Wer oder was sind … Skript Kiddies?

Gefahr von unten

  • Skript Kiddies sind eine potentielle Gefahr für die Betriebssicherheit
  • „Gute“ und „böse“ Hacker-Experten liefern sich einen Kampf
  • Veraltete IT-Infrastrukturen großer Unternehmen sind tickende Zeitbomben

Wenn man die Meldungen zu Internet-Angriffen in den Medien überfliegt, ist oft von Geheimdiensten und auch Militärorganisationen die Rede, die im Auftrag ihrer jeweiligen Regierung Hackerangriffe durchführen. Sie wollen an vertrauliches Material politischer Entscheidungsträger gelangen, Schwachstellen in der digitalen Infrastruktur eines potentiellen Kriegsgegners auskundschaften oder Industriespionage betreiben.

Aufgeschreckt wurde die Öffentlichkeit kürzlich von der Tatsache, dass es gar keiner feindlichen Regierungsorganisation bedarf, um beträchtlichen, digitalen Schaden anzurichten. Ein gerade einmal 20-jähriger vermeintlicher Hobby-Hacker ist für das schwerwiegendste Datenleck der jüngeren Vergangenheit verantwortlich. Gemeint ist der Skandal um die Veröffentlichung von Millionen privaten und sensiblen Informationen vieler bekannter Persönlichkeiten (darunter deutsche Politiker, Journalisten und Musiker), der im Januar bekannt wurde.

Im Zusammenhang mit dieser Tat kursierte auch der Begriff „Skript Kiddies“, der leider sehr oft missverstanden oder schlicht im falschen Zusammenhang verwendet wird. Das ändert jedoch nichts daran, dass es diese – fast schon verniedlichend bezeichneten – Personen gibt, und dass sie für Störungen und auch Ausfälle bei Online-Diensten sorgen können. Und daher muss man sie nicht nur zur Kenntnis nehmen, sondern auch als potentielle Gefahr für die Betriebssicherheit von an das Internet angeschlossenen Systemen sehen.

In der Regel handelt es sich bei Skript Kiddies (SK) um Jugendliche oder junge Erwachsene, die eine Affinität zu Computern mitbringen, allerdings (noch) nicht über ein umfangreiches Fach- oder Expertenwissen verfügen. Was die Gruppe jedoch eint ist die Motivation, die Welt der Erwachsenen durch Regelbrüche herauszufordern, verstärkt durch den Wunsch nach Anerkennung und „es allen zu zeigen“.

Kampf zwischen White Hat Hackern und Black Hat Hackern

Diese jungen Menschen treffen in der IT-Welt auf eine Szene, in der sich Computerexperten rund um den Globus tagtäglich einen Kampf liefern: Software-Entwickler rollen ständig neuen Code aus, der (natürlich) nicht fehlerfrei ist und beim „Kontakt“ zum Internet unerwünschte Sicherheitsprobleme mit sich bringen kann. Da sind dann „White Hat Hacker“ gefragt – Profis, die versuchen potentielle Schwachstellen und Lecks zu erkennen, bevor das andere tun. Nämlich die Fraktion der „Black Hat Hacker“. Diese sind – möglicherweise im fremden Regierungsauftrag – ständig bemüht, Hintertüren in Code zu finden, um dann erfolgversprechende Cyber-Attacken zu starten oder ihr Wissen für viel Geld im kriminellen Milieu zu verkaufen – oder vielleicht auch nur um bei der Entwicklung eines Staatstrojaners zu helfen (sic!).

Was die genannten Hacker-Experten gemeinsam haben – egal ob kriminell oder nicht – ist, dass sie für ihre Arbeit spezielle Software benötigen, die sie entweder selbst entwickeln oder die andere bereits entwickelt haben. Dabei handelt es sich um Programme zum Scannen von Computern und zum Finden von Schwachstellen, die sich für Angriffe nutzen lassen (sogenannte Exploits). Eines der bekanntesten Tools dieser Art nennt sich denn auch Metasploit und ist im Netz frei verfügbar. Und wie andere Dinge auch, lassen sich Hacker-Werkzeuge sowohl im Guten wie im Schlechten einsetzen. Dann gibt es noch Programme mit Namen wie „Stacheldraht“ oder „Tribal Flood Net“, wo schon die Namen nichts Gutes erwarten lassen.

