Hilfe ich wurde "gehackt"
Wer hat es nicht schon einmal gehört: “... wurde diese oder jene Firma gehackt” oder “...dafür kann ich nichts, ich wurde bestimmt gehackt”. Entsprechend den individuellen Englischkenntnissen der Sprecherin, wird aus dem eh schon fürchterlichen Begriff “Hacking” ein schier unerträgliches “Geeehähkt”. Und als wäre die Nutzung mit der typisch deutschen Vorsilbe “Ge” nicht schon schlimm genug - nur übertroffen von meinem Allzeit Favorite (ja ich weiß was ich hier tue 😉) “gedownloadet” - versteht auch noch jeder etwas anderes darunter. Gerade Medien nutzen den Begriff eher inflationär, da man doch irgendwie jeden damit ansprechen kann.
Schauen wir mal, ob wir da zum einen ein bisschen Struktur reinbringen können, und ob es uns gelingt, dabei auch noch ein paar Tipps herauszuarbeiten, welche über “Du brauchst unbedingt einen Virenscanner” hinausgehen.
Hacking… Üblicherweise ein negativ besetzter Begriff für eine (verbotene) Aktion an fremden Computersystemen. Tatsächlich müsste man anhand der Motivation der Hacker unterscheiden, ob diese überhaupt Hacker im herkömmlichen Sinn sind… Das können wir uns aber auch sparen. An der Art, wie Medien mit dem Begriff umgehen, wird dieser Text hier sicher nichts ändern. Also schauen wir lieber, was da passiert, wenn jemand “gehackt” wurde.
Wenn eine Firma betroffen ist, merken es Kunden - und somit potentiell ebenfalls Geschädigte - meistens, weil sie eine Mail bekommen, oder im Falle von großen Zwischenfällen, die Medien darüber berichten. Manchmal auch, weil eine Dienstleistung nicht zur Verfügung steht oder eine Webseite nicht aufrufbar ist. Schauen wir uns also mal an, welche Unterschiede für den Endkunden so von Belang sind.
Szenario Eins - die Webseite ist nicht erreichbar:
Ich sag mal so - damit kommen vermutlich die meisten ganz gut klar. Das kann ärgerlich sein, wenn man gerade in dem Moment etwas bestellen will. Oder eigentlich die Lieblingsserie für den Abend geplant ist. Aber Achtung - je nach Art der Webseite und des Anbietenden, könnten zum Beispiel Eure Anmeldedaten weg sein. Klar, wenn der Anbieter alles richtig gemacht hat, passiert da nicht viel. Aber meistens machen die Anbieter eben nicht alles richtig. Die Datenbank von have i been pwned umfasst aktuell geschmeidige 14371221947 Accounts. Es gibt also eine Menge Anbieter, die nicht immer alles richtig gemacht haben. Klar, ist die Mailadresse “weg”, ist das ärgerlich. Aber leider ist viel zu häufig auch ein Kennwort oder dessen ungesalzener Hash weg. Bis zu diesem Punkt müsste man sich als Benutzer vielleicht mit Spam oder Identitätsdiebstahl auseinandersetzen. Was beides schon schlimm genug ist. Aber kommen Kennwörter oder auch ungesalzene Hashwerte weg, wird es wirklich unangenehm. Wenn dann noch das Kennwort, sagen wie mal, vorhersehbar ist, dann haben die bösen Jungs (ja, vermutlich sind es üblicherweise Jungs) alles was sie brauchen, um andere Accounts anzugehen, bei denen die gleiche Kombination von Anmeldedaten verwendet wird. Und ja, in Wirklichkeit ist es ein bisschen komplizierter. Aber nicht viel. Und leider neigen Menschen dazu, es den Angreifern ziemlich leicht zu machen, indem sie immer die gleichen Anmeldedaten benutzen.
Also ja, auch der “Hack” einer Seite, auf der wir uns mal angemeldet haben - und meistens lange nicht mehr wissen, dass wir das mal getan haben - kann wirklich ärgerlich werden.
Szenario Zwei - Ich kann auf mein Konto nicht mehr zugreifen!
Würde ich immer noch nicht als Hacking bezeichnen. Anmeldedaten nutzen, die man auf entsprechenden Marktplätzen gekauft hat, um dann stumpf bei x-Portalen zu probieren, ob diese passen. Nicht gerade höhere Computerwissenschaft. Aber leider effizient. Begründung siehe oben. Und deswegen trifft es auch verhältnismäßig viele Menschen irgendwann. Mal mit mehr, mal mit weniger dramatischen Folgen. So war es eine Zeitlang üblich, gekaperte Facebook-Accounts für die Verbreitung von CSAM (Triggerwarnung Link zu Wikipedia) zu nutzen. Das ruft ziemlich sicher die Strafverfolgung auf den Plan. Das wurde wiederholt für normale Bürger äußerst unangenehm. Ist natürlich ein Worst-Case-Szenario. Ist aber vorgekommen. Niemand weiß halt, was Leuten durch den Kopf geht, die plötzlich Zugriff auf fremde Accounts haben. Gutes tun sie damit nur selten.
