IT-Sicherheit

Bei der Datenverschlüsselung werden Daten von einem lesbaren Format konvertiert in ein verschlüsseltes Format, das erst nach einer Entschlüsselung wieder gelesen oder verarbeitet werden kann. Die Verschlüsselung ist ein grundlegender Baustein der Datensicherheit. Zudem bestätigt Datenverschlüsselung die Authentizität von Informationen: Die Herkunft einer Nachricht lässt sich überprüfen und überdies nachweisen, dass die Nachricht während der Übertragung nicht verändert wurde.

Ein oft genutzter Ansatz der Datenverschlüsselung läuft über das Virtual Private Netzwerk, kurz VPN. In dem VPN werden die Daten während des Transports – also beim Versenden – geschützt. Die Software verbindet sich verschlüsselt mit dem VPN-Anbieter, der die Daten anschließend anonymisiert ins Internet weiterleitet. Dabei werden nicht nur die Daten verschlüsselt, auch der Absender wird unkenntlich gemacht, da ihm eine neue IP-Adresse zugewiesen wird.

Verschlüsselungsverfahren bestehen aus zwei Elementen: Schlüssel und Vorschrift. Wird der Schlüssel gemäß Vorschrift angewendet, verschlüsselt er damit die Botschaft. Mithilfe einer weiteren Vorschrift wird die verschlüsselte Botschaft anhand des Schlüssels wieder entschlüsselt. Damit das Ver- und Entschlüsseln nicht zu viel Zeit frisst, muss dieser Prozess einfach sein. Andererseits muss das Entschlüsseln für Angreifer, die den Schlüssel nicht kennen, praktisch unmöglich sein. Dafür sorgen moderne Verfahren wie der Advanced Encryption Standard (AES). Es gibt drei unterschiedliche Ansätze:

Kryptografische Verfahren sind nur sicher, wenn das Knacken der Chiffre so lange dauert, dass sich das Entschlüsseln wirtschaftlich nicht lohnt oder die Information inzwischen wertlos geworden ist. Die steigende Leistung von Computern, die auch zusammengeschaltet werden können, erleichtert das Entschlüsseln der Chiffren.

Der Einsatz von Quantencomputern könnte diese Zeitspanne deutlich verkürzen. Quantencomputer können mehr als 1 Quintillion Rechenaufgaben gleichzeitig erledigen – statt einer Aufgabe nach der anderen. Während erste Quantencomputer entstehen, wird daher gleichzeitig ein ebenso neues Feld erforscht: die Quantenkryptografie.

Cybersecurity bezeichnet den Schutz von Systemen, die mit dem Internet verbunden sind, vor Bedrohungen aus der Cyberspace. Sie umfasst den Schutz von Software, Daten und Hardware und verhindert, dass Cyberkriminelle auf Geräte oder Netzwerke zugreifen können. Ansonsten könnten sie beispielsweise sensible Informationen weitergeben, Daten verändern oder Geschäftsgeheimnisse stehlen. Cyberkriminelle können IT-Systeme auch komplett lahmlegen. Umso wichtiger ist Cybersecurity als Teil der IT-Sicherheit, um Daten, Finanzen und geistiges Eigentum zu schützen.

Jedes Gerät, das mit dem Internet verbunden ist, kann Opfer eines Cyberangriffs werden. Denn aufgrund der hoch entwickelten Schadprogramme (Malware) sind die Möglichkeiten zur Abwehr und zur Rückverfolgung des Angreifers begrenzt. Daher sind Cyberangriffe als gezielte und böswillige Attacken nicht zu unterschätzen. Mit welchen Tricks und Methoden die Angreifer arbeiten, erfahren Sie hier – von A bis Z.

