Allgemeines

"Ich habe doch nichts zu verbergen? Was will ein Hacker mit meinen Daten?“

Wenn man nicht gerade eine VIP des öffentlichen Lebens ist oder in hochsensiblen Bereichen wie Militär, Kraftwerken oder Krankenhäusern arbeitet, werden Angriffe nicht gezielt ausgeführt, sondern per Software ganz automatisch. Dabei wird das System auf bekannte Schwachstellen geprüft. Ähnlich wie ein Dieb, der an einem geparkten Auto vorbeigeht und einmal am Türgriff zieht um zu sehen, ob abgeschlossen ist.

Im harmlosen Fall, wird die eigene Identität gestohlen, z.B. bei Facebook, es wird bei Amazon eingekauft, Spam versendet oder andere beleidigt.
Des Weiteren wird automatisch ein Profil erstellt, welches benutzt wird um Passwörter zu knacken, um damit an beispielsweise Bankingdaten zu kommen. Nach dem erfolgreichen Übernahme eines SocialMedia Accounts wissen die Angreifer z.B. über 
Liesschen Müller:

  • weiblich
  • 36 Jahre
  • wohnt in der Hermann-Löns-Straße 13, 12345 Musterstadt
  • einen 12 jährigen Sohn Nils auf dem Gymnasium x
  • eine 11 jährige Tochter Sarah auf der Verbundschule y
  • der Mann heißt Klaus ist 45 und arbeitet als Bänker
  • die Katze heißt Schmusi
  • Sie macht Familienurlaub vom 12.03.2022 - 01.04.2022
  • ...

Die Wahrscheinlichkeit, dass die Passwörter aus einer Kombination der persönlichen Informationen bestehen ist bei den meisten Menschen sehr hoch. Also beispielsweise Schmusi-123 oder SaNiSchmu#1986.

Selbst wenn man nirgendwo einen Account hat, ist bei schlecht geschützter EDV die Gefahr da, dass der eigene PC unbemerkt Teil eines illegalen  Netzwerks wird und z.B. der eigene PC heimlich Kinderpornos verschickt oder Angriffe gegen andere Firmen durchführt. Und wenn sich dann herausstellt, dass der eigene PC / Server fahrlässig abgesichert und Teil des Angriffsnetzwerks war, kann es Probleme geben. Seit rund 10 Jahren ist die ungeschlagene Nummer 1 an verwendeten Passwörtern: "1234578".

Selbst wenn man selbst nicht Opfer eines Angriffs geworden ist, können andere infiltriert worden sein. Immer mal wieder wird bei den E-Mail-Anbietern (gmx, hotmail, gmail, yahoo, ...) eingebrochen. Plötzlich kommen täuschend echt nachgemachte E-Mails vom Energieversorger, vom Handyprovider, Onlineshop, Sportverein oder ähnliches. Im Anhang dann ein verseuchtes Office-Doument, vermeindlich vom Freund, welches dann "Einladung_zum_50sten" heißt.

Oder der Klassiker: Irgendwann hat man eine verseuchte App / Spiel aufs Handy geladen. Dann wird das ungesicherte Handy um Datenvolumen zu sparen ins Firmennetzwerk geholt . Damit ist der Virus im Netzwerk. Ähnlich wie eine Einbruchsschutz-Haustür der höchsten Sicherheitsstufe und man lässt das Fenster offen stehen. Sicherheitskonzepte machen also nur komplett Sinn. 

Was bedeuten Sicherheitslücken?

Stellen Sie sich vor, Sie haben ein Haus mit Büschen und Bäumen drum herum. In dem Haus gibt es einige Risse und Löcher (=Sicherheitslücken), die aber durch Büsche oder eine dünne Schicht Putz auf der Wand verdeckt sind. Irgendwann biegt jemand einen Busch zur Seite und entdeckt solch einen Riss oder ein Loch, dreht sich rum und ruft: „Hey, schaut mal, … hier ist ja ein Loch in der Wand!“ Die Lücke war schon immer da. Das war aber bisher kein Problem, weil niemand davon wusste. Jetzt ist sie aber öffentlich bekannt und jetzt kommen ständig Leute (Hacker; Krimineller) vorbei und schauen durch das Loch in Ihr Haus und versuchen mit der Hand durchzugreifen und etwas zu stehlen. Sie sollten also diese Lücke schnellstmöglich schließen.
Und das ist genau das, was die Sicherheitsupdates machen. Deshalb sollten verfügbare Updates immer möglichst zeitnah eingespielt werden.
Allerdings vergeht immer etwas Zeit, bis die Sicherheitsupdates verfügbar sind, daher gibt es kein hundertprozentige Sicherheit.

Links

Sicherheitsirrtümer

Social Engineering Hack ab Sekunde 40