US-Cyberthriller: So real sind die Szenen in

https://klardenker.kpmg.de/us-cyberthriller-so-real-sind-die-szenen-in-blackhat/
US-Cyberthriller: So real sind die Szenen in Blackhat
KEYFACTS
- Social Engineering Angriffe sind real
- Fragmentierte Daten sind reproduzierbar
- Angriffscodes per Fernsteuerung
In „Blackhat“ arbeitet Regisseur Michael Mann die düsteren Gefahren der Cyber-Kriminalität
auf. Forensik-Experte Alexander Geschonneck erklärt, wie real die Szenen wirklich sind.
Ein Atomkraftwerk in China: Hacker sind ins Produktionsnetz eingebrochen, die Mitarbeiter
kontrollieren die Instrumente, keine Auffälligkeiten. Dabei steht der asiatische Staat kurz vor
einer Atomkatastrophe. Die Kriminellen greifen indes auf eine Turbine zu, die das Wasser des
Reaktors kühlt. Sie überdreht und berstet. Binnen Sekunden ist der Reaktor heiß gelaufen, es
kommt zur Kernschmelze.
Brutaler könnte „Blackhat“ nicht beginnen. Menschen sterben, viele werden verstrahlt und die
1/5
digitalen Attentäter planen weitere Anschläge. Chris Hemsworth (u.a. „Rush“, „Thor“) spielt
Hacker Nicholas Hathaway, der die Welt vor der digitalen Gefahr schützen soll. Hathaway muss
eine Haftstrafe wegen Computerbetrugs absitzen. Mit seinem Smartphone hatte er sich aus
seiner Zelle bereits in die Gefängnissoftware gehackt und jedem Mithäftling 500 US-Dollar
überwiesen.
Zusammen mit einem ehemaligen Kommilitonen Chen Dawai (Leehom Wang) soll er die
Hacker dingfest machen. Als Studenten hatten sie eben jenen Trojaner entwickelt, der jetzt die
Welt bedroht.
Forensik-Experten Alexander Geschonneck erklärt:
Über Social Engineering hatte sich ein Mittelsmann Zugriff auf das
Produktionsnetz des Atomkraftwerkes verschafft.
Geschonneck: Ein durchaus realistisches Szenario: Social Engineering Angriffe über speziell
präparierte E-Mails, die vorgeben von einem Vertrauten zu kommen und dann Schadsoftware
enthalten. Im Film bekam ein Mitarbeiter eine E-Mail von seinem Chef, dass er dringend sein
Passwort ändern soll. Dazu bekam er dann noch eine angehängte Datei, wie er ein neues
Passwort auswählt. Die mitgeschickte Datei öffnete ein nachgebildetes Passworteingabemenü,
das die Passwörter im Hintergrund zum Angreifer übertragen hat. Das kann häufig vorkommen.
Ein im Film RAT genanntes Remote Access Tool, eine Art Fernwartungssoftware, wird durch
den Angreifer im Zielsystem eingenistet und darüber dann der Angriffscode geladen. Das RAT
lässt sich im Zielsystem oft nachweisen, der Angriffscode nicht immer. Mit diesem realistischen
Szenario wurde der Steuerrechner des Kernkraftwerks angegriffen.
37 %
Internetnutzer gaben an, dass ihr Computer in den
letzten zwölf Monaten mit Schadprogrammen
infiziert wurde.
Die Festplatte wurde nach der Kernschmelze mit besonderer Software wieder
hergestellt, obwohl der Datenträger zerstört ist.
Geschonneck: Der Steuerrechner hat vor dem provozierten Absturz einen sogenannten
Memory-Dump auf die Festplatte geschrieben, damit man darin später Hinweise für mögliche
Fehlfunktionen finden kann. Im Film findet Hathaway die Festplatte mit dem Memory-Dump,
baut sie aus dem zerstörten Gehäuse und liest die Daten dann aus. Wäre die Platte durch die
immense Wärme stärker zerstört gewesen, wäre dies unmöglich. So war der Ort lediglich
schwer zugänglich.
2/5
Die NSA hat eine Supersoftware namens „Black Widow“, die Fragmente von
gelöschten Dateien zuverlässig zusammensetzen kann.
Geschonneck: Software, die teilweise gelöschte oder stark fragmentierte Dateien
wiederherstellen kann, setzen auch wir bei KPMG Forensik ein. Ob es dafür unbedingt die NSA
braucht, sei dahin gestellt. Man braucht aber länger, wenn die Daten wieder zusammengesetzt
werden müssen. Da hat die NSA möglicherweise mehr Kapazität.
Angriff auf den Hersteller eines bestimmten Produktes, im Film auf die Marke
„Stasik Pumpen“.
Geschonneck: Dieses Beispiel ist an die bekannt gewordenen Angriffe auf die
Urananreicherungszentrifugen im Iran angelehnt. Hierbei wurde durch eine Angriffssoftware
eine Motorsteuerung einer Zentrifuge derart gestört, dass sie nicht mehr richtig funktionierte. Im
Film überdrehten die Pumpen und der Reaktor konnte nicht mehr gekühlt werden. Jedes durch
individuelle Software gesteuerte System hat auch individuelle Fehler, die ausgenutzt werden
können.
Einen Trojaner über den USB-Stick am Empfang eines Unternehmens
einschleusen und so Zugriff auf das Produktionsnetz erlangen.
Geschonnek: Es wäre schon recht fahrlässig, wenn aus dem öffentlichen Raum einer
Empfangshalle der Zugang zum Netzwerk des Unternehmens möglich wäre. Und wenn, sollte
dies nicht über einen Rechner erfolgen, der einen offenen USB-Port hat. Über einen infizierten
USB-Stick Angriffscode unbemerkt einzuschleusen, ist absolut realistisch.
Alexander Geschonneck (44) ist Forensik-Experte bei der KPMG AG
Wirtschaftsprüfungsgesellschaft und Autor des Buches „Computer Forensik“ – einem der
deutschsprachigen Standardwerke der IT-Forensik.
3/5
Alexander Geschonneck
Partner, Forensic
› Nachricht schreiben
› Unsere Services
ZUSAMMENGEFASST
»Es braucht nicht die NSA, um gelöschte Daten wiederherzustellen.
Bei der KPMG Forensik setzen wir ähnliche Softwareprogramme
ein.«
Forensik-Experte Alexander Geschonneck analysiert die in „Blackhat“ dargestellte Cyber-Kriminalität.
Dabei sind Social Engineering Angriffe über speziell präparierte E-Mails, die vorgeben von einem
Vertrauten zu kommen und dann Schadsoftware enthalten, gar nicht so selten. Ebenso realistisch sind
Angriffe durch Fernwartungssoftware, die im Zielsystem eingenistet und worüber dann der Angriffscode
geladen wird. Aber selbst hohen Datenverluste können mit der richtigen Software kompensiert werden.
© KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KMPG International
Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Recht vorbehalten.
4/5
5/5