Wie du erkennst, ob du gehackt wurdest – und was du dagegen tun kannst

Der Alptraum deutscher Sicherheitsbehörden ist vielleicht nur wenige Tage entfernt: Die Bundestagswahl könnte manipuliert werden. Ob durch Hacker aus Russland, Leaks aus dem Bundestag oder Wahlsoftware aus dem letzten Jahrhundert – seit Monaten stehen in der Republik die Zeichen auf Hysterie. Selbst eine sonst so unaufgeregte Angela Merkel warnt vor "hybrider Kriegsführung" und so mancher Verfassungsschützer träumt von Gegenangriffen.

Was in der öffentlichen Erregung um mögliche oder tatsächliche Manipulationen völlig untergeht: Die meisten Angriffe aus dem Netz richten sich nicht gegen kritische Infrastrukturen, sondern gegen die gewöhnlichen Internetnutzer: die Millionen von Menschen, die keine eigene IT-Abteilung hinter sich haben, normale User, die ihre Geräte nicht updaten oder alte Software benutzen – und die deswegen leichte Ziele für Cyberkriminelle sind. Es ist ein Cyberkrieg im Kleinen, und die Kriegsbeute ist viel trivialer als eine gefälschte Wahl: Passwörter, Kreditkarteninformationen, Facebook-Accounts, gestohlene Identitäten.

Claudio "nex" Guarnieri kennt die Risiken solcher alltäglichen Hacks gut. Der Hacker arbeitet als Sicherheitsforscher für Amnesty International und hat dort schon zahlreiche Opfer von Hacking-Angriffen betreut. Er hat sich auf die Analyse staatlicher Cyberangriffe spezialisiert und gründete 2016 mit anderen die Organisation "Security Without Borders", die Aktivisten, Journalisten und Menschenrechtlern in Fragen der IT-Sicherheit hilft.

Von ihm will ich wissen: Woran erkenne ich, ob ich gehackt wurde? Kann es sogar sein, dass es bereits passiert ist und mir gerade jemand dabei zusieht, wie ich diese Zeilen schreibe, Sätze umformuliere und parallel durchs internet surfe?

Guarnieri nennt die Suche nach einer Antwort auf diese Fragen eine "Königsdisziplin" – gerade professionelle Hacker sind Meister darin, im Verborgenen zu operieren, wenn sie einmal das Zielgerät infiltriert haben. Gibt es trotzdem Anzeichen, die auf einen Hack hindeuten und die Normalsterbliche erkennen können? Und was tue ich als erstes, wenn ich der Meinung bin, einen digitalen Einbrecher erwischt zu haben?

Motherboard: Claudio, woran erkenne ich, dass mein Smartphone oder mein Computer gehackt wurde?

Claudio Guarnieri: Eine goldene Hacker-Regel lautet, möglichst unerkannt zu bleiben. In den meisten Fällen wirst du einen Hack daher erst bemerken, wenn es schon zu spät ist: wenn dein Gerät gesperrt wurde, deine Konten leergeräumt oder deine Daten auf Pastebin veröffentlicht wurden.

Was ist mit Hackern, die ihre eigenen goldenen Regeln nicht einhalten, weil sie ungeschickt sind oder fehlerhafte Malware einsetzen – kommt man denen auf die Spur?

Die Frage hängt natürlich stark von der Art des Hacks ab und davon, wer der Angreifer ist: Steckt eine ressourcenstarke kriminelle Organisation oder eine Regierung dahinter? Sind es gewöhnliche Cyberkriminelle, die sich die Trojaner der oberen Preisklasse gar nicht leisten können oder technisch nicht versiert genug sind, sie einzusetzen? Je schlechter die eingesetzte Malware und je unfähiger der Angreifer, desto wahrscheinlicher kommt es zu Auffälligkeiten auf dem Zielgerät.

Welche Auffälligkeiten zum Beispiel?

Es gibt ein paar Dinge, die normale User tun können, etwa die Kontoaktivität ihrer E-Mail- und Social-Media-Accounts überprüfen. Auf Facebook, Googlemail und den anderen großen Plattformen lässt sich das leicht auf der Seite nachprüfen. Man muss einfach in die Einstellungen der entsprechenden Website schauen und die letzten Kontoaktivitäten checken.

