Hacker-Angriffe schom im Ansatz automatisch erkennen
Hacker einfach aussperren

Intrusion Prevention and Detection, hinter dem Begriff verbergen sich Methoden und Verfahren, zur Abwehr von Hackerangriffen. Dazu werden die Datenströme im Netzwerk auf Unregelmäßigkeiten untersucht werden.

Die Angriffsmethoden von Hackern werden immer ausgefeilter. Für den effektiven Schutz von Firmennetzen vor Eindringlingen, reichen herkömmliche Methoden oft nicht mehr aus. Um Angriffe schon im Ansatz zu erkennen setzen heute viele Unternehmen auf automatisierte Abwehrverfahren, genannt Intrusion Prevention and Detection. „Damit sollen die bösen Buben draußen gehalten werden“, erklärt Volker Pampus, Geschäftsführer des Sicherheitsspezialisten Internet Security Systems (ISS).

Hacker, die vor ihrem Bildschirm sitzen und sich durch eintippen eines Passworts Zugang zu den geheimsten Daten der Geheimdienste oder Militärs beschaffen, sind die Erfindung Hollywoods. Was einen Film spannend macht, ist weit von der Realität entfernt.

Angriffe auf Firmennetze und Daten laufen im Internet-Alltag komplexer ab. So verbreiten Hacker per E-Mail Viren, die sich dann automatisch per E-Mail weiter verbreiten. Die Opfer finden die digitalen Schädlinge in den E-Mail Adressbüchern der verseuchten Rechner. Damit wird zwar zusätzlicher Datenverkehr erzeugt, aber das ist oft nur die Spitze des Eisbergs. Die Viren installieren heimlich so genannte Backdoor-Programme. Die ermöglichen dem Hacker mittels so genannter Remote Procedure Calls (RPC’s) ungehinderten und unbemerkten Zugriff auf die verseuchten Maschinen. Dabei hat er die gleichen Rechte wie der angemeldete Anwender. Er kann also alle Daten ausspionieren oder sogar vernichten.

Will sich der Hacker den Mailversand sparen, schleust er so genannte Würmer ins Netz, die sich automatisch verbreiten. Dazu nutzen diese Schädlinge meist die bekannten Schwachstellen der Betriebssysteme, die die Anwender leichtsinnigerweise nicht geschlossen haben. Das Programm nistet sich im Rechner ein und sucht nach weiteren verwundbaren Maschinen, die es ebenfalls befällt. Dann arbeitet er wie die Viren: er öffnet die Maschine für seinen Herrn und Meister.

Der Filmversion des Hackertums kommen die automatisierten Angriffe am nächsten. Hat der Hacker Basisinformationen eines Netzwerks, so kann er versuchen, sich als Anwender anzumelden. Dazu versucht er es mit Anwendernamen, die er aus den Internetauftritten ableitet oder mit den Standard-Administratornamen wie „root“ oder „administrator“. Die Passwörter lässt er von einem Programm erzeugen: Entweder aus einer der Listen, die im Internet kreisen oder per so genannter Brut Force Attacke, bei der die Kennwörter systematisch aus Buchstabenkombinationen zusammengesetzt werden. Hat sich ein Angreifer erst einmal Zugriff verschafft, ist es nur per Zufall möglich ihn zu entdecken, solange er sich nicht auffällig verhält.

Allen Angriffsarten ist eines gemeinsam: Sie nutzen Automatisierungsfunktionen der Betriebssysteme, wie zum Beispiel die RPC Funktionen. Diese sind implementiert, um Rechner auch über Netzwerke verwalten zu und fernsteuern zu können. Viele Dienste, die täglich angewendet werden und ohne die eine reibungslose Arbeit im Netzwerk nicht möglich wäre, beruhen auf diesen Automatisierungen. Damit ist allerdings auch dem Missbrauch Tür und Tor geöffnet. Hacker stürzen sich mit Vorliebe auf Schwachstellen in den Betriebssystemen, die zwar bekannt, aber oft nicht geschlossen sind. Allerdings zeigt Sicherheitsexperte Pampus Verständnis für die Firmen: „Patchmanagement ist teurer als proaktive Maßnahmen.“ Unter proaktiven Maßnahmen versteht der Fachmann die Analyse des Datenflusses zwischen dem Internet und dem Firmennetz.

Schutzmechanismen untersuchen dabei, welche Datenpakete zwischen den IP-Adressen von Maschinen im Firmennetz mit Adressen in den Weiten des Internet ausgetauscht werden. Datenpakete erreichen ein Firmennetz wild durcheinander gewürfelt von den verschiedensten Absendern an die unterschiedlichen Empfänger. Aus einzelnen Paketen lässt sich allerdings in Regel kein Angriffsmuster erkennen, dazu sind die Datenhappen zu klein. Deshalb muss der Datenverkehr zwischen zwei Stationen bzw. IP-Adressen über eine gewisse Zeit beobachtet werden. darin können Analysetools dann die typischen Angriffsmuster erkennen, die bei Hackerattacken benutzt werden. Suspekte Datenströme lösen dann die definierten Schutzmechanismen aus: Administratoren werden alarmiert, Verbindungen werden gekappt, Arbeitsplatzrechner werden isoliert etc.

Die Erkennungsalgorithmen die Hackern auf die Spur kommen sollen, basieren auf der Forschung von Unternehmen wie ISS und öffentliche Organisationen wie US-CERT. Dazu beobachten die Experten zum einen die Aktivitäten in den einschlägigen Hackerszenen und deren Internetforen. Zum andern werden Betriebsysteme und Anwendungen systematisch auf Schwachstellen hin untersucht. „Mit den Algorithmen versuchen wir auch neue Angriffsmuster zu erkennen“, unterstreicht Fachmann Volker Pampus.

Dazu dienen auch die Erkenntnisse, die bei Einbrüchen oder Einbruchsversuchen von Hackern gewonnen werden. Wenn ein Analyseteam verwundbare Punkte entdeckt, erfolgt sofort eine Meldung an den Hersteller. Im Falle von Windows wäre das Microsoft. Dieser hat dann Zeit, die neu entdeckte Lücke zu stopfen. „Die Stillhaltezeit beträgt 30 Tage“, offenbart Volker Pampus. Hat der Hersteller allerdings keine Lösung und es dringt nichts an die Öffentlichkeit, wird die Information nur einem ganz eingeweihten Kreis präsentiert. Schließlich sollen Hacker nicht auf die Spur einer neuen Angriffmöglichkeit gebracht werden.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%