Vergangene Woche haben wir Ihnen die Pl\u00e4tze 10 bis 6 vorgestellt, heute berichten wir von den Pl\u00e4tzen 5 \u2013 1 der 10 interessantesten Hackerangriffe.<\/p>\n
<\/p>\n
„PATRAS“<\/a> nennt sich ein Programm, das Standorte von GPS-Peilsendern in Echtzeit von lokalen Endger\u00e4ten verfolgt. Einsatz findet es beim Zoll, der Bundespolizei und beim BKA; vermutet wird weiter, dass LKAs PATRAS einsetzen. Via SMS oder auch GPRS wird die Verbindung realisiert. Zu Ber\u00fchmtheit schaffte es das Schn\u00fcffelprogramm, das im Jahre 2006 als Entwurf von der Bundespolizei gefertigt wurde, erst im Jahre 2011.<\/p>\n Dem Hacker-Netzwerk no name crew (kurz: nn-Crew) gelang der Zugriff auf die Beh\u00f6rdenrechner von der Zollfahndung \u2013 einer der bislang spektakul\u00e4rsten Angriffe auf Sicherheitsbeh\u00f6rden. Die Hackergruppe konnte Daten aus PATRAS entwenden: sowohl interne Dokumente als auch Software zum Auswerten von Positionsprotokollen und Bewegungsprofilen gelangten in Hacker-H\u00e4nde und wurden seinerzeit auf der nn-Crew-Website ver\u00f6ffentlicht. In einer zweiten Ver\u00f6ffentlichungsrunde erg\u00e4nzte das Hackerkollektiv auch die pers\u00f6nlichen Daten einiger Ermittler.<\/p>\n Ein Sprecher der nn-Crew erkl\u00e4rte gegen\u00fcber der Welt<\/a>: „die \u00dcberwachung per GPS [ist] ein Schritt in den \u00dcberwachungsstaat; mit ihrer Ver\u00f6ffentlichung wollen sie die Methoden der Bundes-Ermittler offenlegen.“ Nach diversen Festnahmen und nicht wahr gemachten Drohungen<\/a> wurde es still auf allen Seiten: die Website der nn-Crew verschwand in der Versenkung<\/a>, PATRAS nahm seinen observierenden Dienst wieder auf.<\/p>\n Im Jahre 2009 wurde entdeckt, was jahrelang vorbereitet wurde; einer der erfolgreichsten digitalen Raubz\u00fcge, die es je gab: Hacker belauschten die Kommunikationskan\u00e4le verschiedener US-Unternehmen und erbeuteten Daten von \u00fcber 130 Millionen Kreditkarten. Kopf der Aktion war Albert Gonzalez, der im Jahre 2010 zu einer Haftstrafe von 20 Jahren verurteilt wurde.<\/p>\n Gonzalez ist ein Hacker mit Geschichte: 2003 wurde der Mann erstmals wegen Datendiebstahls vom US-Geheimdienst angeklagt. Diesem Bericht des Wall Street Journals zufolge<\/a>, wurde der Hacker nach der Anklage vom Secret Service rekrutiert, um hier zeitweise als freier Mitarbeiter und Informant zu fungieren. Ziel war es, mit Gonzalez‘ Hilfe Hacker und weitere Cyberkriminelle aufzusp\u00fcren.<\/p>\n Um seinen gigantischen Kreditkartenhack vorzubereiten, recherchierte Gonzalez wohl bereits seit 2006. On- und offline gingen die Recherchen mithilfe seiner Komplizen weiter: man informierte sich \u00fcber diverse Unternehmen, \u00fcber Bezahlsysteme sowie \u00fcber Bezahlabl\u00e4ufe. Erst als alle Informationen recherchiert waren, wurde die Schadsoftware geschrieben. Diese Schn\u00fcffelsoftware sollte nat\u00fcrlich unentdeckt bleiben und so sollen die Hacker es zun\u00e4chst mit 20 Antivirenprogrammen getestet haben. Nachdem diese AV-Suites die Software als unbedenklich einstuften, ging es mit dem eigentlichen Angriff los. Nach den Angriffen sollte sich die Software selbst l\u00f6schen, um Entdeckungen weiterhin zu erschweren.