IT-Sicherheit: Diese Angreifertypen gefährden die Sicherheit

Ich habe mich schon immer gefragt, welche Angreifertypen es in der IT-Sicherheit gibt und welche Motivation diese haben könnten. Jeder kennt vermutlich die Unterscheidung in Black-, White- und Grey-Hat. Aber mit welchem Angreifertypen hat man es nun konkret zu tun ?, und was möchte er mit seinem Angriff erreichen ?.

Welche Angriffsmotive könnte es also geben ?. Die Motive eines Hackerangriffs könnten meiner Meinung nach etwa so eingeordnet werden:

  • Vergeltungsangriff
  • Abwehrangriff
  • Beachtungsangriff
  • Durchsetzungsangriff
  • Gelegenheitsangriff

Während ein White-Hat verschiedene Angriffsmotive als Penetration-Test durchführt und Unternehmensnetze zu schütz, nutzen Black-Hats (Cracker) Durchsetzungsangriffe, um ihren Willen durchzusetzen und sich persönlich zu bereichern. Oft ist nicht so klar was Black, White oder Grey-Hat ist. Der Gelegenheitsangriff gehört eher in die Grey-Hat Zone, überschneidet sich aber gerne mit den Motiven eines Black-Hats.

Vergeltungsangriffe

Ein Vergeltungsangriff könnte von einem zuvor geschehenem Ereignis provoziert worden sein. Bei einer Auseinandersetzung wurde eines der Parteien z.B. gedemütigt oder bloßgestellt und möchte nun dafür Vergeltung üben. Das Opfer wird zum Täter und versucht einen Cyber-Angriff. Der Täter lässt erst vom Opfer ab, wenn er seiner Meinung nach Gerechtigkeit erlangt hat.

Dieses Szenario ist nicht selten. Ein ähnliches Szenario fand 2007 als Cyberkrieg gegen Estland statt. Nach Verlegung eines sowjetisches Kriegerdenkmals legten Angreifer durch denial-of-service (DoS) Angriffswellen Router und Netzwerke von Behörden- und Unternehmensnetzwerken lahm.

Solche Attacken werden immer wieder von patriotischen Hackern, die Vergeltung üben möchten durchgeführt. So haben z.B. patriotische US Hacker in der Vergangenheit Ziele im Iran und Russland ins Visier genommen und auf Routern die warnende Nachricht “Legt euch nicht mit unseren Wahlen an!” hinterlassen.

Abwehrangriffe

Abwehrangriffe werden oft zur Prävention durchgeführt. Der Präventivschlag z.B. soll einen Angriff im Vorhinein vereiteln oder dem tatsächlich drohendem Angriff zuvorkommen. Eine Offensive in defensiver Absicht sozusagen.

2010 wurde der Computerwurm STUXNET entdeckt. Dieser sorgte für außerplanmäßigen Störungen in der iranischen Urananreicherungsanlage Natanz. Der Angriff steht im Zusammenhang mit der Kritik und dem Konflikt über das Iranische Atomprogramm.

Ein Abwehrangriff kann auch in einem ganz anderen, wesentlich kleineren Rahmen stattfinden. Ein Administrator könnte z.B. eine E-mail, welche aus einer hitzigen Diskussion heraus entstanden ist, aus dem Postfach des Empfängers löschen.

Abwehrangriffe können somit auf ganz verschiedenen Ebenen geführt werden und in einigen Fällen könnten sie auch als Motivation für ein Delikt gelten.

Beachtungsangriffe

Manchmal können Angriffe auch ausgeführt werden um Beachtung oder Aufmerksamkeit zu finden. Hacker möchten beweisen, dass sie in der Lage sind komplexe und gefährliche Systeme anzugreifen und möchten dafür meistens auch bewundert werden. Sie erlangen dadurch soziale Anerkennung in Form von Ruhm und hinterlassen als Zeichen ihres Erfolges Nachrichten.

Eine bekannte Hackergruppierungen die im Jahr 2011 mehrere öffentlichkeitswirksame Aktionen machte war die Gruppe LulzSec. LulzSec verantwortete mehrere Angriffe auf Regierungseinrichtungen und Wirtschaftsunternehmen, dabei handelten sie nicht aus finanziellen Motiven. LulzSec handelte eher aus der Unterhaltung heraus und der Freude über Chaos und Verwüstung.

