Ulrich Bühler ist seit 1990 Professor für Angewandte Mathematik im Fachbereich Angewandte Informatik der Hochschule Fulda.
+
Ulrich Bühler ist seit 1990 Professor für Angewandte Mathematik im Fachbereich Angewandte Informatik der Hochschule Fulda.

IT-Professor im Interview

Nach Cyber-Angriffen auf Tegut und Edag: Was sind die Motive und Methoden von Hackern?

  • Ann-Katrin Hahner
    vonAnn-Katrin Hahner
    schließen

Die Fuldaer Unternehmen Tegut und Edag sind prominente Opfer von Cyber-Attacken. Wir haben mit Professor Dr. Ulrich Bühler vom Fachbereich Angewandte Informatik der Hochschule Fulda über die Motive und Methoden von Hackern gesprochen.

Fulda - Anfang des Jahres der städtische Schulserver, dann griffen Hacker den Edag-Konzern an und jetzt hat auch Tegut mit den Folgen einer Cyber-Attacke zu kämpfen: In Osthessen sind Unternehmen immer mehr von Hacker-Angriffen betroffen. Warum das so ist, erklärt Dr. Ulrich Bühler, Professor an der Hochschule Fulda im Bereich Angewandte Informatik, im Interview.

Herr Bühler, warum verlagern sich Angriffe inzwischen auf kleinere Ziele, wie die städtischen Schulserver im vergangenen Januar?
Hacker-Angriffe finden bei Banken, Versicherungen und größeren Unternehmen schon seit vielen Jahren statt. Entsprechend haben diese Unternehmungen spezielle Abteilungen, die sich mit der IT-Sicherheit und dem Schutz der Infrastruktur befassen, gegründet. Damit haben sie die Hürden für Angreifer natürlich immer weiter hochgeschraubt. Ich vermute, dass es sich bei den Angreifern – ausgenommen Edag und Tegut – nicht unbedingt um Spezialisten handelt, sondern um solche, die es in der Breite versuchen.
Warum sind gerade Fuldaer Firmen so interessant?
Edag ist ein weltweit agierendes Unternehmen, Tegut ist seit Jahren Teil des Schweizer Migros-Konzerns. Sie sind für Hacker attraktive Ziele – die Angriffe sind erst im zweiten Denkschritt lokal, weil wir beim Einkauf wahrnehmen, dass Waren fehlen oder dass Bezahlsysteme langsamer funktionieren.

Fulda: Nach Hacker-Angriff auf Tegut - IT-Professor spricht über Methoden und Motive

Wie laufen die Angriffe ab?
Das entsprechende Angriffszenario heißt Ransomware. Das ist der Oberbegriff und kann verschiedene Formen annehmen. Im Grunde verschafft sich dabei ein Angreifer zunächst Zugang zum System eines Unternehmens, sucht nach interessanten Informationen mittels Schlagwortsuche und verschlüsselt entsprechende Dateien. Sie sind dann nicht mehr verständlich, unbrauchbar und die Originaldateien werden gelöscht. Dann erpresst der Angreifer das Unternehmen und verlangt Lösegeld für die Entschlüsselung, damit die Dateien wieder einsetzbar sind. Nach Überweisung des geforderten Geldbetrags wird leider nicht immer der passende Schlüssel zugesandt.
Welche Daten interessieren Hacker?
Das kann sehr spezifisch sein. Beispielsweise könnten den Angreifer Kundendaten, aber auch Zugriffsdaten auf Online-Dienste interessieren. Bei dieser Art von Angriff sind dann mehrere IT-Systeme betroffen. Industrie und Handel sind inzwischen stark miteinander vernetzt, Unternehmensgrenzen verschwimmen. Alles läuft über Computernetze und die betroffenen Unternehmen sind nach einem Angriff nicht mehr arbeitsfähig. Sie können beispielsweise keine Ware mehr bestellen, wie wir bei Tegut gesehen haben. Gezielt Daten abgesaugt wird eher bei groß angelegten Angriffen. Diese heißen im Fachjargon Advanced Persistent Threat. Dort steckt aber oft ein Auftraggeber dahinter.
Wie geht ein Hacker vor, wenn er es erst einmal ins System geschafft hat?
Wenn der Hacker im System ist, sucht er in Form von Malware – also Schadcode – geeignete Anwendungen. Die Schadsoftware nimmt dann Kontakt zu einem Command-and-Control-Server auf, um dort weitere Software nachzuladen, Anweisungen vom Angreifer zu erhalten, oder auf dem infizierten System ausgespähte Informationen zu übermitteln. Zudem wird eine Backdoor, also eine Hintertür, eingerichtet. Diese verschafft dem Angreifer einen versteckten Zugang zum Opfersystem.

Zur Person

Ulrich Bühler ist seit 1990 Professor für Angewandte Mathematik im Fachbereich Angewandte Informatik der Hochschule Fulda. Seine Lehr-Schwerpunkte sind Netzwerk- und Datensicherheit, Kryptografie und formale Methoden der IT-Sicherheit. In der Forschung liegt sein Augenmerk auf der Network & Data Security Research Group. Im vom Bundesministerium für Bildung und Forschung geförderten Projekt „VERCA“ wollen Bühler und sein Team ein Frühwarnsystem entwickeln, welches verteilte Cyber-Attacken in kollaborierenden Rechnernetzen erkennen soll. Bühler ist Bundesvorsitzender der Konferenz der Fachbereichstage in Deutschland und stellvertretender Vorsitzender des Fachbereichstags Informatik.