Wenn hier etwas auffällig ist, wäre das schon mal ein guter Indikator dafür, ob ein Hacker auf dein Konto zugegriffen hat. Ein zusätzlicher Sicherheitsmechanismus sind die E-Mails, die man bekommt, wenn ein neues Gerät auf das Konto zugreift. Wer eine solche E-Mail erhält, sollte daher immer genau prüfen, ob man das selbst war, etwa weil man sich zuvor vom Smartphone eines Freundes oder von einem öffentlichen Rechner auf sein Konto eingeloggt hat.

Gibt es noch weitere Anzeichen für einen Hack, die Otto Normalnutzer auffallen würden?

Wenn ein Hack überhaupt sichtbar wird, dann aufgrund einer Anomalie im Verhalten bestimmter Programme. Bei Computern könnte sich beispielsweise dein Internet-Browser öffnen und sofort wieder schließen. Auf dem Smartphone kann es zu einem scheinbaren Absturz von Apps kommen, wie etwa beim Pegasus-Hack…

…, bei dem der Aktivist Ahmad Mansour mit einer Spionagesoftware der israelischen IT-Firma NSO Group angegriffen wurde…

Genau, da war das einzige sichtbare Anzeichen, dass die Safari-App nach dem Öffnen scheinbar grundlos crashte. Das ist jetzt aber nur ein Beispiel für ein sichtbares Symptom, das einen Hack andeuten könnte. Im Grunde ist es aber kein gutes Symptom, weil Programme ständig abstürzen unerwartet schließen. Der Grund ist häufig ein Bug, ein gewöhnlicher Softwarefehler. Es gibt keine gute Formel, kein Modell oder eine Checklist, nach der du einen Hack zweifelsfrei identifizieren oder belegen kannst, dass dein Gerät gehackt wurde.

Die einzige gute Gelegenheit, einen Angriff zu bemerken, ist nicht, wenn der Hack bereits stattgefunden hat, sondern wenn er ausgeliefert wird: in Form einer Email, einer SMS oder einem Facebook-Post. Wenn dieser Moment verstrichen ist und du keine verdächtigen Kontoaktivitäten, Mails oder sich seltsam verhaltende Programme siehst, ist es bereits zu spät. Ab diesem Moment ist das Ziel des Hackers meistens, unsichtbar zu werden.

Es sei denn der Hacker will dich wissen lassen, dass du gehackt wurdest.

Das wird er dann tun, wenn es Teil des Hacks ist, etwa wenn er das Opfer einschüchtern oder erpressen will oder, ganz banal, wenn es ein Prank-Hack ist. Wenn ein Angriff aber clever designt ist, wirst du kaum etwas Offensichtliches bemerken.

Woher weiß ich, dass die Nachricht in meinem Postfach gar keine wirkliche Nachricht ist, sondern einen Hack ausliefert?

Das ist keine einfache Frage. Die Antwort hängt von der Angriffsart ab, ob der Hacker dich erpressen will, deine Daten stehlen oder dich heimlich überwachen will. Im Normalfall wird er versuchen, dich zu irgendeiner Aktion zu bewegen, etwa ein Dokument in Google Drive zu öffnen oder auf einen Link zu klicken. Der eigentliche Hack ist ein Trick, der das Opfer zu einer bestimmten Handlung überredet. Hier ist der Angriff am sichtbarsten. Das gilt jedoch nur begrenzt bei ausgefeilten Angriffen, die mit ausgeklügelten Social-Engineering-Methoden arbeiten.

Zum Beispiel?

In manchen Fällen bauen Hacker über einen längeren Zeitraum eine Beziehung zu ihrem Opfer auf und entwerfen ein detailliertes Betrugsnarrativ, bevor sie den eigentlichen Angriff ausführen. Es ist also immer eine Komponente von Social Engineering im Spiel, eine Betrugsmasche, die das Opfer manipuliert und zu einer Handlung bewegt.

