Anzeige
Anzeige
Feature

Selbstversuch: Das passiert, wenn man einen Hacker auf sich selbst ansetzt

Das Internet vergisst nichts – Cyberkriminelle finden zu jeder und ­jedem von uns etwas und können damit großen Schaden anrichten. Unser Autor hat den Test ­gemacht und einen Ethical Hacker auf sich selbst angesetzt – und der hat viel gefunden.

7 Min.
Artikel merken
Anzeige
Anzeige
(Foto: Ole Witt)


Dass da etwas im Busch ist, zeigt um 23:13 Uhr eine SMS ­meines besten Freundes. „Du bist gehackt worden“ steht da. Danach ­folgen drei Screenshots eines Facebook-Accounts. Dieser nutzt ein Foto von mir als Profilbild, repostet Nachrichten und Memes des t3n-Facebookprofils, veröffentlicht ein Bild meines Katers, teilt Kinderfotos von mir. Außerdem ist er befreundet mit alten Klassenkamerad:innen und Kolleg:innen, weiß, wo ich studiert habe und wo ich wohne. Selbst mein Geburtsjahr stimmt. Auf den ersten Blick sieht das nach meinem Konto aus. Nur bin ich seit drei Jahren nicht mehr auf der Plattform.

Spätestens jetzt müsste mir das Herz in die Hose rutschen, schließlich bin ich augenscheinlich Opfer eines Identitäts­diebstahls geworden. Jemand versucht, unter meinem Namen möglichst viele Kontakt zu knüpfen, deren Vertrauen zu erlangen und sie dann etwa mit Phishingnachrichten zu kontaktieren.

Anzeige
Anzeige

Am Artikelende findet ihr zahlreiche handfeste Tipps für mehr Sicherheit im Netz.

Der Enkeltrick 2.0

Eine Strategie ist zum Beispiel, einer alten Klassenkameradin auf ­Facebook eine Direktnachricht zu schreiben und sie um Geld zu bitten – ich sei durch Corona in eine finanzielle Schieflage ­geraten. Sogenanntes Spear-Phishing, der Enkeltrick 2.0.

Anzeige
Anzeige

Doch zum Glück war ich auf diesen Moment vorbereitet, und zum Glück schreibt der Account niemanden an. Ich habe die ­ganze Aktion nämlich selbst genehmigt. Und ich kenne den Mann, der dahintersteckt. Es ist Thomas Haase, Ethical Hacker und Leiter Certified Security bei T-Systems MMS, die Teil der Einheit für Penetrationstests von Telekom Security ist.

Anzeige
Anzeige

Er und sein Team durchleuchten regelmäßig Menschen in deren Auftrag und klopfen ihre digitale Identität auf Schwachstellen ab.

Nur handelt es sich dabei dann meist nicht um Journalist:innen wie mich, sondern um bekannte Politiker:innen, Schauspieler:innen oder Fußballspieler:innen. Aber auch Firmen lassen sich auf diese Weise untersuchen.

Anzeige
Anzeige

Auf den ersten Blick sieht dieser Facebook-Account aus wie meiner – nur habe ich leider seit Jahren keinen Facebook-Account mehr (Bild: Smartmockups)

Aber nicht nur Promis oder Unternehmen droht im ­Internet Gefahr. Die Zahl der Cyberstraftaten steigt Jahr für Jahr und lag 2020 laut Bundeskriminalamt in Deutschland bei rund 108.000 gemeldeten Fällen.

Die Dunkelziffer dürfte noch deutlich darüber liegen. Das Cybersicherheitsunternehmen RiskIQ schätzt, dass Firmen weltweit durch Cyberkriminalität fast 1,8 Millionen US-Dollar pro Minute verlieren.

Um abzuschätzen, wie groß die Gefahr bei mir ist, führen Thomas Haase und sein Team eine sogenannte Open-Source-Intelligence-­Analyse (Osint) durch. Ziel ist das Auffinden von ­öffentlich und nicht öffentlich verfügbaren Informationen, die eine konkrete Gefahr darstellen könnten. Am Ende gibt das Team dann Handlungsempfehlungen, um die gefundenen Angriffsvektoren zu reduzieren.

Anzeige
Anzeige

Dafür berechnen Haase und sein Team Tagessätze ab 3.000 Euro. Teil des Pakets ist auch eine Verschwiegenheitserklärung. Alles, was das Team findet, wird den Kund:innen am Ende übergeben und im Anschluss gelöscht.

Was weiß das Internet über mich?

Im Zuge der Analyse werden zunächst alle Informationen ge­sammelt, die im Netz über mich frei verfügbar sind. Zum Beispiel in sozialen Netzwerken wie Facebook und Linkedin oder durch eine einfache Suchanfrage bei Google. Auch die Kontakte, mit ­denen ich in Verbindung stehe, werden ermittelt.

