Vergangene Woche hatte eine neue Serie Premiere im US-Fernsehen (USA Network): Mr. Robot, ein Hacker-Drama-Serie mit Ramik Malek und Christian Slater. Heute warten Fans gespannt auf die zweite Folge von Mr. Robot. Im deutschen Fernsehen ist die Serie leider noch nicht verfügbar, wir haben uns dennoch die erste Folge schon einmal angesehen und bei unserem Sicherheitsexperten Pedram Amini nachgefragt: Könnten die gezeigten Hacks Unternehmen und uns persönlich auch im echten Leben treffen?
Die Serie dreht sich um den Hauptcharakter Elliot, der bei Tag als Cybersecurity-Experte arbeitet und bei Nacht zum Hacker wird.
Schon in der zweiten Minute der ersten Folge geht’s richtig los: Wir sehen Elliot, wie er mit Rajid, dem Besitzer eines Cafés, spricht. Er erklärt, dass er den WLAN-Verkehr des Cafés abfing, woraufhin er entdeckte, dass Rajid eine Kinderpornographie-Website betrieb.
Stefanie:Wie wahrscheinlich ist es, dass mich jemand hacken kann, während ich mit einem offenen WLAN-Hotspot verbunden bin?
Pedram: Jeder mit etwas technischem Basiswissen kann kostenlos Software herunterladen, die es ermöglicht, den Internetverkehr und die Aktivitäten anderer im offenen WLAN mitzuverfolgen. Wir sind selbst mit einem Expertenteam in neun Städte in Asien, Nordamerika und Europa gefahren, um ein weltweites ein WLAN-Experiment durchzuführen. Dabei haben wir herausgefunden, dass ein Drittel der WLAN-Netzwerke offen, also ohne Passwortschutz sind – in Berlin waren es 26 Prozent. Wer ein offenes WLAN nutzt und Websites besucht, die das HTTP-Protokoll nutzen, also nicht das sichere HTTPS-Protokoll, muss damit rechnen, dass Hacker sämtliche Browsingaktivitäten mitverfolgen können, z. B. Artikel, die man auf Wikipedia liest, Suchbegriffe bei Bing oder Produkte, nach denen man bei Amazon oder eBay sucht – solange man nicht im Shop eingeloggt ist.
Stefanie: Wow, das klingt ja recht unheimlich... Wie kann ich mich denn dann schützen?
Pedram: Du kannst Dich im offenen WLAN mit einem Virtual Private Network (VPN) schützen. Ein VPN stellt einen virtuellen Tunnel her, durch den der Webverkehr zu einem Proxy-Server geleitet wird. Der Proxy-Server schützt Deine persönlichen Daten und verhindert, dass Hacker darauf zugreifen können.
Wir haben in einer Umfrage herausgefunden, dass 72 Prozent der Deutschen, die öffentliche WLANs nutzen, Netzwerke bevorzugen, die keine Passworteingabe erfordern. Zugleich nutzen nur 9 Prozent der Befragten im offenen WLAN einen Proxy oder VPN.
Wir spulen vor zu Minute 10:55. Wir sehen Elliot mit seiner Psychotherapeutin Krista, die er hackte. (Hacking ist wohl eindeutig sein Hobby...)
Stefanie: Elliot sagt, dass es einfach war, Krista zu hacken, da ihr Passwort aus einer Kombination aus dem Namen ihres Lieblings-Musikers und ihrem Geburtsjahr rückwärts bestand. Wir wissen, dass es empfehlenswert ist, Passwörter komplex zu gestalten und mehr als acht Zeichen sowie einen Mix aus Buchstaben, Zahlen und Sonderzeichen zu verwenden. Aber halten sich Internetnutzer daran?
Pedram: Die meisten Leute haben leider keine komplexen Passwörter. Beispielsweise haben wir herausgefunden, dass ein Viertel der Deutschen seine Adresse, Telefonnummer, den eigenen Namen oder Namen der Kinder oder Haustiere als Router-Passwort verwendet. Wir haben sogar herausgefunden, dass auch Hacker einfache Passwörter einsetzen! In einer Studie haben wir entdeckt, dass die Passwörter der meisten Hacker nur sechs Zeichen lang sind und das am häufigsten verwendete Passwort war „Hack“.
Wer ein einfaches Passwort verwendet, das in einem Wöerterbuch steht oder aus persönlichen Informationen besteht, geht ein Risiko ein: Denn viel zu einfach lassen sich heute persönliche Informationen über Jedermann im Internet finden, via Google-Suche, Informationen bei Facebook und andere soziale Netzwerke. Mit etwas Geduld und Zeit lässt sich ein einfaches Passwort daher schnell herausfinden. Wer dann noch das gleiche Passwort für verschiedene Plattformen verwendet, macht es Hackern wirklich einfach.