Geht es Hackern denn immer um Geld?
Es gibt viele verschiedene Arten von Hackern, wenngleich in der Öffentlichkeit immer angenommen wird, dass es sich um eine kohärente Menschengruppe handelt. Da sind zum einen die „Black Hats“. Das sind die, die üblicherweise als Hacker bezeichnet werden. Also der bösartige Hacker. Dann gibt es aber auch noch die „White Hats“. Die sind eigentlich ganz hilfreich. Sie greifen Unternehmensnetze an, suchen nach Schwachstellen in den IT-Systemen und brechen dann ab. Sie kontaktieren dann die Unternehmen und setzen ihnen ein Zeitfenster, bis wann die Schwachstellen behoben sein müssen. Ansonsten gehen sie an die Öffentlichkeit. Es gibt aber auch Leute, die das Hacken als Herausforderung betrachten und abbrechen, sobald sie es in ein System geschafft haben. Nicht zu vergessen die sogenannten „Script Kiddies“. Die setzen sich nach der Schule an den Rechner und probieren mit heruntergeladener Software aus, wie weit sie mit einem Angriff kommen.
Sind die Täter überwiegend Einzeltäter?
Im Darknet gibt es auch schon mal Einzeltäter, die spezielle Services anbieten, oder als Vermittler auftreten. Aber meistens handelt es sich um eine der zahlreichen Hacker-Gruppen, die weltweit aktiv sind. In letzter Zeit konnten Angriffe mit der Hacker-Gruppe TA505 in Verbindung gebracht werden. Es könnte sein, dass sie mit den Angriffen, die hier lokal stattgefunden haben, etwas zu tun hat.
Wie lange dauert es denn im Schnitt, bis so ein Angriff auf ein Unternehmen entdeckt wird?
Das hängt natürlich ganz von der Art des Angriffes ab, wie komplex das angegriffene System ist und mit welchem Ziel attackiert wird. Man kann aber sagen:Drei, vier Monate dauert es schon, bis so ein Angriff auffällt. Die Erpressung – wie im Falle eines Ransomware-Angriffs – ist ja oft nur das sichtbare Ende. Über den Command-and Control-Server fängt ein Hacker erst einmal an, das System zu durchleuchten und schiebt immer wieder Software nach. Bei großen Unternehmen muss er zudem aufpassen, dass er unter dem Radar bleibt, um nicht entdeckt zu werden. Da kann es gut sein, dass er tagelang nichts unternimmt.

Video: Das sind die Tricks der Facebook-Hacker

Wie sollten sich Unternehmen und Institutionen verhalten, wenn sie einen Angriff auf ihr System bemerken?
Sie sollten die komplette Internet-Verbindung – auch zu ihren vernetzten Partnern – kappen und die Sicherheitsbehörden wie beispielsweise das Bundesamt für Sicherheit und Informationstechnik informieren.
Lassen sich die Schäden beziffern, die durch einen Hacker-Angriff entstehen?
Das ist abhängig von der Größe des Unternehmens und natürlich halten sich Unternehmen auch sehr bedeckt, wenn sie angegriffen werden, so dass dazu allgemeine Aussagen schwierig sind. Aber an geldlichen Forderungen kann da jede Größenordnung dabei sein. Bei großen Unternehmen können das mehrere hunderttausend Euro oder eine Million sein. Schwierig ist die forensische Analyse, damit das eigentliche Einfallstor ins System gefunden und die betreffenden Schwachstellen beseitigt werden können. Das kann Wochen und Monate dauern.
Wäre es von Vorteil, wenn Unternehmen nach einer Attacke schneller an die Öffentlichkeit gehen würden?
Das denke ich nicht. An erster Stelle ist ja dem Unternehmen ein Schaden entstanden und es will schnellstmöglich wieder handlungsfähig sein. Maximal könnte mehr Transparenz dazu führen, dass in der Bevölkerung ein stärkeres Bewusstsein dafür entsteht, wie vernetzt unsere Wirtschaft inzwischen ist – und wie abhängig wir von IT-Systemen sind.
Werden Angriffe auf Unternehmen in den nächsten Jahren noch zunehmen?
Ob sie prozentual zunehmen werden, kann ich nicht sagen, denn die Unternehmen, Behörden und Institutionen versuchen ja inzwischen mit Sicherheitsmaßnahmen Angriffen entgegenzuwirken. Es ist aber anzunehmen.
Tun wir in Deutschland denn genug, um solchen Angriffen Herr zu werden?
In den meisten Unternehmen ist der Standard lediglich ein Firewall-System, verbunden mit Malware-Scanner. Ist diese Hürde überwunden, kann ein Angreifer sich frei bewegen. Es wäre daher hilfreich, wenn die Politik beschließen würde, dass Unternehmen unter anderem ein Intrusion-Detection-System vorhalten müssen, mit dem sich Angriffe im Vorfeld recht erfolgreich erkennen lassen. An einem solchen System arbeiten wir beispielsweise im Rahmen des Forschungsprojektes „VERCA“. Ich gehe davon aus, dass die deutsche Wirtschaft in den nächsten Jahren mehr IT-Sicherheitsexperten brauchen wird. Sie fehlen, ähnlich wie Ingenieure.

Das könnte Sie auch interessieren