PC-Überwachung: Feindliche Übernahme

Eine Überwachung beginnt unscheinbar. Irgendjemand ruft freundlich bei dem Lebenspartner der Zielperson an, vorgeblich im Auftrag des Arbeitgebers. Dringend wird gebeten, ein Dokument an die Adresse arbeitgeber@gmail.com zu schicken. Oder eine Papiermülltonne spuckt jene Notizen aus, auf denen man Passwörter oder Eselsbrücken notierte. Oder jemand liefert Pizza und verschafft sich so Zutritt zur Wohnung. Oder er gibt vor, den Wasserstand ablesen zu wollen.

Es sind die üblichen Gelegenheiten, die sonst auch Diebe machen. Nur dass diesmal der suchende Blick vor allem die gelben Klebezettel am Monitor kontrolliert. Ein ermitteltes Passwort öffnet verschlossene Türen. Ganz ohne Technik an das Ziel der Wünsche zu kommen, ist eine leichte Übung für geschulte Mitarbeiter der Sicherheitskräfte.

Doch das "Social Engineering" ist lediglich ein Vorgeplänkel. Zu Kontrolle der Massen ist es ernsthaft nicht zu gebrauchen, weil zu aufwändig, zu auffällig. Wenn also spielen nicht hilft, wird angegriffen - mit roher Gewalt. Eine "Brute Force Attacke" versucht ein Passwort zu erraten, millionenfach. Gut gepflegte Wörterbücher werden benutzt, die die beliebtesten Buchstabenfolgen enthalten, einfache Varianten werden kombiniert. Ein Rechner im Hintergrund macht das klaglos wochenlang, während der Mensch sich feineren Methoden widmet.

Zum Beispiel dem gezielten Lauschen - "Sniffen" genannt. Dabei wird der Netzwerkverkehr zu und von einer Internetadresse protokolliert und analysiert. E-Mails jagen unverschlüsselt durch die Leitung. In einer von tausend steht das brisante Passwort. Zentrale Server werden beim Einbinden von Internet-Laufwerken angesprochen und fragen in bekannten Mustern nach Authentifizierung, die entschlüsselt und dann wiederholt werden kann. Bekommt man Zugriff auf den Rechner, ist der schwerste Schritt geschafft. Zudem wird ein Passwort oft mehrfach benutzt. Ein Versuch, dieselbe Eintrittskarte an anderen Eingängen vorzuzeigen, lohnt bestimmt. Genauer: Millionen Versuche - mit einem Klick. Aber das Schnüffeln kann dauern, bei vorsichtigen Leuten zu lange.

Freimütige Pförtner

Schneller geht es, wenn das Opfer nach möglichen Verletzbarkeiten abgetastet wird - ein "Vunerability Scan". Jede virtuelle Leitung, die Bits entgegennimmt, also auch jede Verbindung ins Internet, ist eine Tür. Ein gutes Dutzend sind auf normalen Rechnern erreichbar.

Machen sie einen Test: Start-Ausführen->'command'->'netstat -a'. Schon sehen Sie eine Liste mit den offenen Ports ihres Rechners. Es sind Dateneingänge, die ankommende Pakete entgegennehmen: TCP, UDP, ICMP. Schließen Sie sie. So genannte "Personal Firewalls" helfen dabei, sofern sie richtig konfiguriert sind.

An jedem Dateneingang steht ein Pförtner, eine Software, die Datenpakete öffnet und auf Kommandos untersucht, die anschließend aufzuführen sind. Freimütig und verbindlich geben die dienstbaren Geister bei einem "Port-Scan" von außen Auskunft über ihre Identität, welchen Zweck sie haben, in welcher Version sie existieren. Natürlich sollten nur "gute" Pakete akzeptiert werden. Also solche, die in Form und Inhalt dem angebotenen Dienst entsprechen und nichts anderes machen können, als beispielsweise eine Grafik an den Browser zu liefern. Aber die Kunst der Tarnung ist in der Datenwelt sehr weit entwickelt. Da Standards die Normen offen dokumentieren, ist eine harmlose äußere Hülle notwendig. Die allerdings ist leicht zu haben.

