Eine Überwachung beginnt unscheinbar. Irgendjemand ruft freundlich bei dem Lebenspartner der Zielperson an, vorgeblich im Auftrag des Arbeitgebers. Dringend wird gebeten, ein Dokument an die Adresse arbeitgeber@gmail.com zu schicken. Oder eine Papiermülltonne spuckt jene Notizen aus, auf denen man Passwörter oder Eselsbrücken notierte. Oder jemand liefert Pizza und verschafft sich so Zutritt zur Wohnung. Oder er gibt vor, den Wasserstand ablesen zu wollen.
Es sind die üblichen Gelegenheiten, die sonst auch Diebe machen. Nur dass diesmal der suchende Blick vor allem die gelben Klebezettel am Monitor kontrolliert. Ein ermitteltes Passwort öffnet verschlossene Türen. Ganz ohne Technik an das Ziel der Wünsche zu kommen, ist eine leichte Übung für geschulte Mitarbeiter der Sicherheitskräfte.
Doch das Social Engineering ist lediglich ein Vorgeplänkel. Zur Kontrolle der Massen ist es ernsthaft nicht zu gebrauchen, weil zu aufwendig, zu auffällig. Wenn also spielen nicht hilft, wird angegriffen - mit roher Gewalt. Eine Brute Force Attack versucht ein Passwort zu erraten, millionenfach. Gut gepflegte Wörterbücher werden benutzt, die die beliebtesten Buchstabenfolgen enthalten, einfache Varianten werden kombiniert. Ein Rechner im Hintergrund macht das klaglos wochenlang, während der Mensch sich feineren Methoden widmet.
Zum Beispiel dem gezielten Lauschen - Sniffen . Dabei wird der Netzwerkverkehr zu und von einer Internetadresse protokolliert und analysiert. E-Mails jagen unverschlüsselt durch die Leitung. In einer von tausend steht das brisante Passwort. Zentrale Server werden beim Einbinden von Netzlaufwerken angesprochen und fragen in bekannten Mustern nach Authentifizierung, die entschlüsselt und dann wiederholt werden kann. Bekommt man Zugriff auf den Rechner, ist der schwerste Schritt geschafft. Zudem wird ein Passwort oft mehrfach benutzt. Ein Versuch, dieselbe Eintrittskarte an anderen Eingängen vorzuzeigen, lohnt bestimmt. Genauer: Millionen Versuche - mit einem Klick. Aber das Schnüffeln kann dauern, bei vorsichtigen Leuten zu lange.
Schneller geht es, wenn das Opfer nach möglichen Verletzbarkeiten abgetastet wird - ein
Vulnerability Scan
. Jede virtuelle Leitung, die Bits entgegennimmt, ist eine Tür. Ein gutes Dutzend sind auf normalen Rechnern erreichbar.
Machen sie einen Test: Start-Ausführen->'command'->'netstat -a' . Schon sehen Sie eine Liste mit den offenen Ports ihres Rechners. Es sind Datenhäfen, die ankommende Pakete entgegennehmen: TCP , UDP , ICMP . Schließen Sie sie.
An jedem Eingang steht ein Pförtner, eine Software, die Datenpakete öffnet und auf Kommandos untersucht, die anschließend aufzuführen sind. Freimütig und verbindlich geben die dienstbaren Geister Auskunft über ihre Identität, welchen Zweck sie haben, in welcher Version sie existieren. Natürlich sollten nur "gute" Pakete akzeptiert werden. Also solche, die in Form und Inhalt dem angebotenen Dienst entsprechen und nichts anderes machen können, als beispielsweise eine Grafik an den Browser zu liefern. Aber die Kunst der Tarnung ist in der Datenwelt sehr weit entwickelt. Da Standards die Normen offen dokumentieren, ist eine harmlose äußere Hülle notwendig. Die allerdings ist leicht zu haben.
Automatisiert wird eine Tür nach der anderen abgeklopft, bis ein Programm antwortet, das einen bekannten Bug enthält.