Leider fällt schon dieser erste Schritt bei mir sehr vielversprechend für Haase aus, wie er mir bei einem Treffen nach der Analyse mitteilt: „Ich hatte noch nie jemanden, bei dem ich so schnell so viel gefunden habe.

Anzeige
Anzeige

Man muss aber auch dazu sagen, dass dein einzigartiger Name es für uns einfacher macht. Man kann dir damit Dinge im Netz eindeutig zuordnen. Auf der anderen Seite willst du aus beruflichen Gründen ja aber auch im Netz gefunden werden.“

Danke Mama!

Für mich ist das ein Problem. IT-Sicherheitsexperten raten immer wieder dazu, möglichst wenige Informationen im Netz zu teilen oder dies nicht unter dem echten Namen zu tun. Ein Teil meines Berufes als Tech-Journalist ist es aber, im Netz stattzufinden und das eben nicht anonym. „Auch deine Mutter war ziemlich einfach zu finden und sie war so ‚nett‘, Babyfotos von dir ins Netz zu stellen.“ Daher kommen also die Fotos, die ich in meinem gefälschten Facebook-Profil wiedergefunden habe. Danke Mama!

Zum Glück hat Haase aber auch gute Neuigkeiten mit­gebracht: „So wie du dich im Allgemeinen im Netz bewegst, gibt es bei dir nur kleinere Schwierigkeiten. Ich habe viele alte Accounts und Dienste gefunden, bei denen du dich nicht abgemeldet hast oder die du seit Jahren nicht mehr nutzt. Aber wir konnten nicht ­feststellen, dass du fahrlässig mit Passwörtern umgehst.“

Anzeige
Anzeige

Anders als einige meiner Kolleg:innen und ­Freund:innen. Von ­ihnen ­findet Haase in verschiedenen Datenlecks nicht nur Mailadressen, ­sondern auch teilweise sehr frisch erbeutete Passwörter. Und ohne zu sehr ins Detail gehen zu wollen, das Wort „Passwort“ ist auch im Jahr 2022 noch kein gutes Passwort.

Schlechtes Passwortmanagement im Fokus

Die ­Sache mit den Passwörtern ist auch bei den sonstigen Kunden von Haase ein Problem: „Die größten Baustellen, denen wir begegnen, sind Klassiker wie schlechtes Passwortmanagement. Viele haben das nicht im Griff und wählen zu einfache Pass­wörter. Ein weiteres riesiges Problem sind wie bei dir alte Accounts, die nicht aufgeräumt werden.“

Sinnvolle und weniger sinnvolle Tipps für Passwörter Quelle: Shutterstock/ Vitalii Vodolazskyi

Phishingmails und Fake-Accounts

Nachdem der Ethical Hacker die Informationen über mich gesammelt und ausgewertet hat, beginnt er diese mit meiner ­Erlaubnis zu nutzen, um zwei Szenarien zu erstellen, die ein bösartiger ­Hacker mit ihnen durchführen könnte. Zum einen schreibt er eine Reihe meiner ­Kontakte von einer Mailadresse aus an, die meiner echten sehr ähnlich ist. In den Nachrichten ist ein Link enthalten.

Anzeige
Anzeige

Identitätsdiebstahl ist einfacher als viele denken (Bild: Radu Bercan/ Shutterstock)

Im Falle eines echten Angriffs würde ein solcher Link zum Beispiel zu einer Seite mit Schadsoftware oder zu einem ­Formular führen, in welches Benutzerdaten eingegeben werden sollen. Phishing-Seiten also, mit denen Hacker nach Passwörtern angeln. In meinem Fall landen meine Kontakte zum Glück auf einer harmlosen Website, die ihnen mitteilt, dass sie gerade auf eine gefälschte E-Mail hereingefallen sind.

Leider be­kommen 80 Prozent der von Haase in meinem Namen ­angeschriebenen ­Freund:innen, Kolleg:innen und Familienmitglieder diese ­Warn-Website zu Gesicht, weil sie leichtgläubig dem Link in der E-Mail gefolgt sind. Wie gefährlich solche E-Mails noch immer sind, zeigt der ­Cybersecurity-Report 2021 von Cisco. Demnach klickte in 86 ­Prozent der befragten Unternehmen mindestens eine Person auf einen Phishing-­Link.

80 Prozent meiner Kontakte fallen auf die Phishingmail rein.

Neben dem simulierten Phishing-Angriff baut Haase mit den Informationen über mich das anfangs beschriebene Facebook-­Profil auf, um einen Identitätsdiebstahl zu simulieren. ­Während ­meinem besten Freund relativ schnell aufgefallen ist, dass bei dem Profil zum Beispiel mein Nachname minimal anders geschrieben wurde, haben nach fast drei Tagen schon 174 Menschen die Freundschaftsanfragen angenommen.

Anzeige
Anzeige

Dass ich nach so kurzer Zeit schon mehr Follower als bei meinen echten Profilen habe, liegt an einem Skript, das Haase einsetzt: ­„Zeitgleich schickt das Skript um die 600 Freundschaftsanfragen raus. Bei mehr würde Facebook vielleicht irgendwann Verdacht schöpfen. Wir haben ein solches Skript schon mal länger laufen lassen und hatten dann schnell 2.000 bis 3.000 Freunde.“

Die ­vielen Kontakte sind ­wichtig, denn durch sie wirkt das Profil für Facebook und die anderen Nutzer:innen echter, sie ­legitimieren das Profil.

Soweit lassen wir es aber nicht kommen. Thomas ­Haase übergibt mir die Zugangsdaten für den Account, ich mache noch einige Screenshots und lösche ihn dann. Aus der Traum vom erfolgreichen Facebook-Account mit viel Reichweite.

Sicher im Internet – was kann man tun?

Was kann man tun, wenn man regelmäßig im Internet unterwegs ist und das vielleicht gerade auch aus beruflichen Gründen? Zum einen die Klassiker befolgen, die immer wieder gepredigt werden. Da wäre zunächst: Sichere und vor allem ­individuelle Passwörter verwenden. Also für jeden Dienst ein ­eigenes. Um sich nicht alle merken zu müssen, hilft ein Passwortmanager.

Ebenfalls sehr hilfreich und teilweise schon in Passwort­managern integriert: Die Möglichkeit, regelmäßig bei Diensten wie „Have I been pwned?“ oder dem „Identity Leak Checker“ vom Hasso-Plattner-­Institut zu überprüfen, ob die eigene Mailadresse in Datenlecks, zum Beispiel im Darknet, aufgetaucht ist.

Beide Dienste durchforsten das Netz nach Datenpaketen, sammeln ­diese und gleichen die Daten auf Wunsch mit einer Mailadresse ab. Taucht diese dort auf, sollten alle damit verbundenen Passwörter dringend geändert werden.

Wer Opfer eines echten Identitätsdiebstahls geworden ist, sollte außerdem Anzeige bei der Polizei erstatten. Dies ist in sogenannten Online-­Wachen der Landespolizeien inzwischen auch oftmals im Internet möglich.

Die schönsten Stockfoto-Hacker Quelle: Shutterstock

Für Postings in sozialen Netzwerken gilt außerdem die einfache Regel: Alles, was ich dort veröffentliche, sollte so auch in der Zeitung stehen können, ohne dass es unangenehme Folgen für mich hätte. Nur dann ist man auch nicht erpressbar. Wer sehr vorsichtig ist, folgt dieser Regel nicht nur in sozialen Netzwerken, sondern in der gesamten Kommunikation über das Internet.

Zeit für den digitalen Frühjahrsputz

Auch wenn ich wusste, worauf ich mich eingelassen habe, ist das Ergebnis der Analyse erschreckend für mich. Ich beschäftige mich seit Jahren mit IT-Sicherheit – dennoch ist das Dokument mit Daten und Fakten über mich und mein Umfeld am Ende neun Seiten lang. Inklusive beruflicher und privater Mailadressen, ­vieler meiner Kontakte und fast meinem gesamten Lebenslauf.

Doch es gibt zum Glück auch Lücken. Meinen Vater hat Haase nicht aufspüren können, bei meiner Schwester hat er fast nichts gefunden. Auch meine aktuelle Adresse und Telefonnummer sind in seinen Daten nicht aufgetaucht. Immerhin.

Ich schreibe jetzt erst mal die Kolleg:innen und Freund:innen an, deren Benutzernamen und Passwörter in den Daten gefunden worden sind, damit sie diese schnellstens ändern. Danach werde ich direkt mit einem digitalen Frühjahrsputz loslegen und kräftig meine alten und ungenutzten Accounts ausmisten. Es wird höchste Zeit, denn der nächste Hacker meint es vielleicht nicht so gut mit mir.

Hilfreiche t3n-Tipps für mehr Sicherheit im Netz

Dieser Beitrag ist zuerst im t3n-Magazin erschienen. Lust auf mehr Deep Dives und Long Reads zu Tech-Trends? Hier gehts zum Shop: https://t3n.de/store/

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare (1)

Community-Richtlinien

Johannes

Danke für den interessanten Artikel!

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige