Hackerangriffe unter Linux entdecken

Ein modernes Server-Betriebssystem, eine gut konfigurierte Firewall und ein Administrator, der regelmäßig die Log-Files durchforstet - sie gelten als Garanten für ein sicheres lokales Netzwerk.

Um es jedoch gleich vorweg zu sagen: Ein absolut sicheres System befände sich in einem verschlossenen Raum von Fort Knox und hätte keinen Zugang zum Internet. Mit anderen Worten: Kein System oder Netzwerk ist absolut sicher. Daher ist Paranoia die beste Strategie:

• Zunächst machen Sie ein System so sicher wie möglich.

• Trauen Sie Ihren Sicherheitsmaßnahmen dennoch nicht, sondern gehen Sie stattdessen weiterhin vom "worst case" aus - dem erfolgreichen Hacker-Einbruch.

Warum diese Paranoia? Ganz einfach: Nicht alles liegt in Ihrem Einflussbereich. Durch Schwächen oder Bugs der eingesetzten Software und durch den Einfallsreichtum von Hackern kann es, selbst bei noch so guter Sicherheitsstrategie und perfekter Konfiguration, zu einem Einbruch kommen.

Wenn die Gefahr besteht, dass Hacker-Angriffe erfolgreich sein können, sollte man sich Gedanken über deren Erkennung machen. Nichts ist schlimmer, als ein erfolgreicher Angriff, der zu spät oder gar nicht bemerkt wird. Der Angreifer kann Änderungen an Dateien und Konfigurationen vornehmen und diese anschließend verwischen. Solche Änderungen zu finden gleicht der sprichwörtlichen Suche nach der Stecknadel im Heuhaufen.

Davon ganz abgesehen, wird ein Hacker das geenterte System als Plattform für Angriffe auf weitere Systeme verwenden. Als "angreifender" Host fungiert dann der "erbeutete" Server. Image-Schaden und die Abmahnkosten sind oft um einiges höher als der direkte Schaden auf dem Server. Ein Administrator gerät dann schnell in Erklärungsnotstand, wenn er keinen plausiblen Grund für den mehrwöchigen Aufenthalt eines Hackers im System liefern kann.