Ein in Deutschland bekannter Podcast hatte kürzlich einen Hacker im Interview. Der Titel ist natürlich etwas reißerisch gewählt, (Hacker: So kriegen wir dich in 5 Minuten) dennoch erhoffte ich mir etwas Neues über gängige Methoden und Sicherheitslücken zu erfahren.
Mein Eindruck: es gibt eigentlich wenig richtig Neues in dieser Hinsicht. Die häufigste Methode setzt immer noch das Einverständnis der Benutzer voraus und Social Engineering steht dabei immer noch an erster Stelle aller Risiken. Eine erhöhte Wachsamkeit ist also immer noch das Gebot der Stunde. Desweiteren entstehen Zugriffsmöglichkeiten immer noch durch veraltete Software.
Interessant sind jedoch die Implikationen welche sich für den öffentlichen Berreich ergeben. Für diesen hat es in den vergangenen Jahren einige neue Entwicklungen gegeben.
Die häufigsten Angriffsvektoren in 2025
1. Phishing und Social Engineering: Dies wird als der einfachste Weg beschrieben, um an Zugangsdaten (Credentials) zu kommen, beispielsweise für E-Mail-Konten, Dropbox oder iCloud.
◦ Es gibt mittlerweile automatisierte Tools als Software-as-a-Service (SaaS), die für nur 50 € im Monat professionelle Phishing-Seiten erstellen und sogar Multifaktor-Authentifizierung (MFA) mitabfischen können.
◦ Hacker nutzen psychologische Trigger wie Angst, Neugier oder Gier, um Opfer zum Klicken zu verleiten (z. B. E-Mails über angebliche Gehaltsübersichten, verdächtige Logins oder Covid-Infektionen am Arbeitsplatz).
2. Dateianhänge (Malware-Verbreitung): Angreifer nutzen E-Mail-Anhänge, um Schadcode direkt auf Betriebssystemebene auszuführen, ohne kompliziertes Hacking betreiben zu müssen.
◦ Dies funktioniert oft über Dateien, die Makros oder Steuerungscodes enthalten (z. B. manipulierte Excel- oder CSV-Dateien), und führt bei Windows-Systemen ohne gehärtete Konfiguration schnell zum Vollzugriff auf den Rechner.
3. Call ID Spoofing: Dies ist eine Methode, bei der die Telefonnummer des Anrufers gefälscht wird (z. B. die Nummer Ihrer Bank wird angezeigt). Dies wird mit Social Engineering kombiniert, um Druck aufzubauen und Opfer dazu zu bringen, Passwörter preiszugeben oder Links in Phishing-E-Mails zu klicken. Tools dafür sind einfach zugänglich, kosten beispielsweise nur 6 $ pro Minute oder können mit technischem Know-how innerhalb einer halben Stunde gratis eingerichtet werden.
Obwohl Social Engineering am häufigsten und effizientesten ist, gibt es technisch anspruchsvolle Angriffsvektoren, die keine menschliche Interaktion oder nur geringfügige Benutzerfehler erfordern und die Annahme widerlegen, dass Systeme nicht „gehackt“ werden:
1. Angriffe auf den Perimeter (DNS-Manipulation):
◦ Angreifer können Systeme am Internet-Perimeter (wie Firewalls oder ungesicherte Router/Fritzboxen) kompromittieren.
◦ Ist der Router oder DNS-Dienst manipuliert, kann der Angreifer kontrollieren, wo Sie im Internet landen, selbst wenn Sie die korrekte Domain (z. B. sparkasse.de) in Ihren Browser eingeben. Dies würde Phishing auf eine extrem gefährliche Stufe heben, da die Domain-Prüfung durch den Nutzer nicht mehr funktioniert.
◦ Wenn der Angreifer Kontrolle über den DNS hat, kann er auch kontrollieren, von wo Sie Updates herunterladen, und somit Schadcode als gefälschtes Software-Update installieren.
2. Ausnutzung ungepatchter Software:
◦ Wenn Software veraltet ist (z. B. VLC Player oder Adobe), kann eine Sicherheitslücke (Exploit) ausgenutzt werden, manchmal reicht es schon, eine E-Mail in der Ansicht zu sehen.
◦ Solche Exploits können dazu dienen, aus den normalerweise sicheren Containern von Betriebssystemen (wie macOS oder iOS) auszubrechen.
3. Hochentwickelte Zero Day Exploits (Zero Day Hacking):
◦ Hierbei handelt es sich um Sicherheitslücken, die den Softwareherstellern noch unbekannt sind und direkt auf Systemebene angreifen.