<\/p>\n Erst im September 2007 gingen die Hacker auf die Netzwerke los. Sie nutzten eine Sicherheitsl\u00fccke, um die Software in die Datenbanken der ausgesuchten Unternehmen einzuschleusen. Mithilfe eigener Befehle konnten die Datendiebe automatisiert Kreditkartennummern, Kundendaten und Pr\u00fcfziffern abfragen und auf die eigenen Server \u00fcberspielen. \u00dcber Monate hinweg trieben die Hacker ihr Unwesen; entdeckt wurde das ausgenutzte Leck erst im Januar 2009 beim Finanzdienstleister Heartland Payment Systems, dem gr\u00f6\u00dften der insgesamt drei angegriffenen Unternehmen.<\/p>\n Im Jahre 2014 erbeuteten Hacker bei eBay Mitarbeiter-Logins und erhielten somit Zugriff auf die Datenbank, die Kundendaten enth\u00e4lt. Ebay forderte seine Nutzer auf<\/a>, dringend das Passwort auszutauschen, da die Kriminellen auf die verschl\u00fcsselten Passw\u00f6rter zugreifen konnten. Kreditkarten- und andere finanzrelevante Daten seien wohl nicht betroffen gewesen, jedoch habe die Datenbank den Kundennamen, die E-Mail- und Post-Adresse, die Telefonnummer, das Geburtsdatum sowie die verschl\u00fcsselten Passw\u00f6rter enthalten.<\/p>\n Der Angriff selbst habe bereits Ende Februar\/ Anfang M\u00e4rz stattgefunden, eBay wurde jedoch erst Anfang Mai auf die kompromittierten Logins aufmerksam. Ebay wurde nicht nur dahingehend kritisiert, die Mitteilung des Hacks zu sp\u00e4t an die eBay-User gemailt zu haben, auch die Art und Weise, wie der Konzern damit umging, stand in der Kritik. Anstatt die Passw\u00f6rter automatisch zur\u00fcckzusetzen, versendete eBay lediglich E-Mails mit dem Hinweis, dass das Passwort wom\u00f6glich kompromittiert sei und der User dies selbstst\u00e4ndig \u00e4ndern solle.<\/p>\n Das komplette Ausma\u00df des Angriffs wurde erst Wochen sp\u00e4ter bekannt: 145 Millionen Datens\u00e4tze wurden entwendet. Ebay selbst wurde nicht m\u00fcde, zu betonen, dass man keinerlei Hinweise auf Missbrauch der Datens\u00e4tze habe. Das \u00e4nderte sich bald: wenige Tage nach Bekanntwerden des Datenhacks tauchten zum Kauf angebotene Accounts zu je 25 Pfund auf.<\/p>\n F\u00e4llt das Wort „Hack“, denkt man unweigerlich an Sony. Blicken wir zur\u00fcck: User des PlayStation Networks (kurz: PSN), die sich in der Osterzeit, genauer gesagt um den 20. April 2011 einloggen wollten, wurden mit einem Hinweis auf Wartungsarbeiten vertr\u00f6stet. \u00dcbliche Wartungsarbeiten waren dies jedoch nicht, Verwunderung wurde laut: ausgerechnet am stark frequentierten Osterwochenende, mitten in der Ferienzeit, f\u00fchrt Sony Wartungsarbeiten durch, die derartig lange anhielten? – Erst eine knappe Woche danach r\u00fcckte Sony mit der Wahrheit raus:<\/p>\n Millionen von Kundendaten wurden von Hackern gestohlen und das PSN ist infolge dessen stillgelegt worden. Die Daten von weltweit mehr als 75 Millionen Usern wurden erbeutet, inklusive Kreditkarten- und Zahlungsdaten. Nicht nur w\u00fctende User, sondern auch sinkende Aktienwerte hatte dieses Gest\u00e4ndnis zur Folge. Der amerikanische Kongress forderte von Sony ein Plus an Transparenz, w\u00e4hrend Sicherheitsfirmen bei der Ermittlung unterst\u00fctzen sollten. Erst am 15. Mai 2011 gelang es, das PSN wieder erreichbar zu machen \u2013 zumindest rudiment\u00e4r in Deutschland und den Vereinigten Staaten.