Die Methoden der Hacker

Methoden Hacker
Methoden Hacker(c) REUTERS (� Susana Vera / Reuters)
  • Drucken

Webseite offline oder gar "verschönert" und alle Daten der Nutzer öffentlich einsehbar. Der Online-Albtraum wird für immer mehr Firmen und Behörden real. Meist haben die Angreifer leichtes Spiel.

Es vergeht mittlerweile kaum ein Tag, an dem Hacker nicht die Webseite einer Firma, Behörde oder eines Medienkonzerns "knacken". Ob Rachefeldzug, Online-Demo, finanzielle Ziele oder Geltungsdrang - die Angreifer finden immer ein Motiv. Und sie finden auch immer ein Schlupfloch, eine Sicherheitslücke, durch die sie "eindringen" können. Gerade bei großen Web-Portalen und großen Konzernen, scheinen Online-Verantwortliche einfach nicht jede potenzielle Schwachstelle im Blick haben zu können. Aber wie einfach ist es wirklich, eine Webseite zu "knacken" und mit welchen Methoden arbeiten Hacker genau?

Türöffner: Cross Site Scripting und Brute Force

Viel Schaden anrichten können Hacker, wenn sie sich Zugriff auf das "Back End" einer Webseite verschaffen. Dort kann der Quellcode und damit Aussehen und Funktionsweise der Webseite verändert werden und diverse Datenbanken eingesehen werden. Eine gängige Methode ist denkbar einfach. In vielen Fällen werden notwendige Passwörter oder andere hilfreiche Daten schlicht erfragt. Oft genügt ein Anruf einer vermeintlich vertrauenswürdigen Person an der richtigen Stelle (Social Engineering). 

Eine andere Möglichkeit ist es, die Online-Identität eines Nutzers mit den gewünschten Berechtigungen im Internet "abzufangen" und für sich selbst zu nutzen. Machbar ist das zum Beispiel über sogenanntes Cross Site Scripting (XSS). Dafür nutzen Angreifer Formulare, über die auf Webseiten Text hinterlassen werden kann - zum Beispiel Foren oder Webseiten für Kleinanzeigen. Sind die Formulare nicht entsprechend geschützt, können Hacker darin ausführbaren Code verstecken. Das Opfer braucht dann nur noch die entsprechende Webseite aufrufen und der Angreifer erhält zum Beispiel Zugang zu dem "Cookie" des eingeloggten Nutzers. Damit kann sich der Hacker im Browser ganz einfach als dieser Nutzer ausgeben. 

Eine ebenfalls gängige Methode, Passwörter zu knacken, ist "Brute Force". Dabei werden einfach alle möglichen Passwörter ausprobiert. Dass diese Methode in der Praxis oft erfolgreich ist, liegt daran, dass viele Nutzer sehr simple Passwörter wie "1234" oder "password" verwenden. 

Daten "stehlen"

Für das Auslesen von Nutzerdaten verschiedener Online-Dienste haben Hacker ganz unterschiedliche Motive. Die einen wollen mit den Daten Geld machen - entweder, indem sie die Datensätze verkaufen, oder indem sie Kreditkarten- oder Bankkonto-Daten missbrauchen. Die anderen wollen die geklauten Daten als Druckmittel verwenden und die Firma oder Behörde zu bestimmten Maßnahmen zwingen. Letzteres ist jüngst etwa bei einem Angriff auf den Österreichischen Gebühreninfo Service GIS geschehen. Die Angreifer drohten mit der Veröffentlichung von spionierten Daten, wenn der Dienst nicht zugebe, dass die Daten durch zu schwache Sicherheitsmaßnahmen abhanden gekommen sind. Diese zu schwachen Sicherheitsmaßnahmen betreffen in der Regel SQL-Datenbanken, die die Nutzerdaten enthalten und oft einfach durch das Ändern der URL, der Adresse in der Adresszeile des Browsers, gelesen werden können. Solche SQL-Injections können vom Betreiber relativ einfach verhindert werden. Oft genügt es, die Berechtigungen strenger zu setzen und die Eingaben von Nutzern zu "maskieren", sprich, Zeichenfolgen, die auch als SQL-Befehl akzeptiert werden, verschlüsseln. 

Online-Demo: Distributed Denial of Service

Mit ausreichend Teilnehmern lassen sich über das Internet Webseiten lahmlegen. Das passiert gelegentlich ganz ohne das Zutun von Angreifern. Zum Beispiel waren nach dem Tod von Michael Jackson 2009 Dienste wie Twitter und Google ob des Ansturms interessierter Nutzer einfach überfordert. Es kamen zu viele Anfragen, die Server hatten nicht ausreichend Ressourcen frei und waren nicht mehr erreichbar. Dieser Zustand lässt sich allerdings auch künstlich herbeiführen und wird dann Distributed Denial of Service (DDoS) genannt. Die Angreifer sehen diese Methode oft nicht als Verbrechen, sondern als friedlichen Online-Protest - etwa so, als würden Demonstranten eine Straße verstellen. Für eine solche Online-Demo muss auf tausenden Computern ein spezielles Programm installiert werden. Über dieses Programm kann das so entstandene "Botnet" von dem Initiator des Angriffs ferngesteuert werden. Diese Rechner überfluten das Ziel schließlich mit Anfragen. In der Regel wissen die Besitzer der Computer in dem Botnet nichts von ihrer Rolle - sie sind selbst Opfer von Schadprogrammen geworden. Es gibt allerdings auch Fälle, in denen die einzelnen Botnet-Rechner freiwillig teilnehmen. So geschehen zum Beispiel im Dezember 2010, als sich Hacker der Gruppe Anonymous an Paypal, Mastercard und Visa rächen wollten, weil die Zahlungsdienstleister gegen Wikileaks vorgingen. 

Lesen Sie mehr zu diesen Themen:

Mehr erfahren

WhoisWho HackerProminenz
Internet

Das Who-is-Who der Hacker-Prominenz

Nicht immer müssen Hacker gute Programmierer sein - manchmal genügen auch eine gefinkelte Gesprächstaktik oder eine Spielzeugpfeife aus der Frühstücksflocken-Packung.
To match Special Report USA-CYBERSECURITY/
New Articles

RankMyHack: Website listet beliebteste Angriffsziele

Ein Punktesystem soll die Spreu vom Weizen der Hacker trennen. Diese werden dadurch aber nachvollziehbar. Googles Startseite ist 1,5 Millionen Punkte werd.
Anonymous baut an sozialem Netzwerk
Internet

Anonymous: Wer steckt hinter dem Hacker-Kollektiv?

Anonymous-Hacker sind für einige der größten Angriffe auf Webseiten von Firmen, Parteien und Medien verantwortlich. Die Personen dahinter sind kaum greifbar.
Anonymous hackt deutsche Musiklobby
Home

Anonymous hackt deutsche Musiklobby GEMA

Die Website der Rechteverwertungsgesellschaft wurde angegriffen und mit einer Fehlermeldung verziert, die oft bei Musikvideos auf YouTube kommt. Die GEMA streitet mit dem Videoportal über die Vergütung von Musik.
Computerkriminalit�t - computer crime
Internet

ÖVP nicht verschont, aber Hacker-Angriff ist gescheitert

Nicht nur die Webseiten von SPÖ, FPÖ und Grünen waren zuletzt von Attacken von Hackern betroffen.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.