Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Hacker: Diese Attacken werden wir nicht vergessen

Seitensprung-App Ashley Madison: Jagdfieber auf Untreue Zur Großansicht
REUTERS

Seitensprung-App Ashley Madison: Jagdfieber auf Untreue

Hackerangriffe und Datenlecks sorgten 2015 im Wochentakt für Schlagzeilen - wurden aber meist schnell wieder vergessen. Doch fünf Attacken waren so raffiniert, dass sie uns weiter beschäftigen werden.

Es vergeht so gut wie keine Woche ohne Meldung über ein Hack, ein Datenleck. In Dezember etwa erwischte es so unterschiedliche Gruppen wie minderjährige Hello-Kitty-Fans oder die Sicherheitsexperten des Netzwerk-Konzerns Juniper.

Die meisten Meldungen ("Unbekannte Hacker erbeuten XY") ziehen schnell vorüber und sind meist vergessen, bevor es Erkenntnisse über Ausmaß und Hintergründe gibt. Andere sind von Deutschland anscheinend weit weg, wie das Riesenleck sensibler Daten in der US-Personalverwaltung.

Doch dann gibt es Hacks, die es verdienen, in Erinnerung zu bleiben. Weil sie besonders raffiniert sind oder dreist. Oder weil sie neue Verletzbarkeiten in der immer stärker vernetzten Welt aufzeigen. Die folgenden fünf Hacks sind interessant, weil sie auch etwas verraten über neue Mechanismen beim Hacking, die uns auch 2016 beschäftigen werden.

1. Das Seitensprungportal

Im Sommer veröffentlichte eine Hackergruppe einen gigantischen Datensatz vom Seitensprungportal Ashley Madison, in Scheibchen und immer wieder mit Drohungen angekündigt. Darin steckten Informationen von mehr als 30 Millionen Nutzer-Accounts, teilweise inklusive Adressen und Kreditkarteninfos, und internen Mail der Geschäftsführung der Betreiberfirma. Das Ganze entfachte ein Jagdfieber nach den Untreuen: Schaulustige und Medien durchforsteten den Hack nach bekannten Namen - es traf dann immerhin einen amerikanischen Reality-TV-Promi.

Der Fall Ashley Madison zeigt, wie nun ein Hack anrüchiger Informationen von gleich mehreren Seiten in Folge inszeniert und ausgeschlachtet wird. Und er entsorgte nebenbei eine Illusion: Dass irgendwo im Netz abertausende Frauen auf einen Seitensprung warten. Viele der Profile der vermeintlichen seitensprungfreudigen Frauen wurden von Bot-Programmen betextet - den männlichen Kunden wurde nur Geld aus der Tasche gezogen.

2. Der Angriff auf den Bundestag

Am 30. April landete eine Mail in den Postfächern mehrerer Abgeordneter, die vorgab, von der Uno zu kommen. Mit dem Schadprogramm, das der Nachricht angehängt war, begann der große Hackerangriff auf den Bundestag. Wochenlang konnte sich die Angreifer im internen Netz des Parlaments umsehen, Gigabytes an Daten abgreifen - während die Verwaltung den Vorfall erst herunterspielte und dann wochenlang darüber stritt, wie man auf den Angriff reagieren könnte.

Ganz aufgeklärt ist der Fall nicht, die Ermittler gehen von einer russischen Tätergruppe aus - die gar nicht einmal besonders gewieft vorging. Der Abschlussbericht des BSI machte klar, wie schlecht das deutsche Parlament gegen gewöhnliche Hackerangriffe gewappnet war. Und auch bis heute sind Webseiten gesperrt und wird der Bundestagsdatenverkehr über das hochsichere Regierungsnetz umgeleitet - seit dem Hackerangriff gilt die Gewaltenteilung im Netz nicht mehr.

3. Die Daten der Kinder

Das im November bekannt gewordene Datenleck beim Spielzeughersteller VTech erschreckte, weil dort nicht nur wie so oft Kreditkartendaten abflossen, sondern auch Informationen über Kinder, die Eltern gewöhnlich nicht in den Händen Fremder wissen wollen: Es ging um Profilfotos, Namen, Geburtsdaten, womöglich auch Unterhaltungen zwischen Eltern und ihrem Nachwuchs. Allein in Deutschland war von 500.000 betroffenen Kindern die Rede.

Der mutmaßliche Hacker hat die Daten nach bisherigem Stand nicht weiterverkauft, machte aber die Gefährdung deutlich, die auch von harmlos wirkenden VTech-Spielzeugen wie dem Storio-Lerntablet ausgehen kann. Auch bei der Hello-Kitty-Seite wurden waren Datensätze von Kindern und Jugendliche wochenlang im Netz verfügbar. Die Fragen werden akuter, weil sich vernetztes Spielzeug ausbreitet - die smarte Barbie steht schon in den Startlöchern.

4. Hacking gegen Profi-Späher

Unter reichlich Schadenfreude erwischte es im Juli die Firma "Hacking Team", die selbst Spähsoftware an Behörden und Dienste in aller Welt verkauft. Der italienischen Firma wird vorgeworfen, ihre Programme auch an repressive Regime zu liefern, die damit Aktivisten heimlich ausspionieren. Die Hacker des "Hacking Team" veröffentlichten einen gigantischen Datensatz (400 GB), der unter anderem zeigte, wie Mitarbeiter über den Verkauf der Spähware an Staaten wie die Türkei und Syrien redeten und welch schlechte Passwörter sie selbst benutzten.

Auch Profispäher sind nachlässig - und sie erwischt es. Das Gleiche gilt für CIA-Chef John Brennan, der offenbar nichts dabei fand, eine private AOL-Mailadresse zu nutzen und dort etwa einen ausgefüllten, sehr umfangreichen Fragebogen für seine Sicherheitsüberprüfung zu speichern. Die Reaktion der CIA: "Es ist eine Attacke, wie sie jeden hätte treffen können und sie sollte verurteilt, nicht gefördert werden." Zumindest dem ersten Teil des Satz wird man nicht mehr widersprechen.

5. Der fremdgesteuerte Jeep

Im Sommer zeigten zwei amerikanische Hacker, was sie aus einem Wohnzimmer heraus mit einem Geländewagen anstellen konnten, der gerade auf einem Highway fährt: Sie drehten nicht nur das Soundsystem voll auf, sondern stellten auch den Motor ab und setzten die Bremse außer Kraft. Man kann sich das Ganze im Video anschauen. Der Zugriff gelang über das das Entertainment-System des Jeep Cherokee, das mit dem Internet verbunden ist.

Die beiden Amerikaner sind Experten im Autohacking, jetzt mussten sie erstmals nicht selbst im Wagen sitzen, um die Kontrolle zu gewinnen, sie konnten das per Netz mit "handelsüblicher Software" tun. Fiat Chrysler, der Jeep-Mutterkonzern, zog daraufhin 1,4 Millionen Fahrzeuge zurück. Und die Hacker lieferten einen Ausblick in die Zukunft, denn der Smart-car-Boom hat gerade erst begonnen. Dabei liegt es wohl näher, einen Wagen per Hack zu klauen als gleich seine Bremsen außer Kraft zu setzen. Aber fürs Auto gilt dasselbe wie fürs smarte Spielzeug: Die Angriffsfläche vergrößert sich.

fab

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 14 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Alles soll mit allem vernetzt werden?
swandue 26.12.2015
Noch nicht einmal die EDV-Systeme von großen Unternehmen und wichtigen Institutionen können vor Angriffen geschützt werden. Warum soll das dann z.B. bei Autos möglich sein? Bald muss sich kein dummer Terrorist mehr persönlich in die Luft jagen. Stattdessen werden per Fernsteuerung einige Autos auf der Autobahn umgedreht. Schöne neue Welt!
2. Nö, schon vergessen
Bueckstueck 26.12.2015
Wenn es dieses Artikelchen nicht gegenen hätte, ich hätte mch auch weiter nicht an diese Vorfälle erinnert - sie haben mich nämlich nicht tangiert.
3. Dumm...
medyka 26.12.2015
...wer kritische Daten und Anwendungen vernetzt. So würde ich niemals den Kathastrophenschutz über Apps statt verdratete Sirenen regeln. Ein neuer Trend ist auch die Vernetzung medizinischer Geräte, weil man papierlos arbeiten möchte oder die Krankenschwester keine Zeit hat / zu faul ist, um z.B. beim Patienten nach dem Rechten zu sehen. Früher wurden Patientendaten per Telefonleitung 1 zu 1 übermittelt. Heute geht das verschlüsselt über das Internet. Vor Jahren wurden einmal über das Internet Kirchenglocken gesteuert. Morgen ist es die Beatmungsmaschine.
4.
feuer_der_veraenderung 27.12.2015
Ich glaube für max 500 Euro (und das ist schon sehr pessimistisch) pro Auto könnte man die Gefahr durch Autohacks stark vermindern, indem man einfach 2 Computersysteme einbaut d.h. Unterhaltungselektronik mit Internetzugriff eines für die Fahrelektronik, welche kein Internet braucht.
5. Implantate
brucewillisdoesit 27.12.2015
Zitat von medyka...wer kritische Daten und Anwendungen vernetzt. So würde ich niemals den Kathastrophenschutz über Apps statt verdratete Sirenen regeln. Ein neuer Trend ist auch die Vernetzung medizinischer Geräte, weil man papierlos arbeiten möchte oder die Krankenschwester keine Zeit hat / zu faul ist, um z.B. beim Patienten nach dem Rechten zu sehen. Früher wurden Patientendaten per Telefonleitung 1 zu 1 übermittelt. Heute geht das verschlüsselt über das Internet. Vor Jahren wurden einmal über das Internet Kirchenglocken gesteuert. Morgen ist es die Beatmungsmaschine.
Falls es Sie beruhigt (oder vielleicht auch nicht), viele medizinische Implantate, z.B. Herzschrittmacher können wireless reguliert werden. Das ist auch durchaus sinnvoll, um den Patienten nicht bei jeder Einstellungsänderung wieder aufschneiden zu müssen. Ergibt aber in der Tat neue Angriffsvektoren. Das ist keine Zukunftsvision von Morgen, sondern heutige Realität. Um sie nicht zu sehr zu verstören: das Thema Security ist den Herstellern derartiger Systeme ist natürlich bekannt und bewußt.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: