Glossar : Angriffe und Sicherheit im Netz

Phishing, Social Engineering, Hack - im gegenwärtigen Daten-Diskurs verliert man leicht den Überblick. Eine Erklärung der wichtigsten Begriffe.

Patrick Reichelt

Im Netz möglichst wenige Spuren hinterlassen, sollte Ziel von Privat- und Amtspersonen sein.
Im Netz möglichst wenige Spuren hinterlassen, sollte Ziel von Privat- und Amtspersonen sein.Foto: Odd Andersen / AFP

Leak

Ein Leak, so auch die Übersetzung aus dem Englischen, ist eine undichte Stelle. Im Zusammenhang mit Cyberkriminalität ist damit zumeist jemand gemeint, der vertrauliche Informationen bestimmter Institutionen an die Öffentlichkeit weitergibt, also „leakt“. An diese Informationen können zum Beispiel Hacker durch die Umgehung der IT-Sicherheitssysteme dieser Institutionen gelangen. Allerdings können auch Personen, die in den jeweiligen Institutionen arbeiten, deren geheime Informationen weitergeben. Diese werden dann „Whistleblower“ genannt. Ein prominentes Beispiel für einen „Whistleblower“ ist der ehemalige Mitarbeiter des amerikanischen Auslandsgeheimdienstes CIA, Edward Snowden, der die weltweite Spionage durch vor allem amerikanische und britische Geheimdienste offenlegte.

Hack

Bei einem Hackerangriff wird in der Regel versucht, das ganze System einer bestimmten Institution zu manipulieren oder Daten zu kopieren – es wird also in ein fremdes System eingebrochen. Dazu können zum Beispiel Sicherheitslücken des jeweiligen Netzwerkes einer Institution ausgenutzt werden, um Zugriff auf das System zu bekommen. Daraus ergibt sich die Herausforderung, gegen die professionelle Hacker-Szene Sicherheitsmechanismen zu entwickeln, um sensible Daten zu schützen.

Social Engineering

Beim sogenannten Social Engineering stellen Hacker direkten Kontakt zu ihren Opfern her – oft per Telefonanruf. Sie geben sich als Vorgesetzte, Techniker oder Polizisten aus, um an sensible Daten wie Passwörter oder Bankdaten zu gelangen. Dabei machen sie sich oft die Autoritätshörigkeit vieler Menschen zunutze oder versuchen ein Vertrauensverhältnis herzustellen. Weil immer mehr persönliche Informationen im Netz frei verfügbar sind, kann die Ansprache auf einzelne Menschen zugeschnitten werden; dadurch wirken die Forderungen glaubwürdiger. 2015 sorgte ein Fall für Aufmerksamkeit: Einem Teenager gelang es, sich Zugang zu dem privaten E-Mail-Account des damaligen CIA-Direktors John Brennan zu verschaffen. Er gab sich als Mitarbeiter eines Mobilfunkanbieters aus und kam so an die Kreditkartennummer von Brennan. Damit konnte er sich Zugang zu Brennans Mail-Account verschaffen und sensible Dokumente einsehen.

Phishing

Phishing, ein Kunstwort, zusammengesetzt aus „Password“ und dem englischen Begriff für angeln (to fish), meint genau das – es wird nach Passwörtern beziehungsweise privaten Daten gefischt. Dazu verschicken Internet-Betrüger zum Beispiel E-Mails oder Kurznachrichten und tarnen sich dabei meistens als seriöses Unternehmen, etwa als Bank – und das häufig täuschend echt. Die Empfänger einer solchen Nachricht werden dann beispielsweise dazu aufgefordert, bestimmte Daten zu ändern (zum Beispiel Kreditkarteninformationen) oder werden von gefälschten Informationen aufgeschreckt – etwa dass sie ein teures Produkt gekauft hätten. Im Anschluss wird dann zum Beispiel dazu aufgefordert, Daten auf einer Homepage einzugeben oder bestimmte Dateien zu öffnen, wodurch die Betrüger an die Informationen des Geschädigten kommen können. Phishing ist eine spezielle Form des Social Engineering.

Zwei-Faktor-Authentisierung

Sie soll für mehr Sicherheit sorgen und wird bereits von vielen Onlinediensten angeboten. Wie der Name schon sagt, muss sich der Nutzer dabei mit zwei unterschiedlichen Faktoren identifizieren. Ein einfaches Beispiel: Beim Abheben von Bargeld benötigt man die Bankkarte und die PIN – also zwei voneinander getrennte Anmeldeinformationen. Ähnlich funktioniert es auch bei vielen E-Mail-Diensten, wie etwa Google Mail oder Apple: Man meldet sich zunächst mit Passwort und Anmeldename an. Dies führt jedoch nicht direkt zum gewünschten Inhalt, sondern zu einer weiteren Schranke. Bei vielen Diensten bekommt man einen Code per SMS geschickt, den man eingeben muss, oder man bestätigt auf dem Smartphone den Anmeldevorgang. Erst dann hat man den vollen Zugriff auf seine Daten. Kriminellen wird es dadurch erschwert auf den Account zuzugreifen, auch wenn sie im Besitz des Passwortes sind.

Mehr lesen? Jetzt E-Paper gratis testen!

0 Kommentare

Neuester Kommentar