Hacktivismus könnte man auch in die Kategorie Beachtungsangriffe setzen, denn Hacktivisten versuchen Beachtung für ihre Sache zu finden. Hacktivisten nutzen Angriffe auf Webseiten für politische Zwecke und um ihre ideologischen Ziele zu erreichen. Je mehr aufsehen, desto besser.

Durchsetzungsangriffe

Sind sehr populäre Angriffe. Sie sollen dem Angreifer durch Ausspähen von Informationen oder stehlen von Geld einen Vorteil verschaffen. Der Angreifer setzt seinen Willen auf Kosten des Opfers durch.

Oft findet man solche Angriffe welche von Black-Hats ausgeführt werden. Es gibt zahllose Beispiele für diese Szenarien:

Aber auch hier gibt es Beispiele im kleineren Stil, wie z.B. zwei Schüler welchen höhere Berechtigungen im IT-Unterricht gegeben wurde, um Wartungen an Rechnern durchzuführen. Diese könnten eigennützig handeln und die Situation ausnutzen um ihre Noten durch Angriffe auf Schulserver zuverbessern.

Hat der Chef sich vergessen bei Feierabend auszuloggen und es sind zufällig noch Mitarbeiter in der nähe, welche Wind von der Sache bekommen haben, könnten diese die Gelegenheit für sich nutzen, um sich die Gehaltsliste der Kollegen anzusehen oder Änderungen am Rechner vorzunehmen.

Gelegenheitsangriffe

Der Gelegenheitsangriff geschieht eher aus einer spontanen Situation heraus. Es ergibt sich sozusagen durch Zufall eine Angriffsmöglichkeit die der Hacker für sich ausnutzt.

Beim Surfen im Internet, könnte der Hacker eine Webseite aufgerufen bei der eine Fehlermeldung auftritt. Die Fehlermeldung ist dem Hacker bekannt und weist auf eine Schwachstelle in der Webapplikation hin. Geht er dem Fehler nach findet er sich einige Minuten später auf dem Server mit Administrationsrechten wieder.

Diese Angriffe können aber auch von Neulingen ausgeführt werden die einfach Funktionsweisen von Tools ausprobieren möchten und diese nur halb oder gar nicht verstehen, sogenannte Scriptkiddies.

Scriptkiddies besitzen nicht das Grundlagen Wissen ,was es benötigt um einen Computer zu hacken, und nutzen deshalb vorgefertigte Skripte oder andere Hilfsmittel um ihr Ziel zu erreichen.

Sonderfall Ethical Hacker

Es muss nicht immer kriminelle Energie hinter einem Hackerangriff stecken. Wie schon erwähnt, prüfen Ethical-Hacker oder White-Hat Hacker Unternehmen auf IT-Sicherheit. Dabei könnten die Ethical-Hacker an einem Bug-Bounty-Programm teilnehmen.

Diese Pogramme werden von den Unternehmen veranstaltet, um Schwachstellen aufzuspüren und zu beheben bevor es ein böswilliger Hacker für sich nutzt.

Während Penetration-Tester in Unternehmen eingestellt sind und mit Genehmigung Sicherheitsaudits durchführen.

Für viele steckt also auch einfach der Spaß an der Herausforderung dahinter. Aber natürlich auch eine berufliche Motivation.

Fazit

Wahrscheinlich sind die Gründe für einen Hackerangriff sehr unterschiedlich. Obwohl man das Gefühl bekommt, dass Durchsetzungsangriffe häufiger vorkommen, könnte es auch sein, dass andere Angriffstypen nicht seltener sind. In manchen Fällen ist es schwer zu unterscheiden, was nun das Motiv des Angreifers ist, denn häufig werden Angriffe zu spät entdeckt oder überhaupt nicht bemerkt. Es ist dann vielleicht nicht mehr so einfach einen Zusammenhang zu einem vergangenem Ereignis herzustellen. Angriffe wird es trotzdem geben und die Motive könnten sich in Zukunft ändern.