Der WDR und das ZDF wurden gehackt. Das kann grundsätzlich jedem drohen. Auch Politikern, Institutionen, Unternehmen – und natürlich auch Privatleuten. Denn Hacker kennen keinen Schlaf: Sie sind rund um die Uhr im Einsatz, in allen Zeitzonen. Aber wie groß ist das Risiko, kann man Hackangriffe erkennen und wie sich dagegen schützen?
Wie groß ist eigentlich das Risiko, als Privatmensch von Hackern angegriffen zu werden?
Da muss man differenzieren. Wenn ich zum Beispiel in einem Unternehmen arbeite, das für Industriespionage in Frage kommt, etwa weil ganz besonders interessante Produkte entwickelt und hergestellt werden, dann bin ich auch als Privatmann gefährdet – also wenn ich nicht am Arbeitsplatz bin. Dasselbe gilt für Geheimnisträger ganz allgemein: Erfinder, Journalisten, Politiker, Juristen, Beamte…
pixelcreatures / Pixabay
Wenn Hacker gezielt angreifen, dann werden sie es nicht nur im Büro probieren, sondern auch – und vielleicht sogar ganz gezielt – im Privatbereich. Solche gezielten Angriffe, die auf ganz bestimmte Personen abzielen und zugeschnitten sind, sind allerdings eher selten.
Üblicher sind Hackangriffe, die im großen Stil durchgeführt werden: Da werden die Opfer nicht gezielt ausgewählt, weil man weiß, dass sie etwas zu bieten haben, sondern zufällig. Nach dem Motto: Mal sehen, was es da zu holen gibt.
Wie laufen gezielte Angriffe grob ab?
Wenn ich zum Beispiel Zugriff auf die Mails eines Vorstands kommen möchte, kann ich als Hacker versuchen, mir Zugang zu den Rechnern oder Mobilgeräten des Vorstands zu besorgen – oder gehe über die Assistenz, die in der Regel auch Zugang hat. Dann wird teilweise genau recherchiert: Wer ist das? Welche Interessen hat er oder sie?
So etwas nennt man „Social Engineering“. Liebt die Assistentin des Vorstands zum Beispiel Radtouren in Frankreich, dann bekommt sie eine Mail, die auf genau dieses Themengebiet abzielt – mit einem Link auf eine Webseite, die speziell dafür gemacht ist. Und in der Mail ist eine Phishing-Attacke versteckt oder auf der Webseite ein Trojaner.
xusenru / Pixabay
Durch Ausnutzen von Sicherheitslücken werden dann Zugangsdaten abgefischt – oder Trojaner eingespielt. Software, die spioniert und womöglich die Tastatur abhört. So kommt man an Zugangsdaten. Der Aufwand ist allerdings sehr groß. Der wird nur betrieben, wenn es sich richtig lohnt – oder wenn es den Auftrag gibt, etwa von Geheimdiensten. Die große Masse wird also nicht à la Hollywood angegriffen.
Sind wir dann also sicher – oder gibt es trotzdem Hackangriffe?
Der Begriff „Hackangriff“ ist ja weit gefasst. Wenn ein Hacker versucht, in den Server eines Onlinedienstes einzudringen, wo ich ein Onlinekonto habe, dann kann ich betroffen sein, ohne dass meine Rechner oder Mobilgeräte angegriffen, untersucht oder manipuliert werden. Denn ist der Server schlecht abgesichert, das Passwort vielleicht unzureichend gesichert gespeichert, muss ich erleben, dass meine Zugangsdaten abgegriffen werden.
Das kommt leider vergleichsweise häufig vor. Dann gehen die Zugangsdaten im Netz herum – und können missbraucht werden. Dritte können meine Identität einnehmen, in meinem Namen Mails schreiben, einkaufen, andere traktieren. Oder aber, meine Geräte werden angegriffen, wie die von Millionen anderen auch, um zu sehen, welches Betriebssystem ich nutze, ob es Sicherheitslecks gibt – und ob man mir Software unterjubeln kann, die Schaden anrichtet.
