Passive und aktive Angriffe mit Verschlüsselung: Was ist der Unterschied?

Kriminelle sind heute gewiefter und die Schadprogramme ausgefeilter als je zuvor. Moderne Malware kann den PC eines Opfers infizieren und lange Zeit unentdeckt bleiben. Und immer höhere Rechenleistungen ermöglichen es, selbst schwierige Passwörter in Sekundenbruchteilen zu knacken. Das Motiv hinter den meisten Cyberangriffen ist heute nicht mehr, Ihren Computer zu beschädigen, sondern Ihr Geld zu stehlen, auf Ihre privaten Daten zuzugreifen oder an Ihre Benutzernachweise heranzukommen. Konzeptionell lassen sich Cybersicherheitsrisiken in zwei Hauptkategorien unterteilen: passive und aktive Angriffe. In diesem Artikel werden wir kurz auf den Unterschied zwischen diesen beiden Angriffsformen eingehen und zu beiden einige anschauliche Beispiele geben.

Passiver Angriff

Bei einem passiven Angriff überwacht ein Eindringling ein System und die Netzwerkkommunikation und scannt nach offenen Ports und anderen Schwachstellen. Beispielsweise könnte er ein ungepatchtes System missbrauchen oder sich ein abgelaufenes Zertifikat auf einem Sicherheitsgerät zunutze machen (so trug etwa zu dem Datendiebstahl bei Equifax ein abgelaufenes Zertifikat bei, das dem Sicherheitsteam des Unternehmens entgangen war).

Sobald der Angreifer ins Netzwerk eingedrungen ist, kann er auf verschiedene Weise Informationen sammeln. Bei passivem Footprinting versucht er, möglichst viele Erkenntnisse zu gewinnen, die er zu einem späteren Zeitpunkt verwerten kann, um das Zielsystem oder -Netzwerk zu attackieren. Ein Beispiel: Der Eindringling zeichnet den Netzwerkverkehr mit einem Paketanalyse-Tool wie Wireshark auf, um ihn später zu analysieren.

Sponsorships Available

Sponsorships Available

Sponsorships Available

Eine weitere Art von passivem Angriff ist die Installation eines Keyloggers. Der Eindringling wartet dann darauf, dass der Benutzer seine Zugangsdaten eingibt, und zeichnet sie zur späteren Verwendung auf.

Die beiden häufigsten Anwendungsfälle für passive Angriffe sind:

1. Traffic-Analyse: Bei dieser Art von Angriff überwacht der Angreifer die Kommunikationskanäle, um eine Reihe von Informationen zu sammeln. Dazu gehören Personen- und Maschinenidentitäten, die Standorte dieser Identitäten und gegebenenfalls die verwendeten Verschlüsselungsarten. 
2. Abfangen von Nachrichteninhalten: Bei dieser Angriffsform überwacht ein Angreifer ein ungeschütztes Kommunikationsmedium, zum Beispiel unverschlüsselte E-Mails oder Telefonanrufe, um sensible Informationen abzufangen.

Eine weitere Form von passivem Angriff ist die „passive Aufklärung“. Dabei versucht ein Angreifer, über das Internet wichtige Informationen über das Zielunternehmen zu erhalten, ohne Datenverkehr (Pakete) an den Zielserver oder das Zielnetzwerk senden zu müssen. Beispiele für einen solchen Angriff sind das Durchsuchen von Website-Inhalten nach relevanten Informationen (z. B. Kontaktdaten von Mitarbeitern), die bei aktiven Angriffen verwendet werden können, oder das Aufspüren von Dateien, die ungeschützt auf einem Zielserver liegen – zum Beispiel Konferenzunterlagen oder geistiges Eigentum.

Passive Angriffe zu erkennen ist in vielen Fällen schwierig bis unmöglich, da dabei keinerlei Daten verändert werden. Trotzdem können Sie Schutzmaßnahmen ergreifen, um solche Angriffe zu stoppen:

1. Nutzen Sie Techniken zur Verschlüsselung von Nachrichten, damit diese für unbefugte Empfänger unlesbar sind. In diesem Fall können zwei Arten von Verschlüsselung implementiert werden:

• Symmetrische Schlüssel (gleicher Schlüssel auf beiden Seiten) – allerdings ist es problematisch, den geheimen Schlüssel auch geheim auszutauschen.
• Public-Key-Verschlüsselung, bei der jede beteiligte Partei (ob Benutzer, Programm oder System) zwei Schlüssel besitzt: einen öffentlichen und einen privaten, der geheim gehalten werden muss. Ein Beispiel für diese Form ist die Verwendung von SSL/TLS-Zertifikaten (HTTPS), um zu gewährleisten, dass bei der Kommunikation zwischen einem Webserver und dem Browser eines Benutzers die Maschinenidentitäten gültig sind.

