Wovon reden Oliver Günther und Henning Steiner in ihrem Cybercrime-Podcast eigentlich die ganze Zeit? Black Hat? PEN-Test? Bahnhof? Nach diesem Artikel sind Sie schlauer.

Von Henning Steiner und Oliver Günther

Black Hat und White Hat

Diese Begriffe bezeichnen beide Hacker - dabei ist die Unterscheidung ganz simpel: weiss gleich gut, schwarz gleich böse. Black Hats sind die, an die man als erstes bei dem Begriff Hacker denkt. Das sind Hacker, die sich illegal in Systeme hacken, um Daten zu klauen, zu manipulieren, zu sabotieren, oder einfach nur um zu zeigen, dass sie es können. Sie verdienen oft mit Cybercrime ihr Geld. Anna aus Staffel 1 unseres Podcasts ist so ein Black Hat. White Hats sind auch Hacker, aber sie hacken legal und orientieren sich an ethischen Leitlinien der Szene. Sie suchen zum Beispiel im Auftrag von Unternehmen, die ihre Systeme testen lassen wollen, Schwachstellen in der Software. In unserem Podcast Dominik Oepen und Jörg Schneider, die das evangelische Krankenhaus in Gießen "hacken". White Hats wollen in der Regel die Sicherheit in Systemen erhöhen, damit Black Hats diese Systeme nicht knacken können. Doch weil sich Vieles im Leben nicht klar in schwarz und weiß untersteilen lässt, gibt es neben Black Hats und White Hats noch die so genannten Grey Hats, die Grauhüte. Die stehen irgendwo dazwischen: Wie die White Hats wollen sie die IT-Welt sicherer machen, aber mit Hackerethik und Gesetzen nehmen sie es dabei nicht immer so ganz genau. Die Bezeichnung "Hat", also Hut, hat ihren Ursprung übrigens angeblich in alten Western Filmen, in denen die Bösen immer schwarze Hüte tragen und die Guten weiße.

Ransomware

In unserem Cybercrime-Podcast wird das Lukaskrankenhaus in Neuss Opfer so genannter Ransomware. Der Begriff ist eine Kombination aus dem englischen Wort für Lösegeld, Ransom, und dem Begriff Software. Ransomware ist also eine Software, die mit einer Lösegeldforderung verbunden ist. Kurzum: eine Erpressungssoftware. Wie funktioniert die? Oft schleusen die Erpresser ein kleines Schadprogramm auf den Rechner ihrer Opfer, zum Beispiel über eine E-Mail mit infiziertem Anhang. Dieses Schadprogramm nimmt dann Daten des Opfers in Geiselhaft – zum Beispiel, indem es den Zugriff auf den Rechner sperrt oder die Daten mit einem Crypto-Trojaner unlesbar macht. Was ein Crypto-Trojaner ist, erklären wir hier. Irgendwann poppt jedenfalls auf dem Bildschirm des Opfers eine Meldung auf, in der so etwas steht wie: "Wenn Du Deine Daten befreien willst, musst Du uns Lösegeld zahlen." Einen absoluten Schutz vor solchen Erpressungen gibt es nicht und oft ist es schwer, das Schadprogramm wieder loszuwerden. Daher ist der beste Rat: Alle wichtigen Daten regelmäßig zu sichern. Zum Beispiel auf einer - oder besser mehreren - externen Festplatten.

PEN-Test

Während sich vermutlich jeder unter einem Test etwas vorstellen kann, wird es bei dem Begriff "PEN" wahrscheinlich schon etwas schwieriger. "PEN" ist eine Abkürzung für den Begriff "Penetration". Bei einem PEN-Test versuchen Hacker in ein IT-Netzwerk einzudringen. Allerdings tun sich das in der Regel mit dem Wissen und im Auftrag des getesteten Unternehmens. Der PEN-Test soll zeigen, wo ein Unternehmensnetzwerk gut geschützt ist, und wo es Schwachstellen gibt, die Hacker ausnutzen könnten. Schwachstellen, die ein Unternehmen schließen muss, wenn es sicherer werden will. In unserem Podcast hat sich das Evangelische Krankenhaus in Gießen genau aus diesem Grund einem PEN-Text gestellt. Geht es um das Thema Cyber-Security, gehören PEN-Tests zu den wichtigsten Instrumenten, um festzustellen, wie gut ein Netzwerk gegen Attacken geschützt ist.