Nicht selten gelangen Angreifer so auch in die Position, in der sie Zugriff auf Zahlungsinformationen haben. Das kann natürlich sehr schnell sehr unangenehm werden. Vor allem dann, wenn solche Informationen für illegale Zwecke genutzt werden.
Szenario Drei - Meine Daten sind weg!
Nein, ziemlich sicher immer noch kein hochentwickelter “Hack” eines ausländischen Geheimdienstes. Sehr viel wahrscheinlicher ist, dass ein Nutzer eine Datei / einen Anhang geöffnet hat, welcher besser hätte ungeöffnet bleiben sollen. Worauf diverse Programme übrigens auch seit Jahren mehr oder weniger deutlich hinweisen. Aber Menschen sind Menschen und somit üblicherweise mittels Social Engineering durchaus leicht dazu zu bewegen, die Aktion auszuführen, die der Angreifer benötigt. Und im Anschluss werden z.B. Daten verschlüsselt. Meist begleitet von einem freundlichen Hinweis der Angreifer auf schlechte IT-Sicherheit und einer Adresse für eine Lösegeldzahlung in einer beliebigen Kryptowährung.
Die dabei genutzte Art von Schadsoftware nennt sich Ransomware und kann durchaus technisch hoch entwickelt sein. Meistens ist sie es aber nicht, was Grund zur Hoffnung bei Betroffenen sein kann. Trifft der Angriff allerdings eine Firma / Institution bei der die eigenen Daten liegen oder auf deren Funktionieren man selbst angewiesen ist (Arzt, Krankenkasse, Stadtverwaltung whatever) dann ist man erst einmal hilflos. Durchaus auch für länger, wie der “Zwischenfall” bei der Südwestfalen-IT eindrucksvoll bewiesen hat.
Alles ganz furchtbar hier!!! Was tut man denn jetzt?
Jetzt haben wir ein paar übliche Schadensfälle gesehen, von denen die meisten schon einmal gehört haben. Manch einer wird es vielleicht sogar schon erlebt haben. Und auch wenn noch kein wirkliches (in meinem Verständnis) “Hacking” dabei gewesen ist, so ist alles mehr oder weniger ärgerlich und sollte vermieden werden. Zeit also, sich mit Gegenmaßnahmen zu befassen. Was kann man tun, um nicht Opfer eines solchen Szenarios zu werden?
Mit einem Virenscanner wäre das nicht passiert!!!1!elf
Doch, ziemlich sicher. Die Software, die sich Benutzerinnen überall auf der Welt für mehr oder weniger viel Geld auf die Maschinen packen, hilft in der gemeinen Realität der IT-Sicherheit nämlich nur selten. Das liegt in der Natur der Sache und ist kaum zu ändern. Nicht selten - und ich habe die Begrifflichkeit auch schon mehrmals benutzt - werden AV-Produkte gerne auch als “Schlagenöl” bezeichnet. Die Hersteller neigen nämlich dazu, ihren Produkten eine allumfassende Sicherheit anzudichten. Und im Labor mag es die vielleicht so geben (glaube ich nicht), aber in der Realität, mit jemanden an der Tastatur der gestresst und genervt ist und einfach nur fertig werden will, unglücklicherweise aber auch Admin-Berechtigungen an seinem Rechner hat, ist es mit der Sicherheit sehr wahrscheinlich nicht mehr weit her. Und da haben wir mit technischen Details noch gar nicht angefangen. Ganz ohne geht es auch nicht, aber darauf vertrauen (siehe auch 5.) sollte man nicht.
Mit Updates wäre das vielleicht nicht passiert!
Ich weiß, dass sie nerven. Und es ist gut so, dass sie an vielen Stellen mittlerweile automatisch eingespielt werden! Updates, so doof man sie finden mag, sind ein elementarer Bestandteil einer jeden IT-Sicherheitsstrategie. Vollkommen egal ob in einer Firma, einer Behörde oder Zuhause. Und wenn euch irgendwer das Gegenteil erzählt, hat er (ziemlich sicher ist es ein Mann) keine Ahnung von dem was er erzählt, oder versucht etwas zu verheimlichen. Nicht selten kommen solche “Hinweise” von Softwareentwicklern, die nicht sehr gut in ihrem Job sind. In vielen Jahren in der IT habe ich nur sehr, sehr selten Umgebungen gesehen, in denen Software-Updates aus einem nachvollziehbaren Grund keine Option waren. In so gut wie allen Fällen - und ich habe oft darüber diskutieren müssen - war Geiz, Inkompetenz oder schlichte Dummheit der Grund für fehlende Updates. Oder eine Kombination von all dem. Bitte - macht Updates wenn sie angeboten werden. Gerade auch auf Mobilgeräten! Auch wenn es nervt.
Nutzt irgendeinen Passwortsafe. Irgendeinen!!!
