In den Medien werden sie oft mit schwarzem Kapuzen-Pulli dargestellt. In dunklen Räumen sitzen sie vor einem Computer und dringen in fremde Computernetzwerke ein. Während unverständliche Zeichenkolonnen über den Monitor flimmern, findet ein Hack statt.
Hacker bezeichnet in der Alltagssprache einen Menschen, der sich mit einem Computer Zugang zu geschlossenen Netzwerken verschafft, um dort Daten zu stehlen oder zu beschädigen. Doch wie geht hacken? Was genau ist eigentlich Hacking und ist es immer illegal?
In Deutschland hat Hacking eine besondere Bedeutung. Ursache dafür ist der Chaos Computer Club, eine Hackergruppe. Der eingetragene Verein hat sich, seit er in den 1980er Jahren gegründet wurde, mit den Chancen für die Menschheit beschäftigt, die in der Computertechnik stecken. Im folgenden Ratgeber erfahren Sie, welche Folgen ein Hackerangriff haben kann, wie Hackerprogramme funktionieren und was Hacker schon für die Gesellschaft getan haben.
Inhalt
FAQ: Hacker
Hier erfahren Sie, wie der Begriff des Hackings definiert ist und welchem Umstand sich Hacker für ihre Taten zunutze machen.
Eine Übersicht der Zugänge, die Hacker nutzen können, um an Ihre Daten zu gelangen, finden Sie hier.
Wie die Gesetzeslage zur Bestrafung von einem Hacker in Deutschland aussieht, können Sie hier nachlesen.
Hacking – Eine Definition
Wenn Hacker im Fernsehen dargestellt werden, wird vor Allem eins klar: Hacking ist kompliziert und es geht meist um Cyberkriminalität. Um das Prinzip zu verstehen, mit dem beispielsweise ein WLAN durch einen Hack übernommen wird, muss erst einmal angenommen werden, dass jede Anwendung auf datenverarbeitenden Geräten, von der Textverarbeitung bis zur Passwortabfrage, ein geschriebenes Programm ist.
Programme sind in der Regel viele Zeilen Maschinencode mit wenn-dann-Funktionen. In all diesen Zeilen Text kann sich der ein oder andere Fehler (Bug) einschleichen, ohne dass die Funktionalität des Programmes eingeschränkt wird. Damit gibt es am Ende auch kein Indiz dafür, dass ein Fehler existiert.
Wie wird ein Hack vorbereitet?
Um einen wirksamen Fehler (Exploit) zu finden, mit dem sich beispielsweise ein Account hacken lässt, muss ein Hacker den Quellcode des Programmes lesen und verstehen, mit welchem Konzept der Entwickler den Code entwickelt hat. Nach der Einarbeitung beginnt eine Experimentierphase. Das Programm wird mit verschiedenen Eingaben gefüttert und an seine Grenzen gebracht.
Lässt sich ein unerwartetes Ergebnis finden, das mit der gleichen Eingabe immer wieder auftaucht, hat der Hacker einen Bug gefunden. Wenn dieser Bug dann auch einen wirksamen Effekt hat, ist er auch ein Exploit. Dieser Effekt könnte sein, dass eine Passwortabfrage übersprungen wird oder Datensätze ausgegeben werden, die nicht sichtbar sein sollten.
Welche Gefahren birgt ein Hackerangriff?
Ist einem Hacker oder einer Hackergruppe ein Exploit bekannt, kann unterschiedliches damit passieren.
- Geheimhaltung: Manche Hacker suchen nur zum Spaß nach Bugs und Exploits. Es geht ihnen darum sich mit den Entwicklern zu messen und die Konzepte anderer Programmierer kennenzulernen.
- Verbreitung: Einige Hacker verbreiten ihre Funde in speziellen Foren. Dort tauschen sie sich mit Gleichgesinnten aus und stellen beispielsweise Zugänge zu kostenpflichtigen Bibliotheken online.
- Veröffentlichung: Verantwortungsbewusste Hacker veröffentlichen die Bugs, die sie finden. Damit können die Fehler beseitigt werden und die Zustände in der Entwickler-Branche werden damit sichtbar. Speziell bei Software, die von staatlichen Stellen eingesetzt wird, kam es so in der Vergangenheit zu spektakulären Entdeckungen.
- Verkauf: Der moderne Markt hat bereits auf die Hacker reagiert und sogenannte Bug-Bountys ausgesetzt. Diese Kopfgelder auf Fehler werden von IT-Firmen und auch von Geheimdiensten benutzt, um im Wettbewerb um das sicherste Netzwerk und die beste Verschlüsselung einen Vorsprung zu haben. Während die Firmen die Information benutzen, um Fehler zu beseitigen, verwenden die Geheimdienste sie gezielt, um Zugriff auf geschützte Netzwerke zu bekommen.