Adware
Adware kommt im Schlepptau kostenloser Shareware- und Freeware-Angebote auf den Rechner: Software zum Anzeigen von Werbung („Ad“ wie „Advertisement“). Sie sorgt etwa dafür, dass sich beim Surfen plötzlich Pop-up-Werbefenster öffnen. Manchmal erfasst die eigentlich harmlose Adware jedoch auch Informationen über Systemkonfigurationen und Surfgewohnheiten und wird damit zu Spyware (siehe unten).
Backdoor-Programme
Backdoor-Programme öffnen Hintertüren auf IT-Systemen und umgehen dabei Firewalls und andere Sicherheitsmechanismen. Hacker können damit auf bestimmte Funktionen des Systems zugreifen, zum Beispiel um Daten auszuspähen oder Computer zu sabotieren. Solche Programme werden beispielsweise über Trojaner (siehe unten) eingeschleust.
Baiting
„Baiting“ bedeutet „ködern“: Dabei wird ein mit Malware (siehe unten) infiziertes Gerät, etwa ein USB-Stick, so im Unternehmen deponiert, dass er wahrscheinlich gefunden wird. Das ist der Köder. Sobald jemand den Inhalt des Laufwerks kontrollieren will und es mit einem Computer verbindet, wird der Rechner mit Malware infiziert. Die erlaubt es anschließend, in die Unternehmens-IT einzudringen.
Botnetze
Hacker schalten infizierte Computer über das Internet mit anderen infizierten Computern zu einem Rechner-Netzwerk zusammen, damit wird der eigene Rechner zum Werkzeug von Cyberkriminellen. Die Dienste solcher Botnetze kann man im Darknet mieten, um etwa „Distributed Denial of Service“-Angriffe (DDoS, siehe unten) zu fahren, Spam-Mails zu versenden oder Bitcoins zu schürfen. In Botnetzen werden oft Hunderte oder Tausende „Zombie“-Computer (siehe unten) ferngesteuert.
Chefmasche
Die Chefmasche, auf Englisch „Fake President“, läuft über E-Mails. Kriminelle geben sich als Firmenchefs aus und weisen „ihre“ Mitarbeiter in echt wirkenden E-Mails an, Geld auf ein bestimmtes Konto zu überweisen. Immer dringlich, immer vertraulich. Das baut zusätzlichen Druck auf – und führt oft zum Erfolg. Die Chefmasche unterscheidet sich in einem wichtigen Detail von anderen Internetattacken: Zwar werden E-Mails benutzt, doch Computersysteme werden weder beschädigt noch manipuliert.
DDoS-Attacke
Bei einem „Distributed Denial of Service“-Angriff, kurz DDoS, bombardieren Angreifer einen Server mit so vielen Anfragen, dass er zusammenbricht. DDoS-Attacken werden meist mit riesigen Botnetzen (siehe oben) gefahren. Es geht um Sabotage, oft kombiniert mit Erpressung: Ohne funktionierende Server sinkt etwa der Umsatz von Online-Shops sofort auf null.
Downloader / Dropper
Downloader oder Dropper sind kleine Programme, die Malware (siehe unten) aus dem Internet herunter- oder nachladen. Manchmal sind Dropper notwendig, um Viren zu aktivieren. Dropper, die ihre Malware lediglich im Speicher ablegen, heißen Injector. Opfer können dabei nicht erkennen, welche Inhalte heruntergeladen werden.
Exploits
Exploits nutzen Sicherheitslücken. Obwohl regelmäßige Programm-Updates die entdeckten Schwachstellen beseitigen sollen, gelingt es Hackern immer wieder, neue Lücken zu finden.
Hoax
„Hoax“ ist eigentlich Schabernack und im engeren Sinn keine Malware (siehe unten). Es gibt allerdings Hoaxes, die PC-Nutzer auffordern, bestimmte und zum Teil wichtige Systemdateien zu löschen. Damit legen sich die User ihre eigenen Rechner lahm.
Keylogger
Keylogger zeichnen alles auf, was über die Tastatur eingegeben wird: E-Mails, Chats, besuchte Websites usw. Über diese Spyware (siehe unten) lassen sich persönliche Daten wie Passwörter oder Kreditkartendaten direkt abgreifen – und unerlaubt nutzen.
Makrovirus
Manche Viren sind in PowerPoint-Präsentationen, Excel-Tabellen oder Word-Dokumenten als sogenannte Makros versteckt. Makros sind eine zusammengefasste und automatisierte Abfolge von Befehlen und Anweisungen. Aktivieren Nutzer das Makro in einem verseuchten Dokument, wird der Virus aktiv. Viele Unternehmen deaktivieren daher die Nutzung von Makros: Die Gefahr ist einfach zu groß.
Malware
Malware ist der Oberbegriff für Schadprogramme und meint Viren (siehe unten) genauso wie Würmer (siehe unten) oder Trojaner (siehe unten). Deshalb sind Anti-Viren-Programme eigentlich Anti-Malware-Programme, auch wenn Viren noch immer die häufigste Malware sind. Die derzeit kursierende Malware mischt meist verschiedene Typen, denn sie lässt sich nach dem Baukastenprinzip zusammensetzen.
Phishing
Phishing ist das Abfischen von persönlichen Daten durch gefälschte E-Mails, Websites oder Apps. Sobald Opfer ihr echtes Passwort beispielsweise auf einer gefälschten Banken-Website eingeben, nutzen die Hacker das Passwort, um Geld direkt vom Konto zu erbeuten oder die Daten zu verkaufen. Soll eine bestimmte Person abgefischt werden, wird von Spear-Phishing gesprochen. Dann bittet etwa der angebliche Chef per E-Mail, seine PowerPoint-Präsentation noch mal zu checken. Gerne doch – und schon steht das Einfallstor in die Unternehmens-IT weit offen.
Pretexting
