IT gegen Hacker schützen

IT-Systeme im Härtetest

Von Christian Raum · 2018

Zerstören, Knacken, Ätzen, Bohren – der erste Angriff startet immer sehr klein und richtet sich auf die schwächsten Glieder der Verteidigung, die Codierung und Signaturen in Geräten oder Chips. Denn für diejenigen, die verstehen, wie Geräte und ihre Sicherheitssysteme programmiert sind, stehen alle virtuellen Türen weit offen.

Ein Schirm im binären Regen. Thema: IT gegen Hacker schützen
Nur wer die Schwachstellen kennt, kann IT-Systeme schützen.

Phantasie, Zerstörung und Reengineering sind die Grundlage aller Angriffe über die Netzwerke – und aller Verteidigungsstrategien. Denn IT-Sicherheit ist ein ständiger Wettbewerb der schlausten Köpfe in der IT-Branche. Dabei liegt der grundsätzliche Zugang zu allen Sicherheitsfragen im Wissen, das Angreifer und Verteidiger über Geräte, Software und IT-Systeme haben. 

Und lange bevor die ersten Angriffe starten, haben die wissenschaftlich-technischen Abteilungen international
tätiger, krimineller Hackerkonzerne eine große Auswahl an Geräten gekauft. Sie haben sie aufgebrochen. Sie haben die Chips mit Codierungen und Sicherheitssystemen gehackt und auf Schwachstellen abgeklopft. Nur auf diese Weise können sie an die Programmierungen herankommen, sie lesen und analysieren. Der nächste Schritt ist es, die Fehler zu finden und Angriffssoftware zu entwickeln. Danach wird das virtuelle Fußvolk für Angriffe ausgestattet und zur Attacke geblasen:  

Sie versuchen die kryptografischen Sicherheitssysteme der Clouds zu hintergehen und zu brechen. Mit dem erfolgreichen Hacken der Internet-Router und -Schnittstellen erhalten sie Zutritt in die Produktionshallen der Industrie. Hier können sie nicht nur Schäden und Verwüstungen anrichten. Zumeist scheint die Intention eher der Diebstahl von Wissen und Knowhow zu sein. 

Geschäftsmodell der Online-Verbrecherkonzerne

Auf anderen Wegen schleichen sich Angreifer über schlecht geschützte ERP-Systeme oder falsch programmierte Schnittstellen in die Datenbanken und auf die Arbeitsplätze. Sie lehnen sich an ihrem Schreibtisch zurück. Ihre Angriffe erfolgen „low and slow“, sie nehmen sich sehr viel Zeit und verstecken ihre Viren im Rauschen des Datenstroms eines Netzwerkanbieters oder eines internationalen Konzerns. Dort warten sie auf einen geeigneten Moment zum Zuschlagen. Die Beute sind persönliche Daten der Mitarbeiter und Kunden. Außerdem ernten sie aus den Systemen Patente, Insiderwissen, Zugangscodes, Kreditkartennummern und andere digitale Werte, die sie auf den internationalen Schwarzmarktplätzen für Dollars oder Bitcoin anbieten. Und es gibt diejenigen, die mit sogenannter Ransomware Computer übernehmen, sperren oder mit Miningsoftware für Kryptowährungen impfen. Bei wenig anderen Webverbrechen entspricht der Schaden der Attackierten beinahe eins zu eins dem Gewinn, der auf die Bitcoin-Konten der Angreifer fließt. Das Geschäftsmodell mit Kryptolockern und Trojanern basiert ebenfalls auf der Vorarbeit von kriminellen Code-Brechern und Entwicklern. Die finden die Schwachstellen in Betriebssystemen und Anwendungen. Sie erstellen und orchestrieren immer neue Angriffswellen. Hierfür programmieren sie Malware und fordern ihren Anteil der Beute als Honorar. Als im vergangenem Herbst der Bitcoin-Kurs explodierte, wurden aus den überschaubaren Einnahmen der Raubzüge kurzzeitig beachtliche Vermögen.

