Die Methoden der Hacker

Webseite offline oder gar "verschönert" und alle Daten der Nutzer öffentlich einsehbar. Der Online-Albtraum wird für immer mehr Firmen und Behörden real. Meist haben die Angreifer leichtes Spiel.

Methoden Hacker
Schließen
Methoden Hacker
(c) REUTERS (� Susana Vera / Reuters)

Es vergeht mittlerweile kaum ein Tag, an dem Hacker nicht die Webseite einer Firma, Behörde oder eines Medienkonzerns "knacken". Ob Rachefeldzug, Online-Demo, finanzielle Ziele oder Geltungsdrang - die Angreifer finden immer ein Motiv. Und sie finden auch immer ein Schlupfloch, eine Sicherheitslücke, durch die sie "eindringen" können. Gerade bei großen Web-Portalen und großen Konzernen, scheinen Online-Verantwortliche einfach nicht jede potenzielle Schwachstelle im Blick haben zu können. Aber wie einfach ist es wirklich, eine Webseite zu "knacken" und mit welchen Methoden arbeiten Hacker genau?

Türöffner: Cross Site Scripting und Brute Force

Viel Schaden anrichten können Hacker, wenn sie sich Zugriff auf das "Back End" einer Webseite verschaffen. Dort kann der Quellcode und damit Aussehen und Funktionsweise der Webseite verändert werden und diverse Datenbanken eingesehen werden. Eine gängige Methode ist denkbar einfach. In vielen Fällen werden notwendige Passwörter oder andere hilfreiche Daten schlicht erfragt. Oft genügt ein Anruf einer vermeintlich vertrauenswürdigen Person an der richtigen Stelle (Social Engineering). 

Eine andere Möglichkeit ist es, die Online-Identität eines Nutzers mit den gewünschten Berechtigungen im Internet "abzufangen" und für sich selbst zu nutzen. Machbar ist das zum Beispiel über sogenanntes Cross Site Scripting (XSS). Dafür nutzen Angreifer Formulare, über die auf Webseiten Text hinterlassen werden kann - zum Beispiel Foren oder Webseiten für Kleinanzeigen. Sind die Formulare nicht entsprechend geschützt, können Hacker darin ausführbaren Code verstecken. Das Opfer braucht dann nur noch die entsprechende Webseite aufrufen und der Angreifer erhält zum Beispiel Zugang zu dem "Cookie" des eingeloggten Nutzers. Damit kann sich der Hacker im Browser ganz einfach als dieser Nutzer ausgeben. 

Eine ebenfalls gängige Methode, Passwörter zu knacken, ist "Brute Force". Dabei werden einfach alle möglichen Passwörter ausprobiert. Dass diese Methode in der Praxis oft erfolgreich ist, liegt daran, dass viele Nutzer sehr simple Passwörter wie "1234" oder "password" verwenden. 

Daten "stehlen"

Für das Auslesen von Nutzerdaten verschiedener Online-Dienste haben Hacker ganz unterschiedliche Motive. Die einen wollen mit den Daten Geld machen - entweder, indem sie die Datensätze verkaufen, oder indem sie Kreditkarten- oder Bankkonto-Daten missbrauchen. Die anderen wollen die geklauten Daten als Druckmittel verwenden und die Firma oder Behörde zu bestimmten Maßnahmen zwingen. Letzteres ist jüngst etwa bei einem Angriff auf den Österreichischen Gebühreninfo Service GIS geschehen. Die Angreifer drohten mit der Veröffentlichung von spionierten Daten, wenn der Dienst nicht zugebe, dass die Daten durch zu schwache Sicherheitsmaßnahmen abhanden gekommen sind. Diese zu schwachen Sicherheitsmaßnahmen betreffen in der Regel SQL-Datenbanken, die die Nutzerdaten enthalten und oft einfach durch das Ändern der URL, der Adresse in der Adresszeile des Browsers, gelesen werden können. Solche SQL-Injections können vom Betreiber relativ einfach verhindert werden. Oft genügt es, die Berechtigungen strenger zu setzen und die Eingaben von Nutzern zu "maskieren", sprich, Zeichenfolgen, die auch als SQL-Befehl akzeptiert werden, verschlüsseln. 

Online-Demo: Distributed Denial of Service

Mit ausreichend Teilnehmern lassen sich über das Internet Webseiten lahmlegen. Das passiert gelegentlich ganz ohne das Zutun von Angreifern. Zum Beispiel waren nach dem Tod von Michael Jackson 2009 Dienste wie Twitter und Google ob des Ansturms interessierter Nutzer einfach überfordert. Es kamen zu viele Anfragen, die Server hatten nicht ausreichend Ressourcen frei und waren nicht mehr erreichbar. Dieser Zustand lässt sich allerdings auch künstlich herbeiführen und wird dann Distributed Denial of Service (DDoS) genannt. Die Angreifer sehen diese Methode oft nicht als Verbrechen, sondern als friedlichen Online-Protest - etwa so, als würden Demonstranten eine Straße verstellen. Für eine solche Online-Demo muss auf tausenden Computern ein spezielles Programm installiert werden. Über dieses Programm kann das so entstandene "Botnet" von dem Initiator des Angriffs ferngesteuert werden. Diese Rechner überfluten das Ziel schließlich mit Anfragen. In der Regel wissen die Besitzer der Computer in dem Botnet nichts von ihrer Rolle - sie sind selbst Opfer von Schadprogrammen geworden. Es gibt allerdings auch Fälle, in denen die einzelnen Botnet-Rechner freiwillig teilnehmen. So geschehen zum Beispiel im Dezember 2010, als sich Hacker der Gruppe Anonymous an Paypal, Mastercard und Visa rächen wollten, weil die Zahlungsdienstleister gegen Wikileaks vorgingen. 

 

Die Presse - Testabo

Testen Sie jetzt „Die Presse“ und „Die Presse am Sonntag“ sowie das „Presse“-ePaper und sämtliche digitale premium‑Inhalte 3 Wochen kostenlos und unverbindlich.

Jetzt 3 Wochen testen
Kommentar zu Artikel:

Die Methoden der Hacker

Schließen

Sie sind zur Zeit nicht angemeldet.
Um auf DiePresse.com kommentieren zu können, müssen Sie sich anmelden ›.

Meistgelesen