Beim Pretexting schützt ein Angreifer falsche Tatsachen vor, um ein Opfer dazu zu bringen, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Zum Beispiel gibt er in dieser Variante von Social Engineering (siehe unten) vor, Bankdaten zu benötigen, um die Identität des Empfängers zu bestätigen. Oder er tarnt sich als Mitarbeiter der IT-Abteilung, um Opfer dazu zu verleiten, Login-Daten preiszugeben oder einen Computerzugang zu gewähren.
„Quid pro quo“-Angriff
Es ist ein Geben und Nehmen – oder wie die Lateiner sagten: quid pro quo. Bei „Quid pro quo“-Angriffen versprechen Cyberkriminelle ihrem Opfer eine Gegenleistung (etwa ein Geschenk), um an sensible Informationen zu kommen. Auch diese Angriffe fallen unter die Rubrik Social Engineering (siehe unten).
Ransomware
Ransomware ist die derzeit am stärksten gefürchtete Malware. Eingeschleust werden Trojaner (siehe unten) über E-Mail-Attachments. Sie verschlüsseln Dokumente, Fotos, E-Mails und sogar komplette Datenbanken und machen sie unbrauchbar. Wer seine Daten entschlüsselt haben will, muss den Angreifern ein Lösegeld („ransom“) zahlen.
Rootkit
Rootkits sind selbst keine Malware (siehe oben), sondern der schützende Umhang, der verhindert, dass sie entdeckt wird. Rootkits dringen in die Tiefen von Computersystemen vor und gelangen an Root-Privilegien und damit an allgemeine Zugriffsrechte. Anschließend sind Angriffe nur schwer auszumachen, da sie durch die Rootkits getarnt werden.
Scareware
Scareware sind Softwareprogramme, die plötzlich auf dem Monitor auftauchen und den Benutzern Angst einjagen („scare“). Damit wollen sie User zu unbedachten Aktionen verleiten, etwa zum Installieren von schädlichen Programmen oder zum Anfordern kostenpflichtiger Dienstleistungen.
Social Engineering
Social Engineering sucht die Sicherheitslücken nicht im Netz, sondern findet sie beim Menschen. Die werden manipuliert, um bestimmte Aktionen auszuführen (zum Beispiel E-Mail-Attachments anklicken usw.) oder vertrauliche Informationen preiszugeben. E-Mail-Filter, Firewalls und Netzwerk- oder Datenüberwachungs-Tools helfen zwar, Social-Engineering-Attacken abzuschwächen, doch letztlich ist keine Technologie in der Lage, die Hilfsbereitschaft oder die Nachlässigkeit von Menschen auszugleichen. Mit Schulungen lässt sich das Bewusstsein in der Belegschaft steigern.
Spear-Phishing
Spear-Phishing ist eine gezielte Art von Phishing (siehe oben), die sich auf eine bestimmte Person oder Organisation konzentriert. Spear-Phishing-Angriffe verwenden persönliche Informationen, um Vertrauen zu gewinnen und besonders legitim zu erscheinen. Durch die Personalisierung haben Spear-Phisher höhere Erfolgsquoten.
Spyware
Spyware ist angewandte Spionage. Die Malware (siehe oben) sendet Daten aus den betroffenen Rechnern an die Hacker. Das kann zum Beispiel ein Keylogger (siehe oben) sein, der alle Tastaturanschläge aufzeichnet und so Passwörter ausspäht oder das Surfverhalten im Internet analysiert.
Tailgaiting
In Krimis sieht der Held mitunter im Autorückspiegel, wie Verfolger fast an seiner Heckklappe kleben. In dieser Tradition steht die Social-Engineering-Variante Tailgaiting, denn „tailgate“ heißt auf Deutsch „Heckklappe“. Noch schnell in den zugangsgesicherten Bereich schlüpfen, bevor die Tür zufällt: Tailgating. Kurz mal den Laptop des Nachbarn ausleihen, um Malware (siehe oben) zu installieren: ebenfalls Tailgating.
Trojaner
Weil die Stadtmauern unbezwingbar sind, lassen sich die feindlichen Soldaten in einem Holzpferd – scheinbar ein Geschenk – ins Zentrum von Troja ziehen: So erzählt es die griechische Sage. Der Trojaner funktioniert ähnlich: Nutzer glauben, ein nützliches Programm herunterzuladen, doch im Code versteckt sich der Schädling. Das Wort „Trojaner“ beschreibt weniger die Art der Malware (siehe oben) als den Angriffsweg: versteckt und vom Nutzer aktiviert.
Viren
Viren sind Programme, die sich in anderen Programmen einnisten. Sie können sich selbst kopieren und so neue Programme infiltrieren. Dabei können Viren die gesamte Hardware des infizierten Rechnersystems zerstören.
Watering-Hole-Attacke
Angreifer suchen eine bestimmte, oft von ihrem ausgewählten Opfer besuchte Webseite aus. Diese Seite wird mit Malware infiziert. „Auflauern am Wasserloch“ ist daher eine passende Übersetzung der Watering-Hole-Attacke. Ihre Opfer sind meist Mitarbeiter von Konzernen oder Regierungsstellen.
Würmer
Ebenso wie Viren (siehe oben) können sich Würmer selbst reproduzieren, aber anders als Viren agieren Würmer unabhängig von anderen Programmen. Würmer graben sich tief in IT-Systeme ein und können immense Schäden verursachen, indem sie beispielsweise Postfächer überlaufen oder Mailserver zusammenbrechen lassen. Sie verbreiten sich häufig als E-Mail-Attachments. Anders als ein Virus kann sich der Wurm oft selbst verbreiten, zum Beispiel indem er eine Kopie seines Schadcodes an alle Nutzer im E-Mail-Adressbuch verschickt.
Zombies
Wenn Hacker infizierte Firmencomputer über das Internet mit anderen infizierten Computern zu einem Rechner-Netzwerk zusammenschalten, spricht man von einem Botnetz (siehe oben). „Zombies“ heißen die betroffenen Rechner.