◦ Diese Exploits sind extrem teuer und werden hauptsächlich von Geheimdiensten oder staatlich finanzierten Akteuren eingesetzt.
◦ Sie ermöglichen es, ohne Zutun des Nutzers auf Geräte zuzugreifen, etwa um Kamera, Mikrofon oder Tastatureingaben zu überwachen. Beispielsweise kann bei einem iPhone die Infizierung über eine SMS erfolgen, die der Nutzer im Zweifel nicht einmal sieht. Solche Tools kosten bis zu 1,2 Millionen $ oder mehr für einen aktuellen iPhone Zero Day Exploit.
◦ Ein historisches Beispiel ist das NSA-Tool Eternal Blue, das eine bis dahin unbekannte Schwachstelle in Microsoft-Systemen ausnutzte und die Übernahme jedes Betriebssystems aus der Ferne ermöglichte.
Zusammenfassend lässt sich sagen, dass Social Engineering und Phishing die am häufigsten verwendeten und effizientesten Methoden sind, um Zugriffe zu erlangen. Technisches Hacking ist jedoch weiterhin ein relevanter Vektor, insbesondere wenn das Ziel spezifisch ist oder über unbegrenzte Ressourcen verfügt, um Zero Day Exploits oder Angriffe auf Netzwerk-Perimeter durchzuführen
Abhängigkeit des öffentlichen Sektors
Die Abhängigkeit des öffentlichen Sektors von kommerzieller Software, insbesondere von US-Anbietern, ist ein zentrales Anliegen, da sie die Entscheidungsmöglichkeiten deutscher oder europäischer Behörden stark einschränkt.
Allgemeine Abhängigkeit:
• Diese Abhängigkeit besteht vor allem gegenüber amerikanischen Produkten und Software-as-a-Service (SaaS)-Lösungen verschiedener Hersteller und Anbieter.
• Die Sorge besteht darin, dass ein Staat, der diese Unternehmen kontrolliert, entscheiden könnte, den Betrieb der Software einzustellen, was zu einem sehr großen Problem führen würde.
• Die Quelle weist darauf hin, dass Verbündete Staaten nicht zwangsläufig befreundete Staaten sind. Ein Beispiel für eine solche politische Einflussnahme war ein Vorfall im Jahr (vor Aufzeichnung), bei dem der damalige US-Präsident Trump die Sperrung des E-Mail-Kontos eines israelischen Politikers veranlasste, was auch die deutsche Regierung besorgt zur Kenntnis nahm. Der Kern der Problematik liegt darin, dass Staaten oder Kontinente es als ungünstig erachten, in solch einer Nachteilsposition zu sein, unabhängig davon, ob es sich um einen Kriegsfall oder andere Interessen handelt.
Beispiel Schleswig-Holstein:
Als konkrete Reaktion auf diese Abhängigkeit und zur Stärkung der Datensouveränität hat Schleswig-Holstein entschieden, die Microsoft-Bubble zu verlassen.
Die Behörden dieses Bundeslandes sind dabei, die gesamte Infrastruktur auf Open Source umzustellen, einschließlich öffentlich verfügbarer Software wie Linux und Libre Office.
• Motivation: Das Ziel dieses kostspieligen und aufwendigen Weges ist es, die Souveränität zu sichern und die Abhängigkeit von wenigen Großkonzernen zu reduzieren.
• Herausforderungen: Die Umstellung erfordert viel Geld und Zeit. Die Mitarbeiter, die möglicherweise jahrzehntelang Microsoft Word genutzt haben, müssen in neue Programme wie Libre Office geschult werden, was pro Mitarbeiter mehrere Tage in Anspruch nehmen kann. Obwohl Open-Source-Software grundsätzlich positiv bewertet wird, ist sie im Anwendungsbereich oftmals nicht so gut wie die kommerziellen Produkte, da ihr die Möglichkeit zur Skalierung und weitreichenden Entwicklung fehlte.
• Strategische Perspektive: Der Wechsel wird als notwendiger Preis angesehen, um den Reifegrad von Open Source zu erhöhen und damit mittel- bis langfristig eine unabhängige Alternative zu schaffen.
Fazit
Es dürfte einige deutsche Bundesländer teuer zu stehen kommen, den Ausstieg aus Open-Source hin zu Produkten von Microsoft vollzogen zu haben. Heute werden sie wieder über eine Remigration nachdenken um die 360° Pirouette zu vollenden.