Bei Computernetzwerken ist nur eines sicher: Die nächste Hacker-Attacke kommt bestimmt, auf Krankenhäuser, Schulen, Ministerien oder den Bundestag- und natürlich auf unzählige Unternehmen. Immer wieder berichten wir über Cyber-Angriffe auf Rechenzentren oder Sicherheitslücken in IT-Systemen. Früher waren solche Aktionen etwas für Spezialisten, heute sind zumindest einfache Angriffe für jede und jeden machbar. Möglich wird das durch kleine, meist unauffällige Geräte, die man fertig montiert im Internet kaufen kann. Was diese Hacking-Gadgets können und wie wir uns schützen können, erklärt Ronald Eikenberg von der Computerzeitschrift c't im Gespräch mit SWR-Aktuell-Moderator Andreas Böhnisch.
SWR Aktuell: Sie haben Hacking-Tools getestet, zum Beispiel ein Gerät, das alle Tastatureingaben abgreift und so wirklich jedes Login knacken kann. Wie sieht ein solches Gerät aus?
Ronald Eikenberg: Die Geräte gibt es in den unterschiedlichsten Formen, und die sind teilweise so klein, dass man sie wirklich wie einen Zwischenstecker zwischen USB-Tastatur und Rechner stecken kann, und die melden sich dann am Rechner selbst als Tastatur an. Und auf der anderen Seite fangen Sie alle Eingaben auf. Unterm Strich bedeutet das, man hat dann eine Textdatei mit allen Eingaben, die über die Tastatur getätigt werden. Und das eben im schlimmsten Fall, ohne dass der Nutzer des Rechners etwas davon mitbekommt.
SWR Aktuell: Und das bedeutet dann eben auch, dass Passwörter, die man eingegeben hat, auch gespeichert werden…
Eikenberg: Da wird alles gleichermaßen gespeichert, was man eintippt, auch Passwörter, Banking-Daten, vertrauliche E-Mails und vieles mehr. Teilweise können die Geräte sogar mit diesen Daten arbeiten und dann den Rechner entsperren mit dem geklauten Passwort, wenn keiner mehr dran sitzt und daran arbeitet. Und sie können den Rechner dann auch beliebig steuern.
SWR Aktuell: Es gibt auch Hacking-Tools, die noch ein Stück weit unauffälliger sind, Kabel zum Beispiel. Worauf muss ich achten, wenn ich an einem Rechner arbeite, den ich nicht kenne?
Eikenberg: Die Kabel waren so das krasseste Beispiel, wie klein sowas sein kann. Das ist vermeintlich ein handelsübliches USB-Kabel, von außen nicht von einem normalen USB-Kabel zu unterscheiden. Das macht es eben auch so schwierig, diese Geräte zu finden. Wenn es wirklich jemand darauf anlegt und zum Beispiel so ein Kabel einsetzt, kann man das eigentlich mit bloßem Auge nicht erkennen. Manche Geräte baumeln hinten am Rechner, das sind kleine schwarze Kästchen oder eben auch Zwischenstecker, die dann zwischen dem Rechner und dem USB-Kabel stecken. Unterm Strich muss man sagen: Man kann nie wirklich sicher sein, dass ein unbekannter Rechner sauber ist, dass der nicht doch Eingaben mitspeichert. Von daher sollte man sehr vorsichtig sein, wenn man dann bei einem öffentlichen Rechner zu Besuch ist und sich einloggt mit dem Passwort. Im Zweifel sollte man das lieber lassen und auf das Handy oder mitgebrachte Rechner oder Tablets zurückgreifen.
SWR Aktuell: Ich höre da raus, so wie Sie uns das jetzt schildern, dass diese Tools auch ziemlich einfach zu installieren sind. Man braucht da wahrscheinlich keine speziellen Kenntnisse dafür…
Eikenberg: Tatsächlich reicht es, die USB-Tastatur rauszuziehen und den Rechner eben mit diesen Keylogger zu versehen, in den man dann wieder die Tastatur einsteckt. Das ist ein Vorgang von zehn Sekunden. Das passiert tatsächlich auch. Es gibt dokumentierte Fälle, wo das eben missbräuchlich eingesetzt wurde. Und genauso trivial ist denn eben auch das Auslesen der Tastaturaufzeichnung.
SWR Aktuell: Was kosten denn solche „Spionage-Gadgets“?
Eikenberg: Das geht schon im zweistelligen Bereich los. Wenn es dann wirklich kompakt sein soll, wie beispielsweise das USB-Kabel, dann muss man schon über 100 Dollar in die Hand nehmen als Angreifer. Aber das sind letztlich alles Summen, die bezahlbar sind, insbesondere wenn so ein Angreifer einen großen Profit machen möchte, beispielsweise bei Angriffen auf ein Unternehmen.
SWR Aktuell: Ist es denn rechtlich legal, solche Spionage-Gadgets zu benutzen- mal unabhängig davon, dass es natürlich eine große Gefahr darstellt, wenn ich mich an einem Rechner anmelde, der nicht mein eigener ist?
Eikenberg: Das ist ein komplexes Thema. Tatsächlich ist es prinzipiell in Ordnung, Geräte zu besitzen, allerdings nicht, die gegen andere einzusetzen. Da kann man sich im Prinzip so ein bisschen aufs Bauchgefühl verlassen. Natürlich darf man andere Leute nicht ausspionieren und Passwörter von denen mitschneiden, ohne dass sie da zugestimmt haben. Und das ist ein ganz egal, wie man das macht, ob das jetzt so ein Hacking-Gadgets, Spionage-Gadget ist oder ein Trojaner: Das Ausspähen von Daten ist, egal auf welche Weise, natürlich verboten
SWR Aktuell: Drehen wir das Ganze jetzt mal um und stellen uns eine Firma vor, die solche Spionage-Tools verwendet, um Sicherheitslücken in ihrem IT-System aufzuspüren. Wie können Unternehmen solche Hacking Gadgets verwenden?
Eikenberg: Es ist wichtig, dass es diese Geräte gibt, weil sie eben nicht nur von Angreifern eingesetzt werden, sondern auch von Unternehmen. Die probieren die Geräte selbst aus, an den eigenen Rechnern, um zu gucken, ob die funktionieren, und können dann eben geeignete Schutzmaßnahmen einleiten. Darüber hinaus werden die auch für sogenannte Awareness-Schulungen genutzt. Das sind Mitarbeiterschulungen, wo man diese Geräte zeigt und eben vermittelt, wie sie aussehen und funktionieren. Nur, wenn wirklich jeder Mitarbeiter diese Geräte kennt, kann er sie eben entdecken und im Zweifel dann auch dem IT-Administrator des Unternehmens Bescheid geben.