Manche Programme spionieren Daten aus, etwa Zugangsdaten oder Kontodaten, andere Programme versuchen mich zu erpressen oder sie nutzen meinen Rechner, um Bitcoins zu schürfen.
TheDigitalArtist / Pixabay
Phishing-Methode
Wie es aussieht, wurden mal wieder Phishing-Methoden eingesetzt, um vertrauliche Informationen auszuspähen. Von Phishing hat man eigentlich schon lange nichts mehr gehört.
Phishing ist eine beliebte Methode: Man bekommt eine Mail, die täuschend echt aussieht, so als wäre sie von Amazon, Paypal, meiner Bank – oder meiner Firma. Ich werde aufgefordert, mich einzuloggen, etwa, weil das Passwort sonst ausläuft. Ich lande auf einer Webseite, die ebenfalls täuschend echt aussieht.
Ich gebe dort die Zugangsdaten ein – aber die Webseite war getürkt, die Daten landen bei den Betrügern. Dagegen kann man sich wehren, indem man moderne Browser nutzt. Die kennen die populärsten Phishing-Seiten und warnen einen, wenn man dort landet. Außerdem sollte man nie aus Mails heraus wichtige Seiten aufrufen, sondern immer Lesezeichen verwenden. Und die Adressen im Browser genau im Auge behalten. So kann man Phishing schon ganz gut vermeiden.
Zwei Faktor Authentifizierung
Wir schützen unsere Onlinekonten ja in der Regel durch Passwörter – es sollen sichere sein, das wissen wir mittlerweile. Aber reicht das, ein sicheres Passwort zu wählen?
Nein, das reicht nicht. Denn Passwörter könnten sich knacken lassen – oder sie werden ausspioniert, zum Beispiel durch einen Phishing-Angriff. Es gibt eine Methode, mit der man seine Onlinekonten deutlich besser absichern kann: die Zwei-Faktor-Authentifizierung. Da muss man beim Einloggen neben Benutzername und Passwort auch noch einen Code eingeben, der im Handy erzeugt wird.
Das bedeutet: Ich kann Dir mein Passwort für Facebook, Twitter oder meine E-Mail verraten. Kein Problem. Du hast keine Chance, weil Du den zusätzlichen Sicherheitscode nicht kennen kannst. Der wird beim Einloggen in meinem Handy erzeugt. Man braucht also zwingend Zugriff auf das Smartphone. Die Zwei-Faktor-Authentifizierung macht Onlinekonten deutlich sicherer, ohne großen Aufwand. Man muss diese Zwei-Faktor-Authentifizierung allerdings ausdrücklich aktivieren. Das geht bei Facebook, Twitter, Google, Amazon, Apple und viele, viele weitere Dienste.
Wer mehr dazu wissen will: In meinem eBook Das sichere Login beschreibe ich alles ausführlich.
Firewalls und andere Schutzmechanismen
Eine „Firewall“ ist eine komplizierte Sache: Damit sie ordentlich funktioniert, muss man eine Menge davon verstehen – und auch wissen, was man zulassen will und was nicht. Um so etwas perfekt einzustellen, muss man Profi sein. Sonst ist man entweder unzureichend geschützt, fühlt sich aber sicher, oder manche Dinge funktionieren nicht.
Besser sind Schutz-Pakete, die darauf achten, dass man nicht auf Phishingseiten landet, die verdächtige Aktivitäten wie Datenübertragung im Hintergrund erkennen und auf Viren und Trojaner achten. So etwas kann sinnvoll sein, vor allem auf Windows-Rechnern und Android-Mobilgeräten. Ansonsten gilt: Immer Updates für Betriebssystem, Browser und Standard-Softeare einspielen. Das ist die beste Absicherung, denn in der Regel werden vorhandene Sicherheitslecks genutzt beim Hacken. Gibt es die nicht, laufen die meisten Tricks auch ins Leere.
TheDigitalArtist / Pixabay