Mit diesen Möglichkeiten wird klar, dass das Schadenspotenzial, das in einem Hack steckt, enorm groß ist. Auf der anderen Seite jedoch ist auch der mögliche Nutzen für die Gesellschaft mindestens so groß, wie die Gefahren.
Mögliche Zugriffsstellen für Hacker
In der Alltagssprache wird der Begriff hacken für viele verschiedene Arten eines Angriffs benutzt. Diese Übersicht soll verschiedene Arten einen Hack zu verüben kurz erläutern.
- Handy oder Telefon hacken – Zugriff auf Speicher, Daten- und Telefonverbindungen eines Festnetztelefons oder Smartphones; vergleichbar mit der Überwachung durch die Polizei
- Passwort hacken – Erlangung eines Zugangs durch eine Brute-Force-Attacke gegen ein passwortgeschütztes System
- Computer oder PC hacken – Unrechtmäßiger Zugriff auf einen fremden Computer; meist unter Umgehung einer Zugangsbeschränkung (Passwortschutz)
- Website hacken – Eindringen in ein Serversystem mit dem Ziel eine dort hinterlegte Website zu ändern oder einen Datenspeicher zu kopieren
- Email hacken – Mitlesen oder Abfangen einer Emailverbindung; Änderung von Inhalts- oder Metadaten (Absender, Zeitpunkt des Versand usw.)
- Account hacken – Übernehmen eines einzelnen Benutzerkontos bei einem Anbieter (YouTube, Twitter o.ä.); meist über unsichere Passwörter oder Brute-Force-Programmen
- Router hacken – Zugang zu einem fremden Router erlangen; in der Vergangenheit gab es vielfältige Sicherheitslücken, die erst nach einem Vorfall geschlossen wurden
- Server hacken – Zugriff auf einen fremden Rechner; vergleichbar mit dem Hacken eines PC
- Netzwerk hacken – Eindringen in ein Netz aus mehreren Computern; Kontrolle über die Datenverbindungen im Netzwerk
Doch neben dem Computer-Hacken gibt es noch andere Formen des Hacking, die gern im Schatten der Software vergessen werden. Im folgenden Teil erfahren sie mehr zu anderen Formen des Hackens, die aber ebenso schädlich sein können, wie der Ausfall eines Systems durch hacken.
Alternative Hacking Methoden
Der Begriff des Hackens bezeichnete ursprünglich die Verwendung eines Gerätes zu einem anderen Zweck als sich der Entwickler das gedacht hat. Der Computer-Aktivist Wau Holland sagte einmal:
„Ein Hacker ist jemand, der versucht eine weg zu finden, wie man mit einer Kaffeemaschine einen Toast zubereiten kann“
Heutzutage kann der Hacker-Begriff in beinahe jedem Umfeld sinnvoll eingesetzt werden. Überall, wo ein vom Menschen gemachtes System wirkt, kann ein Hacker ansetzen, um sich Zugang zu verschaffen. Dazu muss das System nicht einmal elektronisch sein. Beim „Social Engineering“ greift ein Hacker ein soziales System an und mit sogenannten Life-Hacks, kann der Alltag für jeden vereinfacht werden.
Social Engineering
Die einfachste Möglichkeit ein Passwort zu hacken besteht darin, es vom Besitzer zu erfragen. Nur zu oft sind Menschen bereit Zugangsdaten weiterzugeben. Da Zugangssicherungen meist als störend empfunden werden und das Konzept nicht ausreichend klar ist, war es schon häufig möglich, Passwörter zu hacken, indem danach gefragt wurde. Ist der Besitzer des Passworts davon überzeugt, dass der Fragende einen guten Grund hat, wird der Schlüssel häufig herausgegeben.
Social Engineering wird einfacher, je anonymer die Gruppe von Leuten ist, die einen glaubhaften Grund haben können, das Passwort aus dem Beispiel oder eine andere Form von Schlüssel zu brauchen. Oft verwenden Hacker dazu soziale Netzwerke, in denen die Opfer nur zu bereitwillig private Informationen veröffentlichen, mit denen dann eine gemeinsame soziale Grundlage inszeniert wird. So kann der Hacker vor dem Hintergrund einer gemeinsamen Vergangenheit Dinge erfahren, die nur Insidern bekannt sein sollten.