<\/p>\n Die n\u00e4chsten Monate standen f\u00fcr Sony im Zeichen der Schadensbegrenzung: die schlechte, viel zu sp\u00e4tete Kommunikation hat das Image des Konzernriesens heftig angekratzt. W\u00e4hrend die fieberhafte Suche nach den Hackern lief, versuchte Sony, gut Wetter zu machen. User erhielten eine 30-t\u00e4gige Premium-Mitgliedschaft bei PlayStation Plus geschenkt, au\u00dferdem konnten sich User vier Spieledownloads aussuchen.<\/p>\n Viele User h\u00e4tten es lieber gesehen, wenn das PSN k\u00fcnftig effizient vor Hackern gesch\u00fctzt werden w\u00fcrde. Eine einmonatige Premiummitgliedschaft und vier Games konnten die Gem\u00fcter nur bedingt bes\u00e4nftigen \u2013 immerhin waren die pers\u00f6nlichen (Zahlungs-)Daten der User im Spiel!<\/p>\n Sony beschuldigte das Hacker-Kollektiv Anonymous; Vertreter der Vereinigung stritten eine Beteiligung jedoch ab. Eine Mitwirkung von Anonymous konnte weder best\u00e4tigt noch g\u00e4nzlich ausgeschlossen werden; das erlauben die Strukturen des Kollektivs nicht. Schlie\u00dflich kann jeder Anonymous sein. Bis heute konnten die Kriminellen nicht gefasst werden \u2013 die Identit\u00e4t der wahren T\u00e4ter wird wohl f\u00fcr immer ungekl\u00e4rt bleiben. Genauso ungekl\u00e4rt bleibt die H\u00f6he des Schadens; die LA Times berichtete jedoch<\/a>, dass Sony seinen Schaden mit 172 Millionen US-Dollar beziffert.<\/p>\n Auch Platz 1 der interessantesten Hacks geht an Sony. Nachdem die Krise aus 2011 nach einem Komplettumbau des PSNs \u00fcberwunden schien, jedoch immer noch am Image des Konzerns kratzte, schien sich die Geschichte im November 2014 fast zu wiederholen. Diesmal stand allerdings Sonys Filmabteilung „Sony Picture Entertainment“ im Fokus: neben verschiedenen noch unver\u00f6ffentlichten Filmen wurden pers\u00f6nliche Daten und interne Dokumente erbeutet, die im Nachhinein online auftauchten.<\/p>\n Die Hacker konnten mehrere Terabyte Daten abgreifen: 47.000 Sozialversicherungsnummern hauseigener Mitarbeiter, Personaldaten, Zugangsdaten inklusive Passw\u00f6rter sowie Tarnnamen bekannter Schauspieler und Filme \u2013 ein gigantischer Datenschatz, den die Hacker an sich nahmen. Die Gruppe „Guardians of Peace“ (GOP) bekannte sich zu der Tat, jedoch waren die Motive unklar, \u00fcber die munter spekuliert wurde:<\/p>\n Theorie Nummer 1 befasst sich mit dem Motiv Erpressung. Laut Mashable<\/a> habe man eine E-Mail entdeckt, in der „gro\u00dfe Sch\u00e4den“ und eine „finanzielle Entsch\u00e4digung“ angesprochen werden. Unterzeichnet wurde diese Droh-Mail jedoch nicht von GOP, sondern von einer Gruppierung namens God’sApstls. Ob eine m\u00f6gliche Verbindung zwischen beiden Gruppen besteht, ist unklar. Mehrere Sony-Mitarbeiter wurden dar\u00fcber hinaus erpresst und bedroht. Angek\u00fcndigt wurde ein gr\u00f6\u00dferer Plan, der Hack sei nur ein winziger Teil des Ganzen. Die Existenz dieser E-Mails wurde von Sony best\u00e4tigt, GOP distanzierte sich jedoch von jedweden Drohungen.