dieses Ziel erreichen sie regelmäßig durch das Ausnutzen von Schwachstellen, die ein Aushebeln des vorhandenen Sicherheitsmodells ermöglichen. Bei diesen Schwachstellen kann es sich um Programmierfehler handeln, um mangelhafte Sicherheitsarchitekturen oder um fehlerhafte Konfigurationen. Das mit Abstand häufigste Einfallstor wird jedoch häufig außer Acht gelassen: der Mensch.

Die wenigsten Angriffe kommen ohne menschliche Komponente aus
Wenngleich ich aus meiner beruflichen Praxis als Penetration Tester und IT Security Consultant wohl kaum den Schluss ziehen würde, dass heutige Software in einem sonderlich sicheren Zustand ist, lässt sich doch feststellen: Die mit großem Abstand wenigsten Angriffe kommen gänzlich ohne eine menschliche Komponente aus. Das gilt auch für viele Schauergeschichten, die in der Öffentlichkeit teils panisch, teils mystisch ventiliert werden. Im März 2016 erhielt John Podesta, ehemaliger Stabsvorsitzender des US-Präsidenten Barack Obama und zu diesem Zeitpunkt Leiter des Präsidentschaftswahlkampfes für Hillary Clinton, eine folgenschwere E-Mail: Das »Gmail Team« informierte ihn darüber, dass sein System kompromittiert worden sei und er umgehend sein Passwort ändern müsse. Hierzu solle er auf einen praktischerweise gleich in der E-Mail mitgelieferten Link klicken. Sein Personal tat wie geheißen, und »der Rest ist Geschichte«, wie Podesta später sagte: Seine
gesammelten E-Mails befanden sich kurze Zeit später auf der Plattform »Wikileaks«, und der Vorfall wird als einer der wichtigen Faktoren gewertet, die zur Niederlage Clintons gegen Donald Trump führten. Die E-Mail stammte nicht vom Anbieter Gmail, und der Link führte auch nicht zu Gmail, sondern zu einem Server der Angreifenden. Und dort landeten auch das alte und neue Passwort, welche beim vermeintlichen »Wechsel« eingegeben worden waren – ein erfolgreicher und folgenschwerer
Hack ganz ohne die Ausnutzung technischer Sicherheitslücken. Das Team Podesta war Opfer eines
sogenannten Phishing-Angriffs geworden. Wenige Monate zuvor erlitten zwei Krankenhäuser in Neuss und Arnsberg einen nahezu vollständigen Ausfall ihrer IT-Systeme zur Verwaltung von Patientinnen- und Patienteninformationen, zur klinischen Dokumentation und Abrechnung. Ausgelöst wurden die Ausfälle durch eine Schadsoftware, die als Anhang einer E-Mail in einer Abteilung des Krankenhauses eingegangen und arglos geöffnet worden war. Sind diese folgenschweren Vorfälle einer besonderen Inkompetenz des politischen und klinischen Personals zuzuschreiben? Das wäre zu kurz gedacht. Zwar hätten in beiden Fällen eine gesunde Portion Argwohn und eine genaue Prüfung der E-Mails helfen können, das Desaster zu verhindern, doch die Angreifenden wussten genau, wie sie ihre Opfer in einen Zustand versetzen, unter möglichst geringem Ressourcenaufwand vermeintlich effizient zu handeln.

Lesen Sie den gesamten Artikel in unserer November/Dezember-Ausgabe.

Report Psychologie November/Dezember 2018 bestellen

Zurück