Automatisiert wird eine Tür nach der anderen abgeklopft, bis ein Programm antwortet, das einen bekannten Bug enthält.

Nun platzt die Bombe. Ein "Exploit" wird ausgeführt: Dem Pförtner wird ein Paket übergeben, dass vorgeblich Nutzdaten, tatsächlich jedoch vorbereiteten Code enthält. Das Prinzip ist einfach: Der Code ist zu lang. Weil Einreisekontrollen auch im Computer umständlich und langsam sind, versucht der Pförtner, das Paket ungeprüft in das vorgesehene Speicherfach zu stopfen. Was dort nicht hineinpasst, fließt in das benachbarte Fach, das leider nicht für die Aufbewahrung von Nutzdaten vorgesehen ist, sondern für die Speicherung von Befehlen. Schon ist aus Daten, die als Bild hereinkamen, ein Killerkommando geworden.

Klare Befehle brauchen wenig Platz. In Maschinencode (Assembler) geschrieben ist das Programm zum Nachladen einer Datei aus dem Netz unscheinbar klein. Den Befehl zum Ausführen der frischen Datei bringt das nächste Killerkommando. Damit kann ein kleiner Server auf dem Rechner des Opfers gestartet werden, der sich selbst versteckt und auch für Virenscanner unsichtbar macht. Der "Trojaner" ist am Ziel. Er öffnet eine Hintertür, über die sehr komfortabel die komplette Kontrolle übernommen wird. In aller Ruhe kann man von anderswoher die vorhandenen Daten untersuchen oder die Rechenleistung des eroberten Rechners zum eigenen Zweck nutzen - ein "Zombie" ist erwacht.

Der komplette Vorgang - Scannen, Aufmachen, Nachladen, Kontrollieren - ist tatsächlich kompliziert. Doch er lässt sich in Software gießen, die wie jedes Programm beliebig kopiert und verbreit werden kann. Hunderte von Angriffsvarianten lassen sich unter einer Oberfläche vereinen, die eine gängige Textverarbeitung an Komfort übertrifft. Nur der erste Kämpfer muss den Schutzwall mit eigener Geisteskraft durchdringen - die Armee kann seinem Pfad durch alle identischen Wälle folgen. Kinderleicht. Beamtentauglich.

Wie kann man sich schützen?

Vorsicht und Sensibilität sind die wichtigsten Voraussetzungen. Sicherheit beginnt beim Betriebssystem. Manchen wird unterstellt, dass sie mit voller Absicht versteckte Türen enthalten, die von staatlichen Organen mit entsprechender Lizenz genutzt werden können. Natürlich ist das ganz und gar unvorstellbar - es könnte so ja jedermann eintreten, der einen Ausweis fälschen kann - und das System wäre als unsicher diskreditiert. Nur bei Software und Betriebssystemen, bei denen der Quellcode für jedermann einsahbar ist, wie z. B. Linux, kann mit absoluter Sicherheit geprüft werden, welche Befehle was bewirken.

Hat man ein sicheres Betriebssystem, muss man seine Schutzmaßnahmen aktivieren. Unnötige Angebote nach außen müssen deaktiviert werden. Dazu sollte man gezielt entsprechende Dienste abschalten. Denn wo nichts ist, wird nichts gehackt. Der Schutz der Verbindungen kann aber auch von einer zusätzlichen Software - einer Firewall - übernommen werden, die nur bekannten Systemen Netzkontakt erlaubt und sich nach außen taub stellt. Natürlich gilt, dass beide Strategien - Abschaltung und Schutz - gemeinsam mehr Erfolg versprechen.

Allerdings: Wenn man alle Dienste abschaltet, ist kein Kontakt zum Netz mehr möglich. Und eine Firewall ist auch nur Software, die Löcher haben kann. Ganz sicher vor Angriffen aus dem Netz ist nur, wer den Stecker zieht - oder sensible Daten nur auf Computern speichert, die nicht direkt mit dem Internet verbunden sind.

Veröffentlichung mit freundlicher Genehmigung von ZEIT online ()