Eine erschreckend große Anzahl an Sicherheitsvorfällen ließe sich vermeiden, wenn Personen nicht dazu neigen würden, die gleichen Anmeldedaten an verschiedenen Stellen zu nutzen. Das ist natürlich verständlich - aber auch wirklich ziemlich fahrlässig. Und so banal es in Zeiten von Apps und Mobile First auch klingen mag - beachtet besonders die Sicherheit eures Mailpostfachs. Singular, weil die meisten vermutlich nur eine E-Mailadresse haben. Das ist aber für 95 Prozent aller Portale irgendwie wichtig. Was sie zu einem hervorragenden Ziel macht.
Long story short: Benutzt einen Passwortsafe, damit ihr euch die vielen verschiedenen Logins nicht merken müsst. Dann können Kennwörter komplexer und somit besser sein. Achtet besonders bei eurer E-Mail darauf, dass das Kennwort einmalig ist. Und wenn es geht, aktiviert die Zwei-Faktor-Authentifizierung. Eine ungewollte Veröffentlichung eurer Mailadresse verliert fast vollkommen ihren Schrecken, wenn man sich sicher sein kann, dass jeder Login mit einem eigenen Kennwort und wo möglich, mit einem zweiten Faktor abgesichert ist!
3.1 Passkeys
Ohne zu sehr ins Detail gehen zu wollen - Passkeys sind in vielen Bereichen sehr viel besser als Kennwörter. Vor allem, wenn man keine Lust hat, sich mit sowas zu beschäftigen. Sollte man einmal aber trotzdem: Link BSI / Link Google / Link Apple / Link Verbraucherzentrale NRW / Link Microsoft
Backup… Backup… da war doch was?!
Habt Kopien eurer Daten an verschiedenen Orten. Ich habe vor Jahren einen Ransomware-Angriff auf einen Kunden einfach weggeatmet, weil ich wusste, dass das Backup unerreichbar für die Malware war. Und die Nutzenden der Maschine ausgesprochen eingeschränkt hinsichtlich ihrer Berechtigungen waren - aber das ist ein anderes Thema. Also, habt eine Sicherung. Immer! Und jede Sicherung ist besser als gar keine! Natürlich sollte eine Sicherung gewissen Regeln folgen. Und auf die jeweilige Situation angepasst sein. Aber irgendwas sollte man auf jeden Fall haben. Selbst wenn es nicht allumfassend ist, selbst wenn es nicht tagesaktuell ist. Alles ist besser als ein Totalverlust!
Wen das beruflich berührt, dem sei noch Artikel 32 Abs.1 lit. C der DSGVO ans Herz gelegt.
Kein Vertrauen
Ist tatsächlich ein Konzept in der IT-Sicherheit, aber ich will eigentlich auf etwas anderes hinaus. Habt kein blindes Vertrauen in Dienste, Angebote oder die Leistungsfähigkeit von irgendwem. Die Wahrscheinlichkeit auf jemanden zu treffen, der sich wirklich mit IT-Sicherheit auskennt, ist äußerst klein. Das schließt auch dubiose Webseiten im Internet mit ein! 😉 Geht ruhig immer davon aus, dass ein Dienst ausfallen kann. Vielleicht auch für länger. Wäre doof, wenn dann die Hälfe eures Smart Home Zeugs nicht mehr funktioniert. Oder die Videoüberwachung ausfällt. Überlegt euch, was ihr macht, wenn ein Anbieter ausfällt. Wenn euch jemand absolute Sicherheit verspricht, lügt er entweder oder ist erschreckend dämlich. Meistens ist es eine Kombination aus beidem. Wer Sicherheit in der IT verspricht, qualifiziert sich nur als schlechtes Beispiel. Wenn man euch ernst nimmt, kommuniziert man Gefahren offen. Das ist gerade bei Cloud Anbietern durchaus wichtig. Die IT verändert sich stündlich. Und damit auch die Sicherheitsrisiken. Einige Wenige, die den ganzen Tag damit arbeiten, haben vielleicht einen guten Überblick. Unzählige andere - und das schließt mich mit ein - haben vielleicht ein Gefühl für die Probleme. Versprechen solcher Leute sollte man keinen Glauben schenken. Leider sitzen ziemlich viele Leute mit sehr wenig Sachverstand in Positionen, in denen sie besser nicht sitzen sollten. Kaum irgendwo wird der Fachkräftemangel so deutlich wie in der IT. Schlimmer ist es vermutlich nur in der Pflegebranche. Überall sitzen mittelalte Männer (wer eine inkompetente Frau in einer Entscheiderposition in der IT kennt, möge mich bitte kontaktieren) und geben ihre Meinungen zum besten. Das ist ein Problem, dass ich in einem anderen Beitrag sicher nochmal ausführen muss. Aber für jetzt sollte die Botschaft sein: Vertraut nicht einfach. Geht davon aus, dass irgendwer eher früher als später einen Fehler macht. Für diesen Moment solltet ihr einen Plan haben.