<\/p>\n Die zweite Theorie betrifft die Actionkom\u00f6die „The Interview“. Die Handlung, kurz angerissen: zwei US-Journalisten reisen, von der CIA rekrutiert, nach Nordkorea, um die F\u00fchrung Nordkoreas zu st\u00fcrzen. Schon das Ank\u00fcndigen des Films sorgte in Nordkorea f\u00fcr Unmut, und so entstand die Theorie, dass die Regierung Nordkoreas mit dem Hack in Verbindung gebracht werden k\u00f6nnte. GOP-Mitglieder hatten auf GitHub eine Nachricht ver\u00f6ffentlicht, die die Forderung enthielt, den „Terrorismus-Film“ nicht zu ver\u00f6ffentlichen, da der „regionale Frieden bedroht“ sei. Diese Theorie klingt sehr abenteuerlich \u2013 eine Filmgeschichte passt einer Regierung nicht, die darauf mit einem gezielten Hack reagiert? Es m\u00f6chte nicht passen, dass der Film im Nachgang des Hacks online ver\u00f6ffentlicht wurde. Ein Sprecher von Nordkoreas Regierung bestritt eine Beteiligung zwar vehement<\/a>, kam jedoch nicht umhin, die Tat selbst als „gerecht“ zu bezeichnen.<\/p>\n Sony zog das IT-Sicherheitsunternehmen Mandiant hinzu, um den Vorfall analysieren zu k\u00f6nnen. Kevin Mandia, Gesch\u00e4ftsf\u00fchrer des Sicherheitsunternehmens, zeigte sich verbl\u00fcfft: ein beispielloser Angriff, der von einer „organisierten Gruppe durchgef\u00fchrt“ worden sein muss. Die Schadsoftware, die eingesetzt wurde, sei derma\u00dfen fortschrittlich, dass kein industrietauglicher Virenscanner dar\u00fcber stolpern w\u00fcrde.<\/p>\n In Erinnerung an 2011 kritisierte man die Sicherheitspolitik von Sony stark. Die geleakten Excel- und Textdateien trugen das Wort „Passwort“ im Dateinamen und enthielten die Zugangsdaten zu sozialen Netzwerken und YouTube im Klartext, also unverschl\u00fcsselt. Es spricht au\u00dferordentlich gegen die Sicherheit des Systems, dass es den Hackern gelungen ist, innerhalb eines Angriffs derartig viele Daten abzugreifen. Einige ehemalige Sony-Mitarbeiter best\u00e4tigen<\/a> Schlampereien im Datenschutz und in der IT-Sicherheit des Konzerns.<\/p>\n Gar nicht so leicht, aus der gigantischen Menge bereits erfolgter Hacker-Angriffe 10 herauszufiltern. Sicherlich k\u00f6nnten wir noch mindestens 50 weitere Hackerangriffe auflisten, die es wert w\u00e4ren, dar\u00fcber zu berichten. Erz\u00e4hlen Sie doch mal: welcher Hacker-Angriff hat Sie so richtig beeindruckt? Vielleicht waren das die Taten des Hackers Kevin Mitnick<\/a>, der sich in den 90er Jahren eine zweimonatige Cyberjagd mit japanischen Sicherheitsexperten lieferte, nachdem er in die Systeme diverser Software- und Telefonunternehmen eindrang und die Accounts dieser Opfer leer r\u00e4umte. Nachdem Mitnick im Jahre 2000 aus dem Gef\u00e4ngnis entlassen wurde, bekam er einen Job als Sicherheitsexperte. Was war Ihr Highlight-Hack? Kommen Sie mit uns ins Gespr\u00e4ch \u2013 in den Kommentaren, auf Facebook<\/a>, Twitter<\/a> oder Google Plus!<\/p>\nPlatz 4: 20 Jahre Gef\u00e4ngnis f\u00fcr gigantischen Datenklau-Hack<\/h3>\n
Platz 3: eBay-Hack betraf jeden eBay-User<\/h3>\n
Platz 2: Hacker legen PS-Network lahm<\/h3>\n
Platz 1: Sonys D\u00e9j\u00e0-vu<\/h3>\n
Interessante Hackerangriffe \u2013 was war Ihr Highlight-Hack?<\/h3>\n