Aber wie gesagt, ist dieser Punkt überschritten, wird es für den normalen User schwer, einen Hack aufzuspüren. Mein Tipp wäre aber: Werd' nicht paranoid. Leute kommen zu mir und sagen: ‚Meine Maus hat sich von selbst bewegt, ich wurde gehackt'. In den allermeisten Fällen bedeutet das gar nichts.

Passiert das häufig?

Unzählige Male. Oder die Leute, auch in meiner Organisation, sagen, sie wurden gehackt, weil ihre Dateien weg sind. Am Ende finde ich sie im Papierkorb.

Sind Smartphones sicherer als Rechner?

Smartphones bieten tendenziell weniger Angriffsflächen. Wenn du nicht gerade eine technisch versierte Regierung verärgert hast, verläuft der übliche Weg einer Smartphone-Infektion über schädliche Apps. Entweder weil du sie von einer unsicheren Seite heruntergeladen hast oder weil sie es geschafft haben, sich in deinen App Store einzunisten und als harmlose Apps zu tarnen. Je nach Zweck der Software können manche Apps deine Kreditkarteninformationen klauen oder sensible Daten auslesen. Manchmal können diese Apps nur schwer ihre Spuren verwischen und du siehst unbekannte SMS in deiner Inbox oder Anrufe in deiner Anrufliste, die du nie gemacht hast.

Auf Computern hast du – ausgenommen Ransomware-Attacken – noch weniger sichtbare Anzeichen für einen Hack. Du kannst eigentlich nur auf deine Antiviren-Software und dein Betriebssystem hoffen, dass sie den Hack aufspüren und dich benachrichtigen.

Wenn es schwer ist, den Hack im Nachhinein zu entdecken: Welche Vorkehrungen können normale User treffen, um die Wahrscheinlichkeit eines Angriffs zu verringern?

Aktualisiere deine Software regelmäßig. Oft kommen Leute zu mir, die drei oder fünf Jahre alte Programme auf ihren Rechnern hatten. So etwas macht dich anfällig. Also: Wenn ein Update für ein bekanntes Programm oder für deinen Virenscanner aufpoppt, klick' es nicht weg. Das klingt vielleicht trivial, aber manche Updates enthalten Softwareanpassungen, die den nächsten Angriff verhindern können.

Und vor allem: Sei vorsichtig, aber nicht paranoid. Sei skeptisch gegenüber Dingen, die du nicht kennst, besonders, wenn sie dich zu einer Handlung, zu einem Klick oder einem Download auffordern. Wenn du dir unsicher bist, überprüfe den Link mit einem Online-Virenscanner, suche im Netz nach Hinweisen oder frag' jemanden, dem du vertraust. Mit etwas grundlegender Technikhygiene und ein bisschen Wachsamkeit kannst du deine Geräte besser schützen.

Auf welchem Weg werden User im Normalfall gehackt?

Die meisten Angriffe, die ich analysiert habe, liefen über Social Engineering. Als Nutzer musst du gar keine verrückten oder besonders dumme Sachen machen – ein Hacker spielt lediglich mit deiner Komfortzone, mit deinen Routinen.

Ist der deutsche Durchschnittsnutzer zu naiv? Oder zu ungebildet?

Ich mache den Nutzern keinen Vorwurf. Ich denke nicht, dass es ihre Schuld ist, wenn sie angegriffen werden. Die Produkte, die sie kaufen, wurden nicht ausreichend gesichert und daher sind solche Angriffe überhaupt möglich. Den User wird sehr viel aufgebürdet, sie sind jetzt diejenigen, die aufpassen müssen.

Wessen Schuld ist es?

Verantwortlich ist die IT-Industrie. Wir haben eine absurde Situation in der Branche: Ein Unternehmen entwickelt ein neues Produkt, über viele Jahre und mit hohen Investitionen, und das gesamte Sicherheitsmodell klappt in sich zusammen, nur weil ein Nutzer mal auf einen falschen Button klickt. Den Leuten wird eine fehlerhafte Technologie ausgehändigt, die durch das unbewusste Fehlverhalten eines individuellen Nutzers mit einem Schlag ausgehebelt werden kann. Es ist ein grundsätzliches Design-Problem: Links sind dazu da, um angeklickt zu werden, Anhänge sind da, um aufgemacht zu werden – doch leider können Links und Anhänge heute nicht frei und sicher genutzt werden.

Wie kann es sein, dass permanent Produkte auf den Markt geworfen werden, die solch gravierende Mängel ausweisen?

Es gibt viele innovative Technologien, die unsere Geräte und Netzwerke sicherer machen würden, aber sie werden nicht eingesetzt. Andere wiederum wie die HTTPS-Verschlüsselung gibt es schon sehr lange, werden aber viel zu langsam vom Markt übernommen. Stattdessen nimmt man die Sicherheitsrisiken für Nutzer in Kauf, um Geld zu sparen. Denn ein neues System zu entwickeln, ist teuer: Man muss viel in die Forschung investieren, es muss getestet werden und so weiter. Da Sicherheit nicht unbedingt den Profit steigert und meistens zu den Kosten gerechnet wird, kommt sie erst an zweiter Stelle, hinter Funktionalität und Benutzerfreundlichkeit.

Siehst du keine Fortschritte bei den Herstellern?

Bei den Mobiltelefonen vielleicht ein bisschen, was die Verbrauchersicherheit betrifft. Aber es hat lange gedauert und einige öffentliche Bloßstellungen gebraucht, bevor Firmen ihre Software verbessert haben. Wichtige Sicherheitsstandards wie SSL- und HTTPS-Verschlüsselung werden erst seit kurzem nach und nach implementiert, und viele benutzen es immer noch nicht. Obwohl dieses Zeug seit einer Ewigkeit verfügbar ist! Selbst heute hinken viele der Entwicklung hinterher, etwa große Newsseiten wie cnn.com benutzen noch immer keine HTTPS-Verschlüsselung.

Die Webseiten großer deutscher Medien – etwa Spiegel Online oder die Tagesschau ­– leiten ebenfalls nicht automatisch auf eine https-Version weiter.

Ja. Es ist geradezu skandalös. Man fragt sich wirklich, was in den Köpfen dieser Leute vorgeht.

Zurück zu den Hacks: Wenn Nutzer es schon kaum selbst bemerken, können bestimmte Tools erkennen, ob ein Gerät infiziert wurde?

Es gibt die marktgängige Antiviren-Software, aber die schützt dich bestenfalls nur vor den schwächer designten Angriffen oder vor bereits bekannter Malware. Abgesehen davon sieht es düster aus. Es gibt keine Software, die per Mausklick einen Hack ausfindig macht. Das ist die Aufgabe von Experten, die ein trainiertes Auge für Anomalien im System haben.

Um Software-Schwachstellen und Angreifer-Kits hat sich längst ein Markt gebildet. Wer das nötige Kleingeld hat, kann sich Hackertools von der Stange kaufen. Wird es immer einfacher für Angreifer, die Geräte von ahnungslosen Nutzern zu infiltrieren?

Ich denke nicht. Die meisten Angriffe gegen Computer werden immer noch über gefälschte E-Mails, Nachrichten auf sozialen Medien oder infizierte Werbeanzeigen ausgeführt. Schwachstellen in IT-Systemen auszunutzen, ist hingegen immer schwieriger geworden. Vor ein paar Jahren musstest du einfach nur pdf-Exploits…

…, schädlicher Code, der sich in pdf-Dokumenten einnistete und eine der damals zahlreichen Schwachstellen im Adobe Reader ausnutzte, …

…verschicken, um ein Gerät zu infizieren. Heute werden die technisch weniger versierten Angreifer in den meisten Fällen versuchen, ihre Opfer so zu manipulieren, damit diese einen Fehler begehen. Das kann ein Klick auf einen Link sein, der Download eines Anhangs oder indem sie das Opfer glauben lassen, ein wichtiges Software-Update herunterzuladen.

Nach dem massenhaften Angriff durch den Wannacry- und Petya/NotPetya-Erpressungstrojaner gibt es Befürchtungen, dass es in Zukunft zu immer mehr und gefährlicheren Hackerangriffen kommen könnte.

Wannacry war eine seltene Ausnahme. Die Hacker konnten ein NSA-Tool erbeuten, also eine Cyberwaffe, in deren Entwicklung Millionen von Euro gesteckt wurde. Solche Exploits gibt es nicht wie Sand am Meer, schon gar nicht auf dem offenen Markt. Manche Exploits kosten ein oder zwei Millionen Euro. Was gar nicht schlecht ist, denn je teurer die Dinge sind, desto schwerer kommt man da ran. Ich habe viel mit Aktivisten, Journalisten und Dissidenten gearbeitet. 70 bis 80 Prozent der Fälle, in denen sie angegriffen wurden, basierten auf Social Engineering. Es waren nichts weiter als elaborierte Tricks, die die Täter anwandten. Wenn wir über Staaten reden, sind wir natürlich in einer ganz anderen Liga.

Und beim Smartphone?

Bei Smartphones läuft es meistens über gekaperte Apps, die auf Webseiten oder über den App Store verbreitet werden. Die App Stores versuchen natürlich mittels spezieller Algorithmen ihre Angebote nach infizierter Software zu durchforsten, aber manchmal schlagen die nicht an. Schädliche Apps sind in den App Stores sogar recht verbreitet. Manche Sicherheitsforscher machen die Schad-Apps öffentlich und verweisen auf die Probleme bei den App Stores. Ich sehe beinahe täglich eine neue Schad-App.

Wie erkenne ich eine infizierte App?

Das hängt vom Inhalt der App ab. Normalerweise würde ein Angreifer sie so verpacken, damit sie nach außen hin harmlos aussieht und irgendeine Funktion zu haben scheint, einen Kalender oder Übersetzer beispielsweise. Unter dieser Fake-Oberfläche tarnt sich der eigentliche Schadcode, der sich dann im Gerät des Nutzers einnistet und tut, was ihm aufgetragen wurde.

Hast du Tipps, wie man vorgehen könnte, um die Gefahr zumindest zu minimieren?

Sei am besten immer vorsichtig, bevor du etwas runterlädst. Je beliebter eine App, je mehr Leute sie sich bereits heruntergeladen haben, desto wahrscheinlicher ist es, dass es sich um normale Software handelt. Nachdem die App sich installiert hat, fragt sie nach Erlaubnis.
Ein weiterer Hinweis auf eine schädliche App könnte sein, wenn sie nach der Installation auf alle möglichen Dinge auf deinem Handy zugreifen möchte, die eigentlich nichts mit der App zu tun haben. Ein Kalender, der auf die Kamera, das Mikro, die Galerie, das Adressbuch und deine Geodaten zugreifen möchte? Sofort deinstallieren!

Wenn die App schädlichen Code enthält, kannst du auch checken, ob dein Datenvolumen innerhalb von zwei Tagen verbraucht ist, das wäre ein guter Indikator.

Ich finde also heraus, dass ich gehackt wurde und gerate in Panik. Was soll ich als nächstes tun?

Erst mal runterkommen. Wenn du im Panik-Modus bist, wirst du womöglich nicht die richtige Entscheidung treffen. Schalte dein Gerät aus und kontaktiere jemanden, dem du vertraust, am besten nicht mit dem Gerät, von dem du denkst, es ist infiziert.

Klar, ich werde kaum mit meinem gehackten Gerät nach Hilfe gegen Hacker suchen.

Du wirst lachen. Leider passiert das andauernd. Leute rufen mich an und sagen mir, dass sie glauben, ihr Handy wurde gehackt. Wenn ich sie frage, mit was sie mich anrufen, kommt dann: „Na von meinem Handy". Sie meinen ihr womöglich infiziertes Gerät.

Zumindest solltest du die Internetverbindung sofort kappen. Das Beste ist aber das gesamte Gerät auszuschalten. Entweder um zu verhindern, dass Daten verloren gehen oder gestohlen werden oder um der Selbstlöschung der Malware zuvorzukommen. Sie könnte als Beweis in einem späteren Verfahren dienen.