Warum hat sich "gehackt werden" so etabliert?
Immer öfters beobachte ich, dass der Begriff "gehackt werden" für die verschiedensten Situationen genutzt wird, in welche der Begriff meines Wissens nach gar nicht passt.
Oft wird der Begriff auch für Social Engineering eingesetzt, obwohl ich dachte, dass das "Hacken" damit gar nichts zu tun hat.
Wenn jemand seine Daten freiwillig in ein Formular eingibt, obwohl es sich um einen Fake handelt (z.B. von einer Social Media Website), ist es dann immer noch "gehackt werden", wenn jemand diese Daten benutzt, um auf den Account zuzugreifen?
Unter "gehackt werden" stelle ich mir eine Person vor, die Stunden damit verbringt, mein Passwort durch Brute-Force zu knacken, auf mein Gerät durch eine Backdoor zuzugreifen oder Daten aus einer Datenbank zu extrahieren.
Mir ist durchaus bewusst, dass der Begriff "gehackt werden" einfach verständlich ist und die Bedeutung (fast) jedem klar sein sollte. Aber warum hat sich der Begriff im Anwenderbereich so etabliert?
6 Antworten
Oft wird der Begriff auch für Social Engineering eingesetzt, obwohl ich dachte, dass das "Hacken" damit gar nichts zu tun hat.
Social Engineering ist eine sehr wichtige Taktik für Hacker. Meist ist es viel einfacher Menschen zu überlisten als die Systeme selber!
Ich habe bei Tests auch immer wieder gerne darauf zurückgegriffen. Meist in der Form von gezielteren Spearphishing.
Wenn jemand seine Daten freiwillig in ein Formular eingibt, obwohl es sich um einen Fake handelt (z.B. von einer Social Media Website), ist es dann immer noch "gehackt werden", wenn jemand diese Daten benutzt, um auf den Account zuzugreifen?
Doch! Phishing und Social Engineering sind auch für einen Großteil der Hackangriffe verantwortlich! Darum sollte man auch so dringend verpflichtende Security Awareness Trainings in allen Firmen und Schulen einführen.
Weit über 90% der Hackangriffe basieren auf einfachen und relativ leicht zu erkennenden Tricks wie Phishing, XSS, CSRF, usw.
Meist wird dies mit Social Engineering kombiniert um den User dazu zu bringen diese Angriffe zu starten.
Unter "gehackt werden" stelle ich mir eine Person vor, die Stunden damit verbringt, mein Passwort durch Brute-Force zu knacken, auf mein Gerät durch eine Backdoor zuzugreifen oder Daten aus einer Datenbank zu extrahieren.
Die meisten Seiten werden Userkonten nach wenigen Versuchen für eine bestimmte Zeit sperren. Also ist Bruteforce in der Regel keine Option.
SQLi um Daten aus Datenbanken abzugreifen und Credential Stuffing sind weitere beliebte Optionen. Auf die Hash-Werte in der Datenbank kann man dann auch Bruteforce-Angriffe fahren.
Aber warum hat sich der Begriff im Anwenderbereich so etabliert?
Einerseites weil er eben verständlich ist und andererseits weil mit einfachen "Trick" wie XSS, Phishing oder Social Engineering in so vielen fällen eben der erste Foothold etabliert wird auf den man dann aufbauen kann.
Außerdem gibt es nur wenige "Hacker" die auch wirklich hacken können. Die Meisten die umgangssprachlich als "Hacker" bezeichnet werden sind eigentlich nur Kriminelle die mit einfachen Angriffen Accountdaten erbeuten oder sogar einfach nur Accountdaten zukaufen um damit Straftaten zu begehen.
Der normale User der es nicht mal schafft einen Phishing-Angriff zu erkennen kann dies aber nicht unterscheiden.
Du darfst diese Angriffsmethoden aber nicht unterschätzen - 2021 war der Schaden den Hackangriffe und Cyberkriminelle verursachten 220 Milliarden. Ein Großteil davon kann man einfachen Techniken wie Phishing, Social Engineering, XSS, etc. zuschreiben.
Oft wird der Begriff auch für Social Engineering eingesetzt, obwohl ich dachte, dass das "Hacken" damit gar nichts zu tun hat.
Wenn das nichts miteinander zu tun hat, wie erklärst du dir dann, dass die Angriffsziele von Hackern primär nicht die Systeme, sondern deren Nutzer sind?
Es ist doch deutlich leichter einen Nutzer zu überlisten als eine Schwachstelle in einem System zu finden..... Und schon bist du bei Social Hacking!
Auch bei potentiellen Angreifern ist Zeit = Geld und man hält sich nicht ewig mit einem Weg auf, der viel Zeit kostet, sondern geht den Weg des geringsten Widerstandes -> über den Nutzer.
Das hat sich etabliert, weil es u.a. auch die Verantwortung für die Kompromittierung der eigenen Accounts und Hardware von sich weglenkt.
Da das ja oft aus Unkenntnis passiert ist, passt es dann auch, dass jemand davon spricht selbst gehackt worden zu sein, obwohl das ja auch schon grundsätzlich falsch ist, die Hardware oder oder Accounts wurden ja gehackt, nicht die Person.
Selbst das Wort Hacking bzw Hacker hat ja schon mehrere Bedeutungen. Früher war es einfach nur ein englischer Begriff für einen Tüftler, heute sagt man eben zB Maker zu diesen.
In der neueren Bedeutung des Wortes bezeichnet es einfach nur das illegale Eindringen in Computer Systeme bzw das stehlen von digitalen Daten. Social Engineering gehört am Ende hier genau so dazu wie das Ausnutzen von Exploits.
Das ist wie mit "überfahren werden": Da wird auch nicht differenziert zwischen "zu unvorsichtig über die Straße gelaufen" und "von einem betrunkenen Autofahrer auf dem Gehweg erwischt worden". Das Ergebnis zählt.
Oft genug weiß man ja auch gar nicht, was alles im Vorfeld passiert ist. Es passiert aus heiterem Himmel: Plötzlich lag man unter dem Auto, plötzlich war man gehackt.