Angreifer und Verteidiger sind in einem ständigen Wettlauf um das Nutzen neuester Technologien. Unternehmen können sich nie ausruhen: Jeder Tag der Untätigkeit schwächt ihre Cybersecurity. Dabei reichen Updates von Software nicht aus: Die Mitarbeiterinnen und Mitarbeiter müssen ebenfalls geschult werden, um Cyberangriffe (insbesondere durch Social Engineering) frühzeitig zu erkennen und entsprechend zu reagieren.

Wer sich heute nicht gegen Cyberangriffe schützt, kann sich mit hundertprozentiger Gewissheit sicher sein, früher oder später (wahrscheinlich: früher) zum Opfer von Cyberattacken zu werden. Dann werden Daten gestohlen, Spionage-Bots platziert oder gleich das gesamte Netzwerk lahmgelegt. Das ist mehr als ärgerlich: Es kann das Überleben des gesamten Unternehmens gefährden. Deshalb sind ständig aktualisierte Firewalls längst selbstverständlich, um Angreifer abzuhalten. Außerdem gehen die IT-Administratoren bewusst zurückhaltend mit Zugangsrechten um, um Missbrauch zu verhindern – denn manche Attacken kommen von innen.

Untersuchungen zeigen, dass gerade im Mittelstand viele Unternehmen glauben, sie seien gut vor Cyberangriffen geschützt – und deshalb besser nicht nachfragen, wie gut dieser Schutz wirklich ist. Das kann sich rächen. Schlauer ist es, das eigene Netzwerk regelmäßig checken zu lassen. Der erste Schritt dazu ist der Schwachstellenscan. 

Beim Schwachstellenscan werden IP-Adressen mithilfe einer Software automatisiert auf jegliche Schwachstellen untersucht. Dabei werden alle Geräte innerhalb des Netzwerks gescannt, unabhängig von Betriebssystem und Hersteller. Der Scan zeigt beispielsweise, welche Geräte auf einer veralteten Version laufen und wo sich daher Sicherheitslücken öffnen. Indirekt zeigt er somit, wie gut zum Beispiel das Patch-Management – also das regelmäßige Aktualisieren zum Nachbessern der Software – funktioniert. Außerdem deckt er auf, bei welchen Schwachstellen sich Malware eingenistet hat.

Vor dem Start des Schwachstellenscans sollten auf alle Fälle die IT-Administratoren des Auftraggebers eingebunden werden: Sie kennen die Systeme am besten und können eventuelle Probleme schon im Vorfeld benennen. Sie wissen auch, wann (etwa nachts oder am Wochenende) ein Scan die Systeme möglichst wenig beeinträchtigt.

Jeder Scan sorgt für eine riesige Menge an Informationen. Diese Daten werden in der Schwachstellenanalyse gefiltert und aufbereitet. So bekommen die Auftraggeber des Schwachstellenscans einen Report, der die Schwachstellen auflistet und darüber hinaus zeigt, wo welche Handlungen mit welcher Priorität notwendig sind, um die Schwachstellen zu beseitigen und die IT-Sicherheit zu steigern.