Crypto-Trojaner

Ein Crypto-Trojaner ist eine weit verbreitete Form von Erpressungssoftware, von Ransomware also. Was Ransomware ist, erfahren Sie hier. Crypto steht für Verschlüsselung, daher spricht man auch von Verschlüsselungstrojaner. Ein Trojaner wiederum ist ein kleines Schadprogramm, das sich gut getarnt und vom Opfer unbemerkt auf dessen Rechner installiert. Es wird sozusagen auf den Rechner eingeschleust, wie in der griechischen Mythologie das Trojanische Pferd. Verbreitet werden solche Trojaner häufig über infizierte E-Mail-Anhänge. Es geht aber auch zum Beispiel über infizierte Dateien aus dem Internet. Daher: Immer gut aufpassen, was man anklickt und öffnet!

Der Trojaner verschlüsselt im Hintergrund die Daten des Opfers. Das heißt, sie werden unleserlich. Und wenn er eine bestimmte Menge verschlüsselt hat, dann lässt er eine Lösegeldforderung auf dem Monitor erscheinen. Die Opfer sollen dann Geld zahlen für einen Entschlüsselungscode, der angeblich die Daten wieder lesbar macht. In diesen Fällen ist es gut, wenn man noch irgendwo Kopien seiner Daten hat, denn die Verschlüsselung zu knacken, das kriegen selbst Computerexperten oft nicht hin. Bezahlen ist aber auch keine Lösung, denn die Gefahr ist groß, dass die Täter das Geld nehmen, die Opfer aber ihre Daten trotzdem nicht wieder entschlüsselt bekommen. Wie es dem Lukaskrankenhaus in Neuss mit einem Crypto-Trojaner ergangen ist, erfahren Sie in unserem Podcast.

Patchen

Patchen heißt auf Deutsch "flicken" - und genau darum geht es. Taucht in einer Software eine Schwachstelle auf, die zum Beispiel Hacker nutzen könnten, dann hilft meist ein "Patch", um die undichte Stelle zu schließen. Diese Flicken werden meist von den Herstellern und Anbietern wie Microsoft zur Verfügung gestellt. Das Problem: In Krankenhäusern gibt es sehr unterschiedliche IT-Anwendungen mit sehr unterschiedlicher Software. Da läuft man schnell Gefahr, beim Patchen etwas zu übersehen. Umso wichtiger ist ein gutes "Patchmanagement", sprich, ein Verfahren, das möglichst lückenlos sicherstellt, dass Patches immer sofort installiert werden, wenn sie zur Verfügung stehen. Und noch ein Problem gibt es: Wenn eine Software oder ein Betriebssystem zu alt ist, stellen die Anbieter keine Patches mehr zur Verfügung. Das heißt, das Risiko für Sicherheitslücken steigt. Gerade in Kliniken ist das problematisch, denn hier laufen oft viele ältere Geräte mit entsprechend alten Betriebssystemen, für die es keine Patches mehr gibt.

