Wohl noch nie in der Geschichte der IT-Sicherheit haben sich Hackergruppierungen schneller bekannt gemacht als Anonymous und LulzSec in den vergangenen Wochen und Monaten. Wobei es schwierig ist, von Gruppierungen zu sprechen. Anonymous – dessen Geschichte offenbar schon zehn Jahre zurück reicht, wie ein Video erklärt – sieht sich eher als loser Verbund von immer neuen Individuen, die jeweils nur durch die gleiche Idee vereint werden. Ideen wie beispielsweise die Verteidigung von Wikileaks, Attacken gegen die Scientology-Kirche oder die Angriffe auf Sony. Letztere wiederum waren eine Reaktion auf das harsche Vorgehen des Konzerns gegen den Playstation-Hacker Geohot (Georg Hotz).

Wer jeweils hinter diesen Angriffen steckt, wie viele Strömungen es innerhalb von Anonymous gibt – unklar. Auch die Arbeiten der US-Professorin Gabriella Coleman, die sich seit einiger Zeit mit Anonymous beschäftigt, liefern hier keinen Aufschluss.

Fest dürfte jedoch stehen, dass sich verschiedenste Gruppierungen und Interessengemeinschaften an Sony schadlos hielten. Zuletzt waren es derart viele Angriffe, dass von „Sownage“ – in Anlehnung an den Hackerjargon „Pwnage“ – die Rede war. Eine Tabelle auf attrition.org liefert Aufschluss über die einzelnen Angriffe. Aus der Aufstellung geht auch hervor, dass es keine koordinierten Angriffe waren und dass LulzSec vergleichsweise spät auf den Plan trat. Anders als Anonymous scheint LulzSec nicht vorrangig politische Ziele zu vertreten. Vielmehr hacke man Webseiten „just for the lulz“. Lulz ist eine Verballhornung von „lol“, also „laughing out loud“. Es geht also nur um Spaß.

Dass sich der Spaß für all diejenigen in Grenzen hält, die Opfer der Hacks wurden, dürfte auf der Hand liegen. LulzSec gab per Twitter mehrfach bekannt, dass man sich am Schaden der Opfer weide. Außerdem motivierten die Online-Chaoten ihre Anhänger, möglichst viel Schaden mit den 60.000 kürzlich veröffentlichten Nutzernamen und Passwörtern anzurichten. Woher die Logindaten stammen, wurde nicht bekannt. Erst wenige Tage zuvor flossen 26.000 Nutzernamen einer Pornowebsite auf diese Weise ins Netz.

Geschädigt wurden also nicht nur Webseitenbetreiber, sondern abertausende unbeteiligte Nutzer. Denn wie LulzSec richtig annahm, verwendeten viele dieser Anwender die gleichen Anmeldedaten für verschiedenste Onlinedienste. Die Anhänger, die die Logindaten missbrauchten, konnten sich so in zahlreiche Facebook-, PayPal-, Google-Mail-, Amazon- oder eBay-Konten einloggen.

Insbesondere durch solche Aktionen und die Angriffe auf Unternehmen und Netzwerke der Spieleindustrie (Bethesday, Codemasters, Minecraft und Nintendo) machte sich LulzSec Feinde in der Online-Gemeinde. Die Hacker scheint das nicht zu interessieren, wie ihr jüngstes Manifest verlauten lässt. Sie schieben die Schuld auf die „menschliche Natur“. Damit sind wahrscheinlich die Nachlässigkeiten gemeint: Sony sicherte seine Datenbestände derart nachlässig, dass Anonymous eine SQL-Injection zum Einsteigen genügte. Nutzer von Webdiensten verwenden aus Bequemlichkeit das gleiche Passwort immer wieder.

Was auch immer jeder Einzelne von den rasant bekannt gewordenen Hackern halten mag, eines steht fest: Selten wurde das Thema IT-Sicherheit so oft und so brachial ins Rampenlicht gerückt. Insbesondere LulzSec legt Schwächen, Schlampereien, über Jahre mitgeschleppte Nachlässigkeiten schonungslos offen. Natürlich auf Kosten der jeweiligen Opfer. Aber vielleicht haben die Angriffe ja auch etwas Gutes? Vielleicht prüfen Organisationen jetzt umso rascher und intensiver, wie sicher ihre Infrastrukturen sind? LulzSec scheint keine bestimmten Ziele im Visier zu haben. Die Hacker nehmen aufs Korn, was auch immer ihnen vor die digitale Flinte kommt. Beziehungsweise nehmen per Telefon-Hotline Aufträge über zu hackende Sites und Netzwerke entgegen.

Dies bedeutet: Niemand kann sich sicher fühlen. Alles im Netz kann das Interesse des hackenden Schwarms wecken. Unabhängig davon, ob man es sich zuvor mit der Netzgemeinde verscherzt hat oder nicht. Von daher gilt dringlicher denn je: Alle relevanten, mit dem Internet verbundenen Systeme sollten regelmäßig auf ihre Abwehrkraft hin geprüft werden. Dies beginnt bei regelmäßigen Updates aller Softwarekomponenten, geht weiter über komplexe und niemals mehrfach verwendete Passwörter und endet beim Schreiben von sicherem Code sowie dem Verschlüsseln von Datenbanken. Andernfalls laufen die Betreiber der Systeme Gefahr, die Hauptperson eines der mit „Tango Down“ beginnenden Tweets von LulzSec zu werden. Tango Down stammt aus dem Militärjargon und bedeutet, dass das Ziel getötet wurde.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.