Wie Angreifer Daten stehlen

Die meisten Menschen wissen, dass es augenscheinlich unendlich viele Hacker gibt, die vertrauliche Daten von Firmen stehlen wollen. Und während ganze Bände über die verschiedenen Einbruchsarten geschrieben wurden, sind die

Die meisten Menschen wissen, dass es augenscheinlich unendlich viele Hacker gibt, die vertrauliche Daten von Firmen stehlen wollen. Und während ganze Bände über die verschiedenen Einbruchsarten geschrieben wurden, sind die Methoden, wie sie die Daten dann stehlen, nicht so weitläufig dokumentiert.

Es überrascht nicht, dass das ganz logisch abläuft. Zunächst erlangt ein Angreifer über eine Phishing-Mail mit einem infizierten PDF- oder Word-Dokument Zugang zu einem Netzwerk – damit fasst er Fuß im System. Von dort aus findet er dann andere Schwachstellen, um bei seiner Suche nach wertvollen Daten von System zu System zu springen – Tabellen, Textdateien, Finanzinformationen und noch viel mehr ist für Angreifer wertvoll.

Sind die Daten gefunden, wird es Zeit, sie zu exportieren. Das muss irgendwo gestartet werden, und normalerweise wird ein Angreifer dafür einen bestimmten Computer im Netzwerk auswählen und keinen Server. Laut Ryan Kazanciyan und Sean Coyne von der Sicherheitsfirma Mandiant hat das den Grund, dass die meisten Anwender kaum darauf achten, wieviel Speicherplatz auf ihren Rechnern genutzt wird, Administratoren dagegen passen da besser auf und würden einen Anstieg im Speicherbedarf auf einem Server bemerken.

Manche Angreifer fassen die Daten, die sie stehlen wollen, auf dem infizierten Computer zusammen und ziehen sie dann in einem Rutsch herunter. Üblicherweise laden Angreifer die Daten aber Stück für Stück herunter – trotz dem dabei höheren Risiko, entdeckt zu werden. Und während manche Hacker nur bestimmte Daten stehlen, nehmen andere alles, was sie bekommen können – ein klares Zeichen für eine große Organisation mit genügend Arbeitskräften, die durch all die Daten stöbern können, um die wertvollen Stücke zu finden.

Der Schlüssel beim Umgang mit Hackern ist nicht, die Lücken zu schließen, wenn sie ausgenutzt worden sind, sondern vorab sicherzustellen, dass das Netzwerk zuverlässig geschützt ist und solche Überfälle abwehren kann.
„Die Auswirkungen solcher Datendiebstähle sind schwer zu beziffern, da der Wert der meisten Daten noch nicht erkannt wurde“, so Coyne. „In den meisten Fällen, die wir bearbeitet haben, waren die Angreifer monate- oder sogar jahrelang im System. Wenn Ihre Anstrengung nur die Sanierung nach dem Angriff ist, ist es bereits zu spät.“

Tipps