Gehashte Passwörter

Was ein Passwort ist, wissen wir alle. Das Wort "hash" kommt aus dem Englischen und heißt "zerlegen, zerkleinern, zerhacken". Wortwörtlich wäre ein gehashtes Passwort also ein zerlegtes Passwort. Das Ganze dient der Sicherheit. Wenn wir uns zum Beispiel in einem Onlineshop anmelden, dann machen wir das mit Benutzername und Passwort. Die Software des Shops prüft dann, ob diese Daten stimmen und man das richtige Passwort eingegeben hat. Dafür muss der Shop aber beides gespeichert haben, sonst kann er die Daten nicht vergleichen. Es wäre aber ziemlich unsicher, Passwörter im Klartext zu speichern. Wenn diese Cyberkriminellen in die Hände fallen würden, könnten sie großen Schaden damit anrichten. Daher werden Passwörter von den Shops vor dem Abspeichern idealerweise gehasht: Sie werden nach einem bestimmten Muster umgewandelt in ganz andere Kombinationen von Zeichen. Aus dem Passwort 123456 wird dann zum Beispiel e10adc3949ba… und noch ganz viele Zeichen mehr. Nur dieser Hashwert wird vom Shop gespeichert. Das heißt: Wenn wir beim Einloggen unser Passwort eingeben, wird es von der Shop-Software im Hintergrund erst gehasht und erst dann mit dem gespeicherten Passwort-Hashwert verglichen. Der Vorteil: Wenn Cyberkriminelle diesen Hashwert erbeuten, können sie damit erst einmal nichts anfangen, weil man ihn nicht einfach in das echte Passwort zurückrechnen kann. Trotzdem sollte man sicherere Passwörter als 123456 verwenden, denn die sind auch trotz Hashwert kein guter Schutz.

Darknet

Wenn wir über das Internet reden, dann meinen wir meistens das, was für alle gut sichtbar ist - also das, was wir über Suchmaschinen wie Google finden können. In Wirklichkeit ist es mit dem Internet aber wie mit einem Eisberg: Es gibt eine Spitze, die gut sichtbar über der Oberfläche liegt. Man spricht auch von Clear-Web im Sinne von klar oder transparent. Der viel, viel größere Teil des Internets aber ist verborgen. Er liegt sozusagen unter Oberfläche. Das ist das so genannte Deep Web oder Hidden Web. Dazu gehört all das, was nicht frei zugänglich ist und von Suchmaschinen nicht gefunden wird. Das sind zum Beispiel Zugangs-geschützte Bereiche von Unternehmen, Forschungseinrichtungen, Behörden oder Regierungen. Teil dieses Deep Webs ist auch das so genannte Darknet. Das ist der am besten verborgene Bereich des Internets. Alles, was hier passiert, ist dank spezieller Zugangssoftware und  Anonymisierungs-Methoden besonders gut getarnt. Das macht das Darknet für Cyberkriminelle besonders interessant, weil die Polizei ihnen hier nur schwer auf die Spur kommen kann. Deshalb gibt es auch immer wieder Forderungen, das Darknet stärker zu kontrollieren. Aber Datenschützer und Internet-Aktivisten warnen: Das Besondere am Darknet – nämlich gerade der Schutz der Anonymität – sei wichtig, denn auch Whistleblower nutzen das Darknet. Und Oppositionelle in Ländern, in denen es Zensur gibt. Und in denen offen regierungskritische Stimmen staatlich verfolgt werden.

Detektion

Wem bei dem Begriff Detektion sofort Detektiv einfällt, der liegt richtig. Denn es geht dabei ums Aufspüren und Entdecken. Aber nicht im Sinne von zufällig entdecken. Detektion meint viel mehr ein "systematisches Entdecken". Warum ist das im Zusammenhang mit Cyber-Security wichtig? Ganz einfach: Kein System ist so sicher, dass man Hacker zu 100 Prozent aussperren kann. Also ist es umso wichtiger, Angreifer, die sich in ein Netzwerk reingehackt haben, möglichst schnell zu entdecken. Das macht man zum Beispiel, in dem man auf Anomalien achtet. Versucht zum Beispiel jemand von außen, sich regelmäßig nachts zwischen 1 und 4 Uhr in ein Netzwerk einzuloggen und wird dabei wiederholt ein falsches Passwort eingegeben, dann können das erste Hinweise auf einen Hackerangriff sein. Das kann man automatisiert registrieren, wodurch ebenfalls automatisiert Alarm geschlagen werden kann. Genau das ist Teil einer funktionierenden "Detektion". Sie wird allerdings in vielen Unternehmen vernachlässigt. Daher dauert es häufig Monate, bis Hackerangriffe entdeckt werden. Monate, in denen Hacker ein Netzwerk in Ruhe ausspionieren können.