Nun platzt die Bombe. Ein Exploit wird ausgeführt. Dem Pförtner wird ein Paket übergeben, dass vorgeblich Nutzdaten, tatsächlich jedoch den vorbereiteten Code enthält. Das Prinzip ist einfach: Der Code ist zu lang. Weil Einreisekontrollen auch im Computer umständlich und langsam sind, versucht der Pförtner, das Paket ungeprüft in das vorgesehene Speicherfach zu stopfen. Was dort nicht hineinpasst, fließt in das benachbarte Fach , das leider nicht für die Aufbewahrung von Nutzdaten vorgesehen ist, sondern für die Speicherung von Befehlen. Schon ist aus Daten, die als Bild hereinkamen, ein Killerkommando geworden.
Klare Befehle brauchen wenig Platz. In Maschinencode ( Assembler ) geschrieben ist das Programm zum Nachladen einer Datei aus dem Netz unscheinbar klein. Den Befehl zum Ausführen der frischen Datei bringt das nächste Killerkommando. Damit kann ein kleiner Server auf dem Rechner des Opfers gestartet werden, der sich selbst versteckt und auch für Virenscanner unsichtbar macht. Er öffnet eine Hintertür , über die sehr komfortabel die komplette Kontrolle übernommen wird. In aller Ruhe kann man von anderswoher die vorhandenen Daten untersuchen oder die Rechenleistung des eroberten Rechners zum eigenen Zweck nutzen - ein "Zombie" ist erwacht.
Der komplette Vorgang - Scannen, Aufmachen, Nachladen, Kontrollieren - ist tatsächlich kompliziert. Doch er lässt sich in Software gießen, die wie jedes Programm beliebig kopiert und verbreitet werden kann. Hunderte von Angriffsvarianten lassen sich unter einer Oberfläche vereinen, die eine gängige Textverarbeitung an Komfort übertrifft. Nur der erste Kämpfer muss den Schutzwall mit eigener Geisteskraft durchdringen - die Armee kann seinem Pfad durch alle identischen Wälle folgen. Kinderleicht. Beamtentauglich.
Wie kann man sich schützen?
Vorsicht und Sensibilität sind die wichtigsten Voraussetzungen. Sicherheit beginnt beim
Betriebssystem
. Manchen wird
unterstellt
, dass sie mit voller Absicht versteckte Türen enthalten, die von staatlichen Organen mit entsprechender Lizenz genutzt werden können. Natürlich ist das ganz und gar unvorstellbar - es könnte so ja jedermann eintreten, der einen Ausweis fälschen kann - und das System wäre als unsicher diskreditiert. Nur
quelloffene Software
jedoch bietet die Möglichkeit, sich selber von der Korrektheit aller Befehlsfolgen zu überzeugen oder dies von Experten der eigenen Wahl prüfen zu lassen.
Hat man ein sicheres Betriebssystem, muss man seine Schutzmaßnahmen aktivieren. Unnötige Angebote nach außen müssen deaktiviert werden. Dazu sollte man gezielt entsprechende Dienste abschalten. Denn wo nichts ist, wird nichts gehackt. Der Schutz der Verbindungen kann aber auch von einer zusätzlichen Software - einer Firewall - übernommen werden, die nur bekannten Systemen Netzkontakt erlaubt und sich nach außen taub stellt. Natürlich gilt, dass beide Strategien - Abschaltung und Schutz - gemeinsam mehr Erfolg versprechen.
Allerdings: Wenn man alle Dienste abschaltet, ist kein Kontakt zum Netz mehr möglich. Und eine Firewall ist auch nur Software, die Löcher haben kann. Ganz sicher vor Angriffen aus dem Netz ist nur, wer den Stecker zieht - oder sensible Daten nicht auf Internetcomputern speichert.
Zum Thema
Der Bundesgerichtshof untersagt geheime Online-Durchsuchungen von Computern
-
Kommt jetzt ein Hacker-Gesetz? »
Wie viel Überwachung braucht die Demokratie, um die Bürger zu schützen?
-
Ein Schwerpunkt zum Thema »
Virtuelles und Reales:
Alles über Computer auf ZEIT online »
Operation Wühlmaus
-
Jochen Bittner bloggt zu den Online-Durchsuchungen »