Weiter geht es in Minute 25. Angela, Elliots Freundin aus Kindertagen und Kollegin, ruft ihn an und bittet um Hilfe, da E-Corp, ein internationaler Konzern, wurde Opfer eines DDoS-Angriffs.
Stefanie: Was ist ein DDoS-Angriff? Kann ein durchschnittlicher Computernutzer davon getroffen werden?
Pedram: DDoS steht für einen Distributed-Denial-of-Service-Angriff und wird eingesetzt, um einen Service zum Absturz zu bringen. In der Show erfahren wir später, dass der Angriff auf E-Corp mit Rootkits durchgeführt wurde, die mehrere Server infizierten, aber ich beschreibe im Folgenden den DDoS-Angriff. DDoS-Angriffe werden von zwei oder mehreren Teilnehmern ausgelöst – zumeist ist es eine ganze Armee an sogenannten „Robotern“, also z.B. Computer oder Router über die der Angreifer Kontrolle gewonnen hat, um sie fern zu steuern. Man nennt dies auch Botnet. Diese „Bots“ senden so viele Anfragen an einen Server, dass der Server überladen wird und seinen Dienst nicht mehr ausführen kann. DDoS-Attacken zielen häufig auf große Unternehmen oder Regierungen ab. Das heißt, dass der Privatnutzer nicht betroffen ist – außer er möchte den entsprechenden Dienst nutzen, der aber durch den DDoS-Angriff dann nicht mehr verfügbar ist.
Jedoch kann der Nutzer unbewusst Teil des DDoS-Angriffs werden. Wir haben eine Routersicherheits-Studie durchgeführt und herausgefunden, dass Millionen von Geräten verletzlich sind. Router sind rund um die Uhr mit dem Internet verbunden und können somit einfach missbraucht – und beispielsweise wie oben beschrieben von Hackern fremdgesteuert werden. Ein berühmtes Beispiel ist der Angriff auf das Sony-Playstation-Netzwerk und das Xbox-Netzwerk über Weihnachten 2014. Die Hacker-Gruppe, die sich zu den Angriffen bekannte, sagte, sie hätten ein Router-Botnet dafür verwendet. Zudem wurden dieses Jahr auch die Websites von Angela Merkel und des Deutsche Bundestags Opfer von DDoS-Attacken.
Um zu verhindern, dass der eigene Router Teil eines Botnets wird, sollten Nutzer ihre Firmware regelmäßig aktualisieren und einen Router-Scan durchführen, um zu prüfen, ob der Router Sicherheitslücken hat.
In Minute 55 versucht Elliot, den neuen Freund von Krista, Michael zu hacken. Er ruft Michael an und gibt vor, von dessen Bank aus anzurufen. Angeblich als Sicherheitsmaßnahme fragt er nach dessen Addresse und nach der Sicherheitsfrage für sein Bankkonto: Was ist sein Lieblings-Baseball-Team und der Name seines Haustiers. Mit Hilfe dieser Informationen möchte er einen Bruteforce-Angriff vornehmen, um an Michaels Passwort zu kommen.
Stefanie: Was ist ein Bruteforce-Angriff? Ist dies eine Gefahr, die den durchschnittlichen Nutzer treffen kann?
Pedram: Bei einem Bruteforce-Angriff probiert der Hacker systematisch verschiedene Passwortmöglichkeiten aus, bis er das richtige Passwort gefunden hat. Du kannst Dir das wie eine Maschine vorstellen, die durch ein riesiges Wörterbuch an Passwörtern geht und jedes Passwort ausprobiert.
Bruteforce war wahrscheinlich auch die Technik, die beim iCloud-Hack eingesetzt wurde. Dabei gerieten im vergangenen September Naktfotos von Stars wie Jennifer Lawrence und Kirsten Dunst an die Öffentlichkeit. Diese Art von Hackerangriff wird aber nicht nur bei Stars angewendet. Hacker können Bruteforce-Angriffe für den Hack jeglicher Online-Nutzerkonten einsetzen. Typischerweise zielen sie auf Nutzerkonten ab, die Kreditkartendaten oder andere Finanzinformationen enthalten, die sie dann nutzen können, um an das Geld des Nutzers zu kommen. Dies ist wiederum der Grund dafür, ein starkes Passwort für alle Online-Plattformen zu verwenden.
Stefanie: Vielen Dank für die Unterhaltung, Pedram. Ich freue mich schon auf die zweite Folge von Mr. Robot und unser Gespräch über all die Nullen und Einsen im Anschluss!