Spotting – Fremde im Büro? Das sind bestimmt Techniker
Eine andere Technik, um an Passwörter und Zugänge zu kommen ist das klassische Spionieren. So wurden bereits viele Formen Opfer von Spotting- oder Digging-Attacken. Besonders Spotting erstaunt die Betroffenen immer wieder, da viele nicht mit dem Maß an Dreistigkeit rechnen, das dazu notwendig ist. Bei dieser Form des Hackings verkleidet sich der Hacker als Lieferant, Techniker oder als eine andere fremde Person, die aus nachvollziehbaren Gründen im Betrieb ist.
Einmal in den Räumen der Firma versuchen sie, sich so viel wie möglich von dem zu merken, was sie sehen. Dabei greifen Spotter auch auf Kameras und andere technische Ausrüstung zurück. Wegen lockerer Sicherheitsbestimmungen und der Tatsache, dass Fehler passieren, können so Passwörter und andere Zugangsdaten abgegriffen werden. So wird es ein Leichtes einen Zugang zu hacken.
Digging – Wertvolle Informationen aus Müll
Auch außerhalb der Betriebsräume können sich Personen mit ausreichend krimineller Energie Informationen über interne Vorgänge beschaffen. Digging bezeichnet den Vorgang bei dem Müllcontainer nach verwertbaren Dokumenten und Notizen durchforstet werden. Meist in einer Nacht-und-Nebel-Aktion verschaffen sich die Hacker Zugang zum Gelände, öffnen Müllbehälter und untersuchen im Schein einer Taschenlampe den Papiermüll nach Informationen, die dazu verwendet werden können, einen Zugang zu schaffen.
Diese Methoden können durch einfache Regeln der Datensicherheit, wie professionelle Aktenvernichtung, blockiert werden. Jedoch bleiben vielen Menschen die Wichtigkeit und die Bedeutung von IT-Sicherheit verborgen. Damit wird der Mensch zur größten Sicherheitslücke. Eine Studie in Deutschland und Luxemburg zeigte, dass beinahe jeder Zweite bereit war, für eine Tafel Schokolade sein persönliches Passwort zu verraten.
Dieses Ergebnis zeigt, wie wenig Sensibilität für das Thema Datensicherheit in Bezug auf Hacking existiert. Dazu wurde im Datenschutzgesetz die Position des Datenschutzbeauftragten geschaffen. Im Betrieb sorgen sie dafür, dass jeder Mitarbeiter die Gesetze des Datenschutzes beachtet.
Die Gesetzeslage – Datenschutz und der Hackerparagraph
Das deutsche Datenschutzgesetz (BDSG) verpflichtet die Menschen, die große Datenmengen verarbeiten, zum Schutz der Daten. Ebenso ist die Illegalität der unberechtigten Zugänglichmachung im Strafgesetzbuch (StGB) geregelt. Als Unterpunkt des § 202 StGB (Briefgeheimnis) ist in den Paragraphen § 202a bis § 202c das Abfangen, Ausspähen wie auch die Vorbereitung einer solchen Tat unter Strafe gestellt. Da das Fernmeldegeheimnis ein verfassungsmäßiges Recht ist ein Angriff darauf gegen das Staatsrecht gerichtet.
Besonders § 202c StGB steht dabei in der Kritik zu allgemein und ungenau zu sein. Die von einem Hacker entwickelten Programme, die Sicherheitslücken ausnutzen, sind durch dieses Gesetz verboten. Genauer stehen Herstellung, Verschaffung, Verkauf, Überlassung, Verarbeitung und Zugänglichmachung unter Strafe. Dabei ist der Anwendungsbereich nicht abgegrenzt und keine legale Nutzung der Hackersoftware möglich, auch nicht zum Testen der eigenen Programme für Sicherheit in der IT. Unternehmen, die gezielt nach Schwachstellen suchen und Schutz anbieten wollen, könnten von legalen Benutzung einer solchen Software profitieren.
Die Ethik der Hacker
Da sich die Szene der Hacker seit den 1980er Jahren entwickelt, haben sich bereits viele Hack-tivisten (sprachliche Mischung aus Hacker und Aktivist) mit der Hackerethik auseinandergesetzt. Zum ersten Mal wurde sie in dem Roman „Hacker“ von 1984 beschrieben. Seit dem wurde viel darum diskutiert, welche Grundsätze akzeptabel sind. Am Anfang standen sechs Punkte, nach denen sich eine Gesellschaft von Hackern richten soll.
- Freier Zugang zu Computern
- Freier Zugang zu Wissen
- Meritokratische Wertschätzung (Fähigkeiten sind das Maß für Status in der Gruppe)
- Dezentralisierung und Misstrauen gegenüber zentralen Autoritäten
- Es ist möglich mit Computern Kunst und Schönheit zu erschaffen
- Die Verbreitung von Technologie macht die Erde zu einem besseren Ort
Noch heute werden diese Regeln heiß in Hackergruppen diskutiert. Es wird gestritten, welche Punkte zwingend nötig sind und welche utopisches Wunschdenken sind.
So haben die Hacker und Haeksen (weibl. Hacker) des Chaos Computer Club (CCC) ihre eigene Variante der Hacker-Ethik verfasst und veröffentlicht.
- Der Zugang zu Computern und allem, was einem zeigen kann, wie die Welt funktioniert, sollte unbegrenzt und vollständig sein.
- Alle Informationen müssen frei sein
- Mißtraue Autoritäten – fördere Dezentralisierung
- Beurteile einen Hacker nach dem was er tut, und nicht nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung.
- Man kann mit einem Computer Kunst und Schönheit schaffen.
- Computer können dein Leben zum Besseren verändern.
- Mülle nicht in den Daten anderer Leute
- Öffentliche Daten nützen, private Daten schützen
Die Geschichte der deutschen Hacker – Der Chaos Computer Club (CCC)
Die Historie der deutschen Hackerszene ist von einem ständigen Auf-und-Ab gekennzeichnet. Die erste medienwirksame Aktion der Gruppe fand schon 1984 statt. Der Btx-Hack führte der deutschen Bevölkerung vor, wie unsicher das System der Bundespost war, mit dem bereits frühe Formen des Online-Banking möglich waren.
Durch einen Bug in der Programmierung gab das Btx-System unter bestimmten Umständen Zugangsdaten und Passwörter als Klartext aus. Auf diese Weise konnte der CCC in einer Nacht 135.000 DM erbeuten. Nachdem die Aktion von Seiten des Clubs selbst aufgedeckt wurde, wurde das Geld zurückgegeben.
Seit dem gelten die Mitglieder der Gruppe, die sich inzwischen zum eingetragenen Verein gemausert hat, nicht mehr als potenziell gefährliche Hacker, sondern als Experten für Datenschutz und –sicherheit. Immer wieder werden sie in den Bundestag geladen, um dort als Sachverständige zu sprechen. Auch bei anderen gesellschaftlich relevanten Themen, die auch nur entfernt etwas mit elektronischer Datenverarbeitung zu tun haben, hat der CCC eine meist fundierte Meinung und betreibt viele gemeinnützige Projekte.
Soziales Engagement der Hacker in der deutschen Szene
Durch den Einfluss des CCC und deren Ansatz der Dezentralisierung, fühlen sich viele Hacker dem Verein und seinen Prinzipien zugeneigt. Verschiedene Projekte, die ihren Ursprung im CCC haben, haben mediale Resonanz erzeugt. So beispielsweise die Installation Blinkenlights, die 2001 das Haus des Lehrers auf dem Alexanderplatz in Berlin erstrahlen ließ. Ein Jahr später wurde die Aktion in Paris, 2008 in Toronto wiederholt. Mit Blinkenlights wird einer der Grundsätze der Hackerethik verdeutlicht. Es ist möglich mit Computern Kunst und Schönheit zu erschaffen.
Eine weitere Leistung der Hackergruppe ist es, immer wieder auf die mangelhafte Situation in verschiedenen Bereichen von Regierung und Gesetzgebung hinzuweisen. So wurde die Aussage der deutschen Regierung, dass der Fingerabdruck im Personalausweis ein sicheres Mittel zur Identifikation ist, widerlegt. Beweis war ein Fingerabdruck des Innenministers Wolfgang Schäuble, der gestohlen und veröffentlicht wurde. Zusammen mit dem Abdruck gab es eine Anleitung, wie Fingerabdrücke künstlich platziert werden können. Damit war gezeigt, dass der Fingerabdruck als Beweis vor Gericht nicht unfehlbar ist.
Ich werde massiv von einem Hacker angegriffen und nach wochenlangen recherchen, habe ich den Hacker auswendig gemacht! Das ist ein Russe …
WOHNORT Kiel … ich habe viele Beweise, kann aber keine E-Mail versenden, empfangen, da meine ganzen Geräte, mittlerweile blockiert sind. Kommende Woche kommt ein Techniker ( Ich hoffe ) !
Ich habe in Raum Hamburg keinen Anwalt gefunden,wurde immer wieder abgelehnt aus Unkenntnis mit Computer uns Hackern !
Mit freundlichen Grüßen !
Eine umfangreiche Aufklärung darüber, was Hacking ist. Vielen Dank für diesen wertvollen Beitrag, der das Licht auf die Personen verbessert die langfristig für mehr IT-Sicherheit sorgen. Das ist leider noch nicht überall hin vorgedrungen.
Beste Grüße vom AWARE7 Team