Fast täglich erfährt man von neuen Cyberangriffen und Datendiebstählen. Opfer bemerken den Einbruch erst, wenn es bereits zu spät ist. Der Schaden ist angerichtet und die Hacker sind über alle Berge. Wer frühzeitig den Übergriff erkennt oder den Angriff sogar abwehren kann, verhindert womöglich Schlimmeres. Doch wie merkt man eigentlich, ob man gehackt wurde?

Die Frage, wie man merkt, ob man gehackt wurde, ist nicht so einfach zu beantworten. Manchmal ist es so wie in einem Agentenfilm: Spione brechen in die Büroräume einer wichtigen Institution ein, fotografieren Dokumente und installieren Abhörmikrofone. Sie überprüfen nochmals, dass sie keine Spuren hinterlassen haben, schalten die Alarmanlage wieder an, die vorher überlistet wurde, und verlassen unauffällig den Ort des Geschehens.

Starten Hacker einen gezielten Angriff, ist die Situation ähnlich. Nachdem sie eine Schwachstelle ausgenutzt und in das System eingedrungen sind, kopieren Sie die Datenbank, installieren eine Backdoor, um zu einem späteren Zeitpunkt wieder zurückzukehren, und säubern Logdateien, die für den Einbruch Beweise liefern würden.

Cyberkriminelle sind jedoch nicht immer nur an Daten interessiert – sie können die unterschiedlichsten Ziele verfolgen. Manchmal geht es darum Schaden anzurichten oder jemanden zu erpressen. Ein anderes Mal soll Prozessorleistung mitgenutzt oder eine illegale Handlung von fremden Rechnern aus ausgeführt werden. Die allermeisten Angriffe sollen jedoch so lange wie möglich unbemerkt bleiben, bestenfalls merkt es das Opfer nie.

War ein guter Hacker am Werk, merkt man es eigentlich nicht

Schaffen es Hacker den Einbruch in ein System zunächst geheim zu halten, kann das Opfer möglichst lange ausgenutzt werden, bevor es gegen den Befall vorgeht. Wenn das Wirtssystem einmal „verbrannt“ ist, wird es häufig für illegale Handlungen wie Spamversand benutzt. Dies fällt sehr schnell auf und der Internetanbieter sperrt den betroffenen Anschluss.

Es gibt zahlreiche Beispiele für kompromittierte Systeme, deren Einbrüche erst sehr spät entdeckt wurden. Ende November 2013 wurden die Zahlungssysteme des zweitgrößten Einzelhändlers in den USA mit Schadsoftware infiziert. Erst zwei Wochen und 40 Millionen gestohlene Kreditkarten später wurde das Datenleck geschlossen. Auch Myspace war Ende Mai dieses Jahres in den Negativschlagzeilen: dann wurde nämlich bekannt, dass das soziale Netzwerk irgendwann vor dem 11. Juni 2013 gehackt worden sein muss, da nun gestohlene Zugangsdaten in Hackerforen angeboten werden.

Aber auch deutsche Behörden wurden Opfer von Hackerangriffen, die nicht sofort bemerkt wurden. Am 13. April 2015 berichteten Administratoren des Bundestags von einem verdächtigen Server. Erst einen Monat später warnt der Verfassungsschutz, der aus dem Ausland über gestohlene Bundestagsdokumente informiert wurde, das Parlament. In der Folge wurde das gesamte Bundestagsnetzwerk für vier Tage abgeschaltet und einer Revision unterzogen.

Grafik: Mann tippt auf Schloss
Whitehacking kann helfen, die Schwachstellen eines Systems aufzuzeigen. (Thinkstockphotos Mikko Lemola)

Wie man überprüft, ob man gehackt wurde

Weil kompromittierte Systeme möglichst lange unbemerkt bleiben sollen, fällt der Eindringling nicht sofort auf. Klar ist: wer Meldungen von Schutzsystemen wie Virenscannern oder Firewalls über verdächtige Transaktionen erhält, sollte hellhörig werden. Häufig erhält man auch von Telekommunikationsanbietern den Hinweis, dass von der eigenen IP Spam-E-Mails verschickt oder Hackerangriffe gefahren werden.