Trifft also gesundes Halbwissen auf einen Markt mit verfügbaren Schwachstellen-Scannern und Angriffs-Tools und ist dann noch die notwendige (kriminelle) Energie vorhanden, dann kommt es fast unweigerlich zum Schaden. Eine öffentlich zugängliche Suchmaschine wie Shodan, die dann auch noch dabei hilft, verwundbare, vernetzte Geräte des sogenannten Internet of Things (IoT) aufzufinden, macht es den Angreifern zusätzlich leicht, ohne Expertenwissen einfache Software-Skripte (daher Skript Kiddies) zu entwickeln, die verwundbare Systeme nicht nur finden, sondern auch sofort automatisiert attackieren. Zu allem Überfluss existiert seit ungefähr einem Jahr ein quelloffenes Programm namens Autosploit, das die Funktionalität von Shodan mit der von Metasploit kombiniert.

In IT-Abteilungen großer Unternehmen herrscht ein (gefährlicher) Sparkurs

Es sollte nicht unerwähnt bleiben, dass die Profis der Szene – hier meine ich die großen Software-Unternehmen – einen ganz wesentlichen Anteil am Erfolg von Skript-Kiddie-Aktivitäten haben. Es vergeht kein Tag, an dem Experten nicht davor warnen, dass die Sicherheit von Betriebssystemen teilweise sträflich vernachlässigt wird. Nicht nur, dass es den Windows-Monokultur-Angreifern sehr leicht macht, viele Systeme gleichzeitig mit Schadprogrammen zu infizieren, oft wird auf mitgeteilte Schwachstellen gar nicht oder nur unwillig und langsam mit Patches reagiert. Viele Unternehmen leisten sich überdies bei ihren IT-Abteilungen einen verantwortungslosen Sparkurs. Und dann sind da noch die veralteten Systeme – teilweise Internet-Infrastrukturgeräte wie Router -, die nicht mehr mit neuer Software versorgt werden. Das sind tickende Zeitbomben.

Alle Faktoren zusammengenommen halten die Skript-Kiddie-Szene am Leben. Bislang gilt unter Experten als positive Nachricht: SK-Angriffe sind zumeist standardisiert und laufen „an der Oberfläche“ ab, das heißt sie verursachen Server-Ausfälle (DoS), Server-Überlastung (DDoS) oder verunstalten vorübergehend Webauftritte durch sogenanntes Website-Defacement, auch Web-Graffiti genannt. In Systeme mit funktionierenden Sicherheitsarchitekturen können sie zumeist nicht tiefer vordringen, der Schaden hält sich also in Grenzen.

Diese Sichtweise zeugt von viel Arroganz und muss dringend revidiert werden: Wenn es IT-Vandalen nicht mehr „nur“ darum geht, Aufmerksamkeit zu erlangen, sondern sie durch massive Indiskretion Angriffe auf die Privatsphäre von Menschen durchführen, dann müssen alle Fachleute umdenken. Verstöße gegen den Datenschutz sind in unserer modernen digitalisierten Welt kein Kavaliersdelikt, sondern zerstören Lebensläufe. Sie gehören mit allen Mitteln unterbunden. Und Unternehmen, die das nicht ernst nehmen, gehören vom Markt.

PS.: Wer beim Lesen dieses Beitrags – entgegen meiner beabsichtigten Wirkung – Lust auf eine Karriere als Skript Kiddie bekommen hat, dem sei folgender Artikel des Chaos Computer Clubs wärmstens empfohlen: https://koeln.ccc.de/ablage/artikel/sk-howto.xml

 

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Close
Close