Wien – Eine neue Angriffsart beobachten Systemadministratoren und Securityspezialisten: Professionelle Hacker-Gruppen gehen dabei strategisch vor und kapern ein Netzwerk sozusagen über mehrere Stufen.

"Das ist, wie wenn man die Schlüssel für alle Häuser Wiens hat", sagt Florian Oelmaier, Leiter IT-Sicherheit & Computerkriminalität beim Sicherheitsspezialisten Corporate Trust. Netzwerke werden dabei komplett infiltriert. Und ist das Netzwerk einmal befallen, ist es nicht mehr sauber zu bekommen – es muss neu aufgesetzt werden.

"Golden Ticket" wird diese Art der Attacke genannt. Der Deutsche Bundestag war im Sommer Ziel einer solchen Cyberattacke; die Informationstechnologie (IT) des Parlaments musste neu aufgesetzt werden. Für Firmen ist so etwas ausgesprochen fatal, erläutert Oelmaier. Schließlich dauert das Neuaufsetzen eines Netzwerkes seine Zeit, und die Umstellung auf "Handbetrieb" eines Unternehmens ist heutzutage nicht mehr möglich.

Hacker im Netzwerk

Eine typische Golden-Ticket-Hackerattacke besteht aus drei Phasen: Am Anfang steht das Eindringen ins Netzwerk. Phishingmails, in der Fachsprache wegen ihrer Genauigkeit "Spear"(Speer)- Mails genannt, werden abgeschickt. Diese Mails sind genau auf die Gruppe/Person abgestimmt, an die sie gerichtet sind. Sie sind also keine Massenmails mehr mit läppischen, ja lächerlichen Fehlern, sondern passen sehr genau ins Arbeitsumfeld des Adressaten. "Da kommt etwas, das man so auch erwartet, das schaut fast wie normal aus", erläutert Oelmaier. Wenn man dann darauf klickt, hat man den Rechner auch schon infiltriert. Phase 2 der Attacke beginnt.

Ist die Schadsoftware einmal im Netzwerk, sucht sie sich einen passenden Rechner, und zwar einen, der über einen länger zurückreichenden Zeitraum nicht upgedatet wurde. Dort nämlich wurden zuletzt bekannt gewordenen Schwachstellen noch nicht behoben. Die Malware, wie Schadsoftware genannt wird, kann sich von dort aus ausbreiten. Als eine erste Aufgabe wird sie sich einen Administration Account besorgen. Phase 3 der Attacke beginnt.

Informationen beliebig absaugen

Ausgestattet mit einem solchen Account kann der Hacker sich an den Zentralservern ein "Golden Ticket" besorgen – sozusagen den Generalschlüssel der IT. Nun kann er in jeden Rechner des Netzwerkes eindringen und Daten absaugen.

Für die Industrie sei so etwas eine enorme Bedrohung, erläutert der Security-Spezialist. Mittlerweile gebe es für Administratoren zwar einen Satz von Regeln, mit denen solche Angriffe erschwert werden. Aber erstens verkomplizieren diese die Arbeit, und zweitens können auch "gewöhnliche" Mitarbeiter eine Schadsoftware einschleppen. Ein Viertel der Mitarbeiter infiziert ihren Rechner zumindest einmal im Jahr, so der Erfahrungswert.

Woher die Hacker kommen? "Meistens aus China", meint man bei Corporate Trust aufgrund der Arbeitszeiten der Hacker und der von ihnen verwendeten Tastaturmuster. Aber die Lokalisierung der Angriffe in der IT ist schwierig. Die Angst der Hacker, verfolgt und aufgedeckt zu werden, ist dementsprechend niedrig. (Johanna Ruzicka, 5.11.2015)