2. Achten Sie darauf, keine sensiblen Informationen (z. B. personenbezogene Daten und Unternehmensdaten) öffentlich zu machen, die von externen Hackern verwendet werden könnten, um in Ihr privates Netzwerk einzudringen.  

Abbildung 1 – Passiver Angriff (Traffic-Analyse)

Aktiver Angriff

Bei einem aktiven Angriff werden Informationen, die während eines passiven Angriffs gesammelt wurden, dazu verwendet, einen Benutzer oder ein Netzwerk zu kompromittieren. Es gibt viele Arten von aktiven Angriffen. Bei einem Maskierungsangriff gibt sich ein Eindringling als ein anderer Benutzer aus, um Zugang zum geschützten Bereich eines Systems zu erhalten. Bei einem Replay-Angriff greift der Eindringling ein Paket aus dem Netzwerk ab und leitet es an einen Dienst oder eine Anwendung weiter, um sich als der Benutzer auszugeben, der das Paket ursprünglich gesendet hat. Weitere Beispiele für aktive Angriffe sind Denial-of-Service (DoS)- und Distributed Denial-of-Service (DDoS)-Attacken. Diese verhindern, dass autorisierte Benutzer auf eine bestimmte Ressource in einem Netzwerk oder im Internet zugreifen können (z. B. durch Überfluten eines Webservers mit mehr Traffic, als er bewältigen kann).

Bei einem aktiven Angriff ist die Wahrscheinlichkeit größer als bei einem passiven, dass ihn das Opfer während der Ausführung schnell bemerkt. Hier einige Vorsichtsmaßnahmen, die Sie gegen Angriffe dieser Art ergreifen können:

1. Mit einem zufälligen Sitzungsschlüssel, der nur für jeweils eine Transaktion gültig ist, lässt sich verhindern, dass ein böswilliger Benutzer eine Nachricht erneut sendet, nachdem die ursprüngliche Sitzung bereits beendet wurde.
2. Die Verwendung von Einmal-Passwörtern hilft bei der Authentifizierung von Transaktionen und Sitzungen zwischen kommunizierenden Parteien. Selbst wenn ein Angreifer eine Nachricht erfolgreich aufzeichnen konnte und sie erneut sendet, wird das zugehörige Passwort inzwischen abgelaufen sein.
3. Nutzen Sie das Authentifizierungsprotokoll Kerberos (normalerweise unter Microsoft Windows Active Directory verwendet), das viele Gegenmaßnahmen gegen verschiedene Arten von Replay-Angriffen unterstützt. 

Abbildung 2 – Demonstration eines aktiven Angriffs (Veränderung einer Nachricht)

Fazit

Cybersicherheitsrisiken lassen sich grob in zwei Arten unterteilen: passive und aktive Angriffe. Bei einem passiven Angriff werden keine Daten verändert und der Benutzer wird ihn nicht bemerken, sofern er nicht über ein System verfügt, das Maschinenidentitäten überwacht und schützt. Bei einem aktiven Angriff werden Systemressourcen und -daten verändert oder anderweitig beschädigt, was Auswirkungen auf den Systembetrieb hat. Der Benutzer wird einen aktiven Angriff zwar leichter bemerken als einen passiven. Ohne richtige Überwachung und Schutzmaßnahmen für die Benutzer- und Maschinenidentitäten lässt sich die zugrundeliegende Ursache aktiver Angriffe jedoch nur schwer feststellen.

Verwandte Beiträge

• Most Cyber Attacks Now Use Encryption: Are You Prepared for the Good, the Bad and the Ugly? 
• More Wild Cards, More Problems: The Safest Bets for Keeping Threats Out of Encryption
• Yahoo! Breach Expands: 3 Billion Reasons Why Encryption Security Matters

Im Internet lauern viele Gefahren! Wann immer Sie online gehen, sind Sie potenziellen Risiken ausgesetzt. Innerhalb dieses Risikospektrums gibt es verschiedene Arten von Computerbedrohungen, die unterschiedliche Auswirkungen haben können. So können beispielsweise einige Bedrohungen Ihr installiertes Betriebssystem beschädigen, sodass Sie es neu installieren müssen. Eine andere Form von Bedrohung kann dazu führen, dass Ihre Anmeldedaten und gespeicherten Passwörter gestohlen werden. Und wieder andere Bedrohungen fügen zwar Ihrem PC keinen Schaden zu, verfolgen aber Ihre Online-Aktivitäten und verletzen Ihre Privatsphäre.