Ex-Hacker Kevin Mitnick - "Es gibt keinen Patch für Dummheit"

"Social Engineering" effektiver als technische Attacken - Mitarbeiter zu leichtgläubig - Leichtes Spiel beim Herauslocken von Infos

Dunkler Anzug mit Krawatte, Kurzhaarschnitt und polierte Schuhe: So würde man sich einen Cyberkriminellen gemeinhin wohl kaum vorstellen. Aber es ist ja auch schon einige Jahre her, dass der ehemalige amerikanische Computerhacker Kevin Mitnick - der vor seiner Festnahme "unglücklicherweise" einer der meistgesuchten Hacker der USA war - sein Unwesen trieb. Inzwischen zieht er durch die Länder, warnt vor "Social Engineering" und propagiert die "menschliche Firewall".

Täuschung und Manipulation

Durch "Social Engineering", also die Täuschung und Manipulation von Mitarbeitern, damit diese unwissentlich Informationen oder Daten preisgeben, würden herkömmliche Sicherheitsmaßnahmen sehr leicht ausgehebelt. "Ein Anruf genügt und die Technik ist ineffektiv", erklärte Mitnick gestern, Montagabend, bei einer Veranstaltung im Tiroler Alpbach. Das Ausnützen der Schwachstelle Mensch bringe viele Vorteile: "Es ist einfacher als ein technischer Hack, die Werkzeuge dafür sind meist gratis, es wirkt unabhängig vom Betriebssystem und das Bewusstsein dafür fehlt." Außerdem gebe es "keinen Patch für Dummheit", sagte der Experte.

"Es ist rausgeschmissenes Geld"

"Egal wie viel man für IT-Sicherheit ausgibt: Es ist rausgeschmissenes Geld, wenn das Fehlverhalten eines Mitarbeiters ausreicht, um das Unternehmen in Gefahr zu bringen. Das Personal muss entsprechend geschult werden, damit Annäherungsversuche schon im Vorfeld bemerkt werden", erklärte der wegen Einbrüchen in die Rechner von Motorola, Novell, Nokia oder Sun Microsystems verurteilte Fachmann. Es sei erstaunlich einfach, Informationen zu erhalten, wenn man sich am Telefon etwa als Helpdesk-Mitarbeiter ausgebe. Von 100 nach Username und Passwort befragten Managern hätten 35 bereitwillig Auskunft gegeben.

Das Handy von Paris Hilton

Als weiteres Beispiel für "Social Engineering" nannte Mitnick das Knacken von Paris Hiltons Handy und die anschließende Veröffentlichung ihres Telefonverzeichnisses. In diesem Fall hätten sich die Täter mit gefälschter Anrufkennung bei Hiltons Mobilfunkbetreiber T-Mobile als Mitarbeiter ausgegeben und von Netzwerkproblemen erzählt, um an das Passwort der Hotelerbin zu gelangen. Anschließend änderten sie die Zugangsdaten über einen Fehler auf der T-Mobile-Webseite, so Mitnick.

Kreativität

Der Kreativität seien keine Grenzen gesetzt. Inzwischen würden auch USB-Sticks - also mobile Datenspeicher - beispielsweise in der Kantine "vergessen". Sollte den Finder die Neugier überkommen oder er ihn selber verwenden wollen, wären böse Überraschungen garantiert. Sobald man den Stick an den Computer anschließe, werde ein modifizierter Trojaner installiert, der käuflich zu erwerben und von keinem Virenschutzhersteller erkennbar sei. Anschließend kann der Angreifer beispielsweise live mitverfolgen, was auf dem Rechner vor sich geht, die Kontrolle über den PC übernehmen oder den User über das Mikrophon belauschen.

Je kleiner die Firma, desto schwieriger die Attacke

"In 99,5 Prozent der Fälle ist 'Social Engineering' erfolgreich. Auch Motorola und Co. waren technisch sehr gut gesichert. Das hat ihnen aber nichts genützt", meinte Mitnick. Generell gelte dabei, je kleiner die Firma, desto schwieriger die Attacke. Hohe Personalfluktuation erleichtere die Sache hingegen. "Zwar nimmt die Überprüfung der Jobwerber deutlich zu. Personalberater lehnen aber auch Hacker nicht immer ab, weil das ihren Interessen widerspricht. Schließlich bekommen sie Provisionen", meint der Experte, der heute eine IT-Sicherheitsfirma leitet. Kritik gab es aber auch an den Softwareunternehmen: "Vielleicht sollte man sie haftbar machen, wenn ihre Produkte fehlerhaft sind."

"Mit heruntergelassener Hose"

Der Vorratsdatenspeicherung steht Mitnick skeptisch gegenüber. "Ich persönlich mag das nicht. Allerdings gibt es die Möglichkeit, anonyme Handywertkarten zu verwenden und bar zu bezahlen oder bei Starbucks anonym im Internet zu surfen." In den USA seien der Geheimdienst NSA und der Telekomkonzern AT&T "mit heruntergelassener Hose" erwischt worden, weil sie heimlich den Telefonverkehr überwacht und entsprechende Daten ohne richterliche Genehmigung gesammelt hätten. "Und sie tun es noch immer", gab sich Mitnick überzeugt.
Begonnen habe seine "Karriere" schon früh, auch sein Umfeld dürfte eine Rolle gespielt haben. Ein Schulfreund manipulierte beispielsweise Telefonanschlüsse von Verwandten, so dass diese nach dem Abheben von einer Tonbandansage der Telekomgesellschaft aufgefordert wurden, eine Münze einzuwerfen. Insgesamt führte Mitnick die US-Bundespolizei FBI drei Jahre lang an der Nase herum. Schließlich konnten die Ermittler seine elektronischen Spuren aber doch zurückverfolgen und nahmen ihn 1995 nach einer spektakulären Verfolgungsjagd fest. Zeitweise tauchte Mitnick als Eric Weiss unter, dem bürgerlichen Namen des Zauberkünstlers Harry Houdini. "Ich dachte, ich hätte Humor, aber das FBI hatte keinen", sagte der auf Einladung des Tiroler Softwareunternehmens phion angereiste IT-Profi.

"Ich habe seinen Rechner angegriffen und daher habe ich diese Reaktion verdient"

Sein Fehler war es, den Computer-Sicherheitsexperten Tsutomu Shimomura verärgert zu haben, der noch raffinierter arbeitete als Mitnick. "Ich habe seinen Rechner angegriffen und daher habe ich diese Reaktion verdient", gibt sich Mitnick heute einsichtig. Auf dieser Geschichte basierte auch ein Spielfilm, später erzählte der New York Times-Reporter John Markoff in exklusiven Artikeln sowie in dem Bestseller "Takedown" über die Festnahme. Mitnick sieht dessen Geschichten aber als "Falschmeldungen". Der damals "meist gesuchte Kriminelle der USA" saß fünf Jahre im Gefängnis. Im Jänner 2000 wurde er mit der Auflage entlassen, drei Jahre lang keinen Computer und kein internetfähiges Gerät mehr anzurühren.

Neues Buch

Richtig reich könnte Mitnick werden, wenn er ausführlich über seine Taten und die Festnahme von 1995 berichten würde. Bis zum Jahr 2007 durfte er von einem solchen Buch nicht profitieren, der Verkaufserlös wäre an die US-Regierung gegangen. Eine Anfrage für eine Autobiografie sei aber bereits eingetrudelt, das Buch soll in rund einem Jahr erscheinen, bestätigte Mitnick in Alpbach.(Quelle:derstandart.at)