Sicherheit in Unternehmensnetzwerken

Hacker-Angriffe: Wie sie funktionieren und wer dahintersteckt

Beinahe täglich werden neue Einbrüche in Unternehmensnetze gemeldet. Doch wer steckt dahinter, und welche Absichten haben die Angreifer? Eines ist jetzt schon sicher: Das Jahr 2011 ist auf dem besten Weg, zum "Jahr der Cyber-Angriffe auf die Netzwerke von Firmen und Behörden" zu werden.

Angriffe auf Webserver und die dahinterliegenden Netzwerke gibt es schon lange. Seit einigen Monaten häufen sich jedoch die Meldungen über Einbrüche, bei denen nicht nur die Startseite des Webauftritts entstellt wird (was man als "Defacement" bezeichnet), sondern auch in großem Umfang Daten gestohlen werden. Zum Teil bekennen sich Hacker-Gruppen zu den Angriffen und veröffentlichen als Nachweis die gestohlenen Daten.

Als Ausgangspunkt kann das Vorgehen staatlicher Stellen gegen WikiLeaks gelten. Mit WikiLeaks sympathisierende Hacker griffen daraufhin die Netzwerke von Unternehmen an, die ihre bis dahin für WikiLeaks erbrachten Dienstleistungen wie Cloud-Dienste und die Verwaltung von Bankkonten gesperrt hatten. Hinter dieser "Operation Payback" steckte eine Gruppe aus dem Umfeld des "4chan"-Forums, die sich "Anonymous" nennt.

Als Sony den Playstation-Hacker George "Geohot" Hotz verklagte, rief die Gruppe Anonymous eine "Operation Sony" aus. Eine ganze Reihe von DDoS-Angriffen (Distributed Denial of Service) auf Sony-Server machte diese im April 2011 wiederholt für einige Zeit unerreichbar. Bei Einbrüchen in Sony-Server wurden in großem Umfang Benutzerdaten gestohlen und veröffentlicht.

Seit Mai machte lange Zeit die dem Umfeld von Anonymous zugerechnete Gruppe "LulzSec" mit praktisch täglich neuen, scheinbar wahllosen Angriffen auf Unternehmensserver von sich reden. Zunächst hatten sie sich an den Attacken gegen Sony beteiligt und offenbar Gefallen daran gefunden. Vor dem Rückzug in die schweigende Masse hat LulzSec mit Anonymous die "Operation Anti-Security" gestartet. Dabei sind Sicherheitsunternehmen und auch Regierungsnetzwerke angegriffen worden.

Im März 2011 sind Angreifer bei dem Sicherheitsunternehmen RSA eingebrochen und haben Unternehmensdaten gestohlen. Darunter sollen auch interne Informationen über die RSA-Token ("SecureID") erbeutet worden sein, die in sicherheitsbewussten Unternehmen und Behörden als Zugangsschlüssel für Rechnersysteme dienen (Zwei-Faktor-Authentifizierung). Mit diesen Informationen erhielten die Angreifer die Möglichkeit, solche Token zu klonen, und konnten so in US-Rüstungsunternehmen einbrechen.