US-Cyberthriller: So real sind die Szenen in Blackhat

US-Cyberthriller: Ist Blackhat real?

In Blackhat werden realistische Hackerszenarien thematisiert, weiß der Forensik-Experte

Keyfacts über Internetkriminalität

  • Social Engineering Angriffe sind real
  • Fragmentierte Daten sind reproduzierbar
  • Angriffscodes per Fernsteuerung
Zusammenfassung lesen
12. Dezember 2014

In „Blackhat“ arbeitet Regisseur Michael Mann die düsteren Gefahren der Cyber-Kriminalität auf. Forensik-Experte Alexander Geschonneck erklärt, wie real die Szenen wirklich sind.

Ein Atomkraftwerk in China: Hacker sind ins Produktionsnetz eingebrochen, die Mitarbeiter kontrollieren die Instrumente, keine Auffälligkeiten. Dabei steht der asiatische Staat kurz vor einer Atomkatastrophe. Die Kriminellen greifen indes auf eine Turbine zu, die das Wasser des Reaktors kühlt. Sie überdreht und berstet. Binnen Sekunden ist der Reaktor heiß gelaufen, es kommt zur Kernschmelze.

Brutaler könnte „Blackhat“ nicht beginnen. Menschen sterben, viele werden verstrahlt und die digitalen Attentäter planen weitere Anschläge. Chris Hemsworth (u.a. „Rush“, „Thor“) spielt Hacker Nicholas Hathaway, der die Welt vor der digitalen Gefahr schützen soll. Hathaway muss eine Haftstrafe wegen Computerbetrugs absitzen. Mit seinem Smartphone hatte er sich aus seiner Zelle bereits in die Gefängnissoftware gehackt und jedem Mithäftling 500 US-Dollar überwiesen.

Zusammen mit einem ehemaligen Kommilitonen Chen Dawai (Leehom Wang) soll er die Hacker dingfest machen. Als Studenten hatten sie eben jenen Trojaner entwickelt, der jetzt die Welt bedroht.

Forensik-Experten Alexander Geschonneck erklärt:

Über Social Engineering hatte sich ein Mittelsmann Zugriff auf das Produktionsnetz des Atomkraftwerkes verschafft.

Geschonneck: Ein durchaus realistisches Szenario: Social Engineering Angriffe über speziell präparierte E-Mails, die vorgeben von einem Vertrauten zu kommen und dann Schadsoftware enthalten. Im Film bekam ein Mitarbeiter eine E-Mail von seinem Chef, dass er dringend sein Passwort ändern soll. Dazu bekam er dann noch eine angehängte Datei, wie er ein neues Passwort auswählt. Die mitgeschickte Datei öffnete ein nachgebildetes Passworteingabemenü, das die Passwörter im Hintergrund zum Angreifer übertragen hat. Das kann häufig vorkommen.

Ein im Film RAT genanntes Remote Access Tool, eine Art Fernwartungssoftware, wird durch den Angreifer im Zielsystem eingenistet und darüber dann der Angriffscode geladen. Das RAT lässt sich im Zielsystem oft nachweisen, der Angriffscode nicht immer. Mit diesem realistischen Szenario wurde der Steuerrechner des Kernkraftwerks angegriffen.

37 %

Internetnutzer gaben an, dass ihr Computer in den letzten zwölf Monaten mit Schadprogrammen infiziert wurde.

Die Festplatte wurde nach der Kernschmelze mit besonderer Software wieder hergestellt, obwohl der Datenträger zerstört ist.

Geschonneck: Der Steuerrechner hat vor dem provozierten Absturz einen sogenannten Memory-Dump auf die Festplatte geschrieben, damit man darin später Hinweise für mögliche Fehlfunktionen finden kann. Im Film findet Hathaway die Festplatte mit dem Memory-Dump, baut sie aus dem zerstörten Gehäuse und liest die Daten dann aus. Wäre die Platte durch die immense Wärme stärker zerstört gewesen, wäre dies unmöglich. So war der Ort lediglich schwer zugänglich.

Die NSA hat eine Supersoftware namens „Black Widow“, die Fragmente von gelöschten Dateien zuverlässig zusammensetzen kann.

Geschonneck: Software, die teilweise gelöschte oder stark fragmentierte Dateien wiederherstellen kann, setzen auch wir bei KPMG Forensik ein. Ob es dafür unbedingt die NSA braucht, sei dahin gestellt. Man braucht aber länger, wenn die Daten wieder zusammengesetzt werden müssen. Da hat die NSA möglicherweise mehr Kapazität.

Angriff auf den Hersteller eines bestimmten Produktes, im Film auf die Marke „Stasik Pumpen“.

Geschonneck: Dieses Beispiel ist an die bekannt gewordenen Angriffe auf die Urananreicherungszentrifugen im Iran angelehnt. Hierbei wurde durch eine Angriffssoftware eine Motorsteuerung einer Zentrifuge derart gestört, dass sie nicht mehr richtig funktionierte. Im Film überdrehten die Pumpen und der Reaktor konnte nicht mehr gekühlt werden. Jedes durch individuelle Software gesteuerte System hat auch individuelle Fehler, die ausgenutzt werden können.

Einen Trojaner über den USB-Stick am Empfang eines Unternehmens einschleusen und so Zugriff auf das Produktionsnetz erlangen.

Geschonnek: Es wäre schon recht fahrlässig, wenn aus dem öffentlichen Raum einer Empfangshalle der Zugang zum Netzwerk des Unternehmens möglich wäre. Und wenn, sollte dies nicht über einen Rechner erfolgen, der einen offenen USB-Port hat. Über einen infizierten USB-Stick Angriffscode unbemerkt einzuschleusen, ist absolut realistisch.

Alexander Geschonneck (44) ist Forensik-Experte bei der KPMG AG Wirtschaftsprüfungsgesellschaft und Autor des Buches „Computer Forensik“ – einem der deutschsprachigen Standardwerke der IT-Forensik.

Zusammengefasst

»Es braucht nicht die NSA, um gelöschte Daten wiederherzustellen. Bei der KPMG Forensik setzen wir ähnliche Softwareprogramme ein.«

Forensik-Experte Alexander Geschonneck analysiert die in „Blackhat“ dargestellte Cyber-Kriminalität. Dabei sind Social Engineering Angriffe über speziell präparierte E-Mails, die vorgeben von einem Vertrauten zu kommen und dann Schadsoftware enthalten, gar nicht so selten. Ebenso realistisch sind Angriffe durch Fernwartungssoftware, die im Zielsystem eingenistet und worüber dann der Angriffscode geladen wird. Aber selbst hohen Datenverluste können mit der richtigen Software kompensiert werden.

Alexander Geschonneck Partner, Forensic
Ganzen Artikel lesen

Kommentare

Wie gefährlich sind Cyberangriffe wirklich?

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen