Zero-Day-Exploit
Bild © picture-alliance/dpa

Hacker suchen Schwachstellen in Programmen, um Rechner zu übernehmen. Obwohl viele dieser Sicherheitslücken bekannt sind, beheben Hersteller sie oft nicht - aus Kostengründen. Ein lukratives Geschäft für Angreifer.

"Ich finde Schwachstellen in Standard-Software", so beschreibt die anonyme Hackerin, die wir "Anna" nennen, im Podcast "Cybercrime" ihren Job. Anna konzentriert sich vor allem auf Web-Browser wie Chrome, Internet Explorer oder Firefox. "Auf Basis dieser Schwachstellen werden Angriffswerkzeuge gebaut. So genannte Exploits. Damit lässt sich typischerweise der Rechner des Opfers kapern." Wie Anna bei dieser Arbeit konkret vorgeht, erklärt sie so: "Man baut sich mehr oder minder zufällige Datenpakete und sendet diese an die zu hackende Software." Das Ziel: Die Software zum Absturz bringen. Denn das ist ein Zeichen dafür, dass "das Programm mit der Verarbeitung überfordert ist." Zum Beispiel, weil es Fehler in der Programmierung gibt.

Der nächste Schritt: Den Absturz genau analysieren. "Im Idealfall schafft es der Hacker das Softwarepaket, was zum Absturz geführt hat, so zu manipulieren, dass er die Software übernehmen kann." Und damit auch den Rechner seiner Opfer. "Derartige Exploits werden zum Beispiel gerne zwecks Industrie-Spionage eingesetzt", sagt Anna.

Software, die von Millionen Anwendern genutzt wird

Laut Bundesamt für Sicherheit in der Informationstechnik gehören solche Schwachstellen in Software zu den weit verbreitetsten Einfallstoren für Hackern. "Für die IT-Sicherheitslage relevant sind dabei insbesondere gängige Softwareprodukte, die weltweit von Millionen von Anwendern genutzt werden", schreibt das BSI in seinem Bericht zur "Lage der IT-Sicherheit in Deutschland 2016".

Zu diesen weit verbreiteten Programmen gehören laut BSI neben den schon genannten Browsern unter anderem Produkte wie Adobe Flash, Microsoft Windows oder Apple OS X. "Aufgrund ihrer weiten Verbreitung kann die Ausnutzung von Sicherheitslücken in diesen Produkten potenziell schwerwiegende und flächendeckende IT-Sicherheitsvorfälle nach sich ziehen", so das BSI.

"Sechsstellige Zahlungen sind im Erfolgsfall keine Seltenheit"

Allein im Jahr 2016 hat das Bundesamt über 1000 Schwachstellen der zehn meistverbreiteten Softwareprodukte als "kritisch" eingestuft. Das Bundesamt sieht vor allem die Anbieter der Software in der Pflicht. "Einige Hersteller schließen Schwachstellen in ihren Produkten nach wie vor nur bei anhaltendem öffentlichem Druck. Die verschiedenen Initiativen der Softwareindustrie zur Qualitätsverbesserung stecken noch in den Kinderschuhen und werden unter anderem aus Kostengründen nicht konsequent umgesetzt", heißt es im Lagebericht. "Eine signifikante Verbesserung würde sich bereits ergeben, wenn alle Hersteller zumindest für neue Produkte den Stand der Technik aus der Sicherheitsforschung direkt umsetzen und für etablierte Produkte schrittweise nachrüsten würden. Der Nachholbedarf ist an dieser Stelle immens."

Hackerinnen wie Anna spielt das in die Hände. "Exploits finde ich viele", sagt sie im Podcast, "das ist im dreistelligen Bereich im Jahr." Zwar kann sie die meisten davon nach eigenen Angaben nicht für ihre Zwecke verwerten. Aber mit denen, die übrig bleiben, verdient sie viel Geld. Anna: "Sechsstellige Zahlungen sind im Erfolgsfall keine Seltenheit."

Jetzt im Programm