Aber auch für alle Kriminellen, denen der Sinn nicht nach schnödem Kryptogeld steht, haben die Online-Verbrecher Angriffs- und Geschäftsmodelle im Angebot. Im Moment laufen in den USA die Ermittlungen, inwieweit Politikberater und Geheimdienste Wahlen beeinflussen können. Bei dem Aufbrechen und Stehlen von Nutzerprofilen auf sogenannten „Sozialen Plattformen“ kann die Beute anscheinend zum Erreichen von politischer und wirtschaftlicher Macht genutzt werden. Allerdings ist hier nicht wirklich geklärt, an welcher Stelle die Geschäftsmodelle und Datenhandel der Betreiber der Plattformen in virtuelle Plünderungen und Raubkopien übergehen. 

Alles geht kaputt

Doch am Anfang stehen immer die Schwachstellen in der Hardware. Dies ist das Schloss, für das die Diebe den Schlüssel finden müssen. Und deren erste Überlegung ist relativ einfach: Wenn die Temperaturen über null Grad Celsius und unter 40 Grad plus liegen, sollen die verschiedenen Geräte funktionieren und sicher sein. Die elektronische Spannung mit der ein Smartphone oder ein Kartenleser im Geldautomat arbeitet,  ist genau festgelegt. Und nur diejenigen, die Software und Codierung in den Geräten und auf den Chips lesen und analysieren wollen, kommen auf die Idee Smartphones, Autoteile oder Kreditkarten und deren Lesegeräte mit Salpetersäure oder Eisspray zu attackieren. Um an die Verschlüsselungen heranzukommen, verfügen sie über eine Auswahl von martialischen Strategien: Sie bohren in die Prozessoren oder traktieren sie mit Stromschlägen. 

IT gegen Hacker schützen: Testlabore suchen nach Schwachstellen

Die Gegenseite in diesem Wettbewerb ist übersichtlich: In Europa gibt es gerade mal zwei bis drei Handvoll Einrichtungen, in denen die Mitarbeiter auf dieses kreative Zerstören und Analysieren spezialisiert sind. Um hier Produkte testen und zertifizieren zu lassen, stehen IT-Hersteller, Cloudanbieter und Medienunternehmen Schlange. Noch vor wenigen Jahren waren es insbesondere Banken und staatliche Behörden, die Chipkarten auf Kreditkarten und Ausweisen nach den sogenannten „Common Criteria“ zertifizieren lassen wollten. Inzwischen hacken die Sicherheitslabors im Auftrag der Hersteller die Schutzsysteme von Smartphones und Smart-Metering-Geräten, von Autos oder auch Flugzeugen. Dann setzen sie die zerbrochenen Teile wieder zusammen, schreiben einen Bericht und machen Vorschläge, wie die Sicherheit verbessert werden kann.

Zu Besuch im Testlabor

Viele Räume im IT-Sicherheitslabor erscheinen dem Besucher wie eine Mischung aus Hightech-Forschungsanstalt und unaufgeräumtem Bastelkeller. Es riecht nach Säure, nach verbranntem oder verätztem Plastik. Maschinen quieken, zischen und brummen. Die wichtigste Erkenntnis ist – alles geht kaputt. Die Tester sind sich sicher – sie werden immer eine Möglichkeit finden, die Chips zu öffnen, um dann deren Codierungen und Verschlüsslungen zu lesen. 

Dabei ist das Zerstörern und Wiederzusammensetzen ein Wettbewerb um die cleverste Idee und die phantasievollste Attacke. Denn kriminelle Hackerorganisationen arbeiten mit denselben Methoden, mit identischen Geräten und mit derselben Erfindungsgabe, um ebenfalls an die Codierungen heranzukommen. Und wenn die kriminellen IT-Wissenschaftler in ihren Laboren die Sicherheitssysteme geknackt haben, machen die Organisationen daraus ein Produkt und ein Geschäftsmodell: Kataloge mit Sicherheitslücken im Netz, spezialisierte Suchmaschinen, individuelle Angriffswerkzeuge, die sie mit künstlicher Intelligenz ausstatten und für weltweite Angriffe orchestrieren.

Für ein paar Cent pro Chip lassen sie etwa die geknackten Signaturen und IT-Schlüssel auf Chipkarten kopieren und rüsten eine kleine Armee von Hackern damit aus. Die schlagen weltweit gleichzeitig zu, sie heben mit gefälschten Bankkarten Geld am Automaten ab. Sie verkaufen Chipkarten mit geknackten Codes für Zutrittssysteme oder Bezahlfernsehen. Und der Albtraum aller Autohersteller ist, dass die Hacker die Sicherheitscodierung knacken, die Fahrzeuge vom Smartphone aus übernehmen, stilllegen, upgraden, entführen. Also investieren sie in das Wissen und die Verbesserungsvorschläge der IT-Prüflabore.

Spionage in den Produkten der Mitbewerber

Aber nicht nur kriminelle Hacker und ihre Counterparts in den Sicherheitslabors suchen in den IT-Geräten nach Codierung und Sicherheitssystemen. Auch Anbieter und Hersteller der Geräte belauern sich gegenseitig und versuchen in ihren eigenen Labors die Produkte ihrer Mitbewerber zu zerstören, um deren Geheimnisse zu lüften und deren Knowhow zu entschlüsseln.

Auch sie arbeiten mit der identischen Ausrüstung und der gleichen Phantasie. Allgemein heißt es, die Mitbewerber kennen ein Produkt besser, als dessen Hersteller. Beide Seiten zerstörten die Produkte der Konkurrenz, um sie dann über „Reengineering“ wieder zusammenzusetzen – Ziel ist es, Technik und Produktentwicklung zu verstehen. 

Die Herausforderung ist nicht, die Systeme vor Hackerangriffen zu schützen, sondern das in die Produkte verbaute Knowhow und Wissen vor den neugierigen Augen der Konkurrenz zu verstecken. Und die Systeme so zu analysieren, dass der Konkurrenz vor Gericht Patentverletzungen oder der Diebstahl des geistigen Eigentums nachgewiesen werden kann.

Wussten Sie schon, dass ...

… es sieben Sicherheitsstufen – sogenannte „Evaluation Assurance Levels“ – gibt, nach denen IT-Sicherheitslabors Geräte, Chipkarten, Ausweise und auch Software zertifizieren: Für Personalausweise ist die EAL-Sicherheitsstufe fünf erforderlich, für Stufe sieben müssen die IT-Hersteller ein eigenes, geschlossenes mathematisches System für ihre kryptografischen Codierungen erstellen. Die Definitionen laut der international anerkannten „Common Criteria“ für IT-Sicherheit sind:

EAL1: Funktional getestet: Das Gerät funktioniert so, wie in der Bedienungsanleitung versprochen.

EAL2: Strukturell getestet: Laut Testlabor bietet das Produkt niedrige bis moderate Sicherheit vor Hackerangriffen.

EAL3: Methodisch getestet und geprüft: Das Testlabor zertifiziert ein moderates Maß von Sicherheit.

EAL4: Methodisch entworfen, getestet und überprüft: Die Gutachter bestätigen eine moderate bis hohe Sicherheit des Produktes. 

EAL5: Semiformal entworfen und getestet: Tester zertifizieren für das Gerät und Software eine hohe Sicherheitsstufe.

EAL6: Semiformal verifiziertes Design und getestet: Das Testlabor zertifiziert die Sicherheit für Anwendungen in risikoreichen Anwendungsfeldern.

EAL7: Formal verifiziertes Design: Das Testlabor evaluiert die Anwendungen für den Einsatz in extrem risikoreichen Einsatzgebieten.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)