Es ist der 15. August 2012. Die meisten Mitarbeiter feiern bei ihren Familien den Ramadan, als die Computer der Ölfirma Saudi Aramco zu spinnen beginnen: Bildschirme flickern, manche Rechner reagieren gar nicht oder schalten sich von selbst ab. Dann verschwinden Dateien, ganze Festplatten sind plötzlich gelöscht, das interne Netzwerk bricht vollständig zusammen. Noch bevor die Handvoll anwesender Mitarbeiter versteht, was gerade geschieht, sind mehr als 30000 Rechner unbrauchbar oder ein großer Teil ihrer Daten ist unwiederbringlich gelöscht.
Die Firma Risk Based Security spricht in ihrem Jahresbericht von weltweit 3014 Fällen von Datenverlust allein im vorigen Jahr. Dabei sollen insgesamt 1,1 Milliarden Datensätze erbeutet worden sein. Für denselben Zeitraum nennt der Verizon Data Breach Investigations Report 2122 bestätigte Fälle. Einig sind sich die Quellen darin, dass mindestens 80 Prozent der Diebstähle auf das Konto von Hackern gehen. Den Gesamtschaden durch Hackerangriffe im Jahr 2014 schätzt der IT-Sicherheitsspezialist McAfee auf 375 Milliarden US-Dollar.
Unter den Opfern großer Hacks sind immer wieder auch Institutionen, für die Datensicherheit ein wesentlicher Teil der täglichen Arbeit sein sollte. Seit 2010 waren unter den Betroffenen Finanzinstitute (NASDAQ, JP Morgan), globale Technologie-Unternehmen (Apple, Ebay, Adobe, Sony), Behörden (die EZB, US Office of Personnel Management) und ein Parlament (der deutsche Bundestag).
Wie kommt es, dass sich selbst milliardenschwere Konzerne, etablierte IT-Firmen und staatliche Institutionen gegen Hacker-Angriffe offenbar kaum wehren können? Ist die Sicherheitstechnologie nicht ausgereift genug? Fehlt es den Nutzern an Expertise? Oder macht die Architektur von Rechnern und IT-Netzen Hacks schlicht unvermeidbar?
Die Fokus-Artikel im Einzelnen: Seite 66 - Trend: Ob Bundestag oder IT-Anbieter - niemand ist mehr vor Datendiebstahl gefeit Seite 70 - Interview : Webfahnder Thomas Rid über den besten Weg, Übeltäter im Netz zu entlarven Seite 72 - Spionage: Die USA erheben erstmals Klage gegen Online-Spione Seite 78 - Bedienbarkeit: Sicherheit und Anwenderfreundlichkeit müssen keine Gegensätze sein Seite 82 - Legalität: Hacker im Dienst des Cyber-Schutzes arbeiten in einer gesetzlichen GrauzoneUm Zugriff auf einen Rechner oder ein Netzwerk zu erlangen, gibt es unterschiedliche Wege. Einer davon besteht darin, über das Internet nach Schwachstellen, sogenannten Remote Exploits, zu suchen. Dazu braucht ein Hacker lediglich eine IP-Adresse: Mit ihr kann er einen entfernten Rechner nach offenen Ports durchsuchen, zum Beispiel jenen Schnittstellen, über die E-Mail- und Chat-Programme oder Internet-Browser mit dem Internet verbunden sind. Oft verrät ein solcher Port-Scan viel über die Architektur und die Sicherheitsvorkehrungen des Computers, etwa welche Programme seine Ports nutzen und welches Betriebssystem auf dem Rechner läuft. Für Hacker gibt es heute sogar kostenlose Software wie „Metasploit", mit der selbst Unerfahrene ohne viel Programmierkenntnis einen fremden Rechner nach Schwachstellen abklopfen können.
Mit den so gewonnenen Informationen kann sich ein Hacker auf die Suche nach bekannten Exploits machen. Entweder testet seine Angriffssoftware die Schwachstellen automatisch, oder er wird in Internet-Foren fündig, in denen sich Interessierte darüber austauschen, wie sie etwa an Login-Daten kommen. Sind diese ergattert, kann der Hacker eine Schadsoftware auf der Plattform ausführen und die computereigene Überwachung des Datenverkehrs oder Anti-Virus-Programme lahmlegen.
Neugierig geworden? Weiterlesen in der Print-Ausgabe 10/2015 von Technology Review. Das Heft ist ab dem 24.09.2015 am Kiosk zu haben, oder kann direkt hier online bestellt werden.