Warum erfolgreiche Hacker meistens nur noch auf den Faktor Mensch zielen

Wenn wir uns einen Hacker vorstellen, haben wir ein Bild einer Person mit Hoodie vor Augen, der wie wild auf einer Tastatur tippt und vor sich grüne Textzeilen auf schwarzem Grund hat. Hollywood hat uns dieses Bild vermittelt, doch die Realität ist eine andere. Immer seltener werden zuerst die Systeme von Hackern angegriffen, meist ist das erste Ziel der Mensch. Und wer sind eigentlich diese Hacker?

Wie hat es Mark T. Hofmann (Kriminal- und Geheimdienstanalyst) so treffend formuliert, «Cybercrime ist nicht nur ein technisches Problem, es ist ein psychologisches Problem, es ist ein menschliches Problem, es ist ein Management Problem.»

Jede Tür ist nur so sicher wie die Person, die den Schlüssel hat. Oder auf die Informationssicherheit bezogen, jede IT-Security Infrastruktur ist nur so sicher, wie die Person die das Passwort hat.

Grob 90 % aller erfolgreichen Attacken gehen auf menschliche Fehler zurück. Nur in seltenen Fällen sind es die Systeme selber, welche unzureichend waren. Der Mensch ist und bleibt das schwächste Glied in der Informationssicherheit.

Was bringt uns die beste Tür oder die ausgereifteste Security-Architektur, wenn die Person die den Schlüssel bzw. das Passwort hat manipuliert wird, dieses raus zu geben. Die beste Architektur ist in einem solchen Fall komplett nutzlos.

So fragen sich immer mehr Hacker wahrscheinlich, warum ein System hacken, wenn die Leute einem das Passwort einfach verraten?

Bruce Schneier, sehr bekannter Security Experte hat mal gesagt, «Amateurs hack systems, professionals hack people.»

Und wie professionell diese Hacker mittlerweile sind, zeigt sich an diesen Fakten.

Die Cyber Kriminalität hat sich massiv professionalisiert, es wird immer häufiger von «Crime as a Service» gesprochen, also eine Dienstleistung welche man sich einkaufen kann. Diese Cyberkriminellen sind mittlerweile wie ein Unternehmen oder gar besser als ein solches organisiert. Eine bekannte Hackergruppe gibt sogar Pressemitteilungen raus und hat ein Mission-Statement, welches aussagt, wen sie angreifen und wen eher nicht. Solche Gruppen verfügen über einen «Kundenservice», bei welchem sich von einem Erpressungstrojaner betroffene Firmen melden können, wenn etwas mit der Bitcoin-Zahlung nicht funktioniert

Dies zeigt exemplarisch auf, wie dreist diese Gruppen sind und wie sicher sie sich fühlen, dass sie nicht geschnappt werden.

Doch wer sind eigentlich diese Hacker? Aus verschiedenen Quellen geht folgendes Profil hervor.

Zum grossen Teil sind diese männlich, sie sind jung und meist unter 30 Jahre alt. Vielen von ihnen haben schon mit 10 – 15 Jahren mit hacken begonnen. Meistens sind es keine IT-Cracks und sie haben auch keine klassische Ausbildung in der Informatik. Was sehr zeichnend ist, sie sind allesamt gut gebildet und häufig überdurchschnittlich intelligent. Was ebenfalls interessant ist, selten haben sie einen tiefen sozioökonomischen Status, sprich sie sind nicht arm, sondern verfügen über genügend Geld.

Was weiss man über die Gründe, warum diese Personen das tun, was sie tun?

In erster Linie ist es der finanzielle Gewinn, ebenso kommt häufig das Thema Spionage dazu und schlussendlich auch noch der Spass an der Sache.

Es sollte etwas skeptisch stimmen, wenn das Hauptmotiv Geld ist, für Personen die nicht zwingend auf Geld aus sind, dies aufgrund der sozioökonomischen Schicht, in der sie sich befinden. Es geht diesen Personen viel mehr um das «thrill seeking», den Kick den sie dabei haben.

Solche Personen könnten auch auf legalem Weg eine Karriere mit gutem Verdienst haben, doch ihnen würde der Kick fehlen, was bei diesen Personen eine zentrale persönliche Eigenschaft zu sein scheint.

Wie wird das nun gemacht, dass die menschliche Schwachstelle ausgenutzt wird?

Zentral ist hier die Ablenkung, wie dies auch in einem Zaubertrick gemacht wird.

Nehmen wir ein bekanntes Beispiel, sie erhalten ein Mail von einem Zahlungsanbieter (bspw. PayPal), in welchem uns mitgeteilt wird, dass unser Account gehackt wurde. In diesem Mail gibt es nun die Aufforderung auf diesen Link zu klicken, um zu überprüfen, ob mit unserem Account noch alles in Ordnung ist.

In diesem Moment verlieren wir teilweise die Vorsicht, da wir das Gefühl haben, dass dieses Mail bzw. die Organisation dahinter, auf unserer Seite sei und nur das Beste für uns will. Das ist natürlich nicht wahr, den bisher wurden wir noch gar nicht gehackt, erst durch den klick auf diesen Link werden wir effektiv gehackt. Diese Mail stammt natürlich vom Hacker und nicht vom Zahlungsanbieter.

Dieses Beispiel ist nicht besonders kreativ von den Hackern, doch es gibt vielzählige Beispiele wo deutlich perfider vorgegangen wird.

Genau in diesem Bereich kann optimus amicus Ihnen mit einer persönlich auf Sie abgestimmte Awareness Schulung helfen, Ihre Mitarbeiter zu sensibilisieren und dafür zu sorgen, dass der Faktor Mensch etwas weniger kritisch ist. Eine solche Schulung ist heute ein elementarer Teil einer durchdachten Security-Strategie. Melden Sie sich bei uns für eine unverbindliche Offerte und weiteren Informationen zu unseren Angeboten.