Seit Ende 2015 melden sich sogenannte Kryptotrojaner sehr schnell zu Wort. Diese verschlüsseln alle persönlichen Daten und öffnen anschließend einen kurzen Erpresserbrief mit der Aufforderung Lösegeld für die gekidnappten Daten zu zahlen.

Weniger offensichtlich sind Situationen, in denen durch den Angriff Sicherheitsprogramme deaktiviert oder sogar deinstalliert werden und man keine Warnhinweise mehr erhält. Kaum jemanden dürfte es auffallen, dass sich der Netzwerkverkehr oder die Netzwerkverbindungen vervielfacht haben und man gerade Teil eines Botnetzes geworden ist.

Wer feststellen will, ob er gehackt wurde, muss wachsam sein und auch aktiv Maßnahmen ergreifen, um diese Frage zu beantworten. Hierzu lohnt sich ein Blick in die Prozesstabelle des Rechners: welche Dienste und Programme laufen gerade? Gibt es unbekannte Cronjobs? Ebenso kann überprüft werden, ob Dateien kürzlich geändert wurden. Hat man diese nicht selbst verändert und wurde auch kein automatisches Systemupdate eingespielt, liegt zumindest ein Anfangsverdacht vor.

Dieser kann erhärtet werden, wenn man verdächtige Einträge in den Logdateien findet. Es existieren mehrere Programme, die diese Aufgaben erleichtern. In Serverumgebungen sind dies beispielsweise rkhunter, chkrootkit oder Tripwire. Diese Dienste benötigen meistens jedoch eine Initialisierung mit einem sauberen System. Ist man bereits infiziert, helfen sie einem kaum weiter. Um Systeme vor Hackerangriffen zu schützen ist deshalb Vorbereitung wichtig.

Wie man nicht gehackt wird

Damit man nicht gehackt wird ist die Absicherung des Systems wichtig. Es sollten unbedingt alle sicherheitsrelevanten Updates eingespielt werden. Wer auf Legacy-Systeme angewiesen ist, für die es keine Updates mehr gibt, muss ein erweitertes Sicherheitskonzept anwenden. Ältere Router, Mobiltelefone oder Windows-XP-Rechner sind noch zahlreich als Legacy-Systeme vorhanden. Verschlüsselung und verschlüsselte Kommunikation sollte standardmäßig zum Einsatz kommen.

Wer über eine sichere Leitung kommuniziert, von dem können keine Zugangsdaten abgehört werden. Wichtig ist ebenso eine korrekte Konfiguration der Systeme. Diese kann durch eine gute Ausbildung der Mitarbeiter und Qualitätskontrollen sichergestellt werden. Ebenso lohnt der Blick von außen durch einen Penetrationstest, der versteckte Schwachstellen aufdeckt.

Systeme sollten schließlich ständig überwacht werden. Wer Monitoring-Tools wie Nagios einsetzt, kann in Echtzeit erkennen, ob beispielsweise der Mailserver in den letzten fünf Minuten so viele E-Mails verschickt hat wie sonst an einem Tag. Intrusion Prevention und Intrusion Detection Systeme wie Snort helfen dabei Angriffe zu erkennen und abzuwehren.

Leider gibt es keine absolute Sicherheit. Software wird auch in Zukunft immer wieder Schwachstellen aufweisen, welche von Angreifern ausgenutzt werden. Wer dennoch seine Hausaufgaben gemacht und Systeme härtet, kann das Risiko gehackt zu werden minimieren. Im Falle eines Angriffs schlagen Warnsysteme Alarm und Abwehrmaßnahmen übernehmen die Verteidigung.

Inhalte nicht verfügbar.
Bitte erlauben Sie Cookies durch ein Klick auf Akzeptieren.