Schwachstellenanalysen erhöhen die IT-Sicherheit erst dann nachhaltig, wenn sie regelmäßig wiederholt werden. Laufend ermittelte Kennzahlen erlauben Vergleiche sowie das Erkennen von Trends und ermöglichen schließlich Vorhersagen. Diese Aufgabe heißt Schwachstellenmanagement und wird ebenfalls von externen Dienstleistern übernommen – etwa von TA Triumph-Adler.

TA Triumph-Adler bietet Unternehmen, Behörden und anderen Organisationen einen Schwachstellenscan an, der mit einer Schwachstellenanalyse verbunden wird. Darauf aufbauend hat TA Triumph-Adler als Managed Services Provider auch das Schwachstellenmanagement für regelmäßige Überprüfungen der Computer-Netzwerke im Angebot.

Einen Schritt weiter als der Schwachstellenscan geht der Penetrationstest, kurz Pentest. Er ist ein erlaubter und gezielter Versuch, in IT-Systeme einzudringen, um damit die IT-Sicherheit der Systeme zu erhöhen. Bei diesem simulierten Cyberangriff werden Sicherheitslücken aufgedeckt, um sie anschließend schließen zu können. Beim Penetrationstest werden spezialisierte Programme eingesetzt und/oder Hacker darauf angesetzt. „Um sich vor Hackerangriffen wirksam zu schützen, sind Penetrationstests ideal, weil sie ein klares Bild der Sicherheitslage eines Systems geben“, sagt Philipp Brusendorff, Teamleiter Sales bei TA Triumph-Adler. „Und wer seine Schwachstellen kennt, ist den Angreifern immer einen Schritt voraus.“

Der Umfang des Penetrationstests orientiert sich am Gefährdungspotenzial. Firewalls als Übergang zwischen Internet und Firmennetzwerk sind prädestiniert für Angriffe und somit erster Ansatzpunkt für Pentests. Gefährdete Systeme wie öffentlich erreichbare Webserver werden intensiver geprüft als interne Anwendungen ohne hohe Systemrelevanz.

Unternehmen können wählen, wie viele Informationen sie den Systemtestern geben. Bei der Variante „Black Box“ wissen die Tester nicht, was sie erwartet, und müssen sich ebenso wie „echte“ Hacker ein Bild von der IT-Infrastruktur verschaffen. Beim „White Box“-Penetrationstest wissen die Tester alles über die IT-Systeme des Kunden und können daher schneller und intensiver mögliche Schwachstellen aufspüren. Bei der „Grey Box“-Variante erhalten Tester nur Informationen über die Bereiche des Systems, die sie sich genauer anschauen sollen.

Penetrationstests in allen Schattierungen haben mindestens eines dieser drei Ziele:

Penetrationstests bedürfen rechtlicher Vorarbeiten, denn alle geprüften Organisationen müssen damit einverstanden sein. Ohne Einwilligung dürfen keine IT-Systeme oder Netzwerke von Dritten getestet werden. Der Auftraggeber hat vor dem Start des Pentests zu klären, für welche Komponenten dies zutrifft.

Jeder Penetrationstest ist eine Momentaufnahme, da beinahe täglich neue Schwachstellen in aktuellen Apps und IT-Systemen auftauchen können. Von daher ist es sinnvoll, den Stand der eigenen IT-Sicherheit durch regelmäßige Pentests zu überprüfen.

Hacker sind Menschen, die mit erheblichem Sachverstand mit Computern umgehen. Im engeren Sinn ist ihre Fähigkeit gemeint, dank dieses Sachverstands in IT-Systeme von Organisationen einzudringen. Umgangssprachlich werden Hacker häufig mit Cyberkriminellen gleichgesetzt. Um den Unterschied klarzumachen, wird von „White Hats“ (den Guten) und „Black Hats“ (den Bösen) gesprochen.

Black-Hat-Hacker sind Cyberkriminelle. Sie führen Cyberangriffe mit dem Ziel aus, einen Vorteil aus den Attacken zu ziehen. Das beginnt bei Datendiebstahl und endet mit dem Lahmlegen der gesamten IT-Infrastruktur. White-Hat-Hacker hingegen werden oft von Unternehmen oder anderen Organisationen engagiert, um die eigene IT-Sicherheit zu testen sowie Schwachstellen aufzuspüren und zu beseitigen.

Hier finden Sie ein Interview mit einem White-Hat-Hacker: „Mich ins System hacken? Eine Sache von Minuten.“