Kirchheimer Umland

Geheimdienste und „Skriptkiddies“

Die Schwachstelle bei der Computersicherheit ist der Mensch – Hauptrisiko Bequemlichkeit

Über Hackerangriffe kann man rein theoretisch reden. Florian Greinert und Florian Demaku von der Firma mecodia machten beim WUD-Unternehmertag in Ötlingen weit mehr. Sie zeigten in Echtzeit, was Gauner dank Sicherheitslücken alles anstellen können. Die Zuschauer im Zelt trauten ihren Augen nicht.

Florian Greinert (links) und Florian Demaku zeigen beim WUD-Unternehmertag, wie man andere Rechner und Firmen angreifen kann. Hi
Florian Greinert (links) und Florian Demaku zeigen beim WUD-Unternehmertag, wie man andere Rechner und Firmen angreifen kann. Hier kaufen die beiden auf der Website eines Weinhändlers ein, manipulieren aber zuvor die Verkaufspreise: Schon gibt es den Wein erheblich billiger. Sie haben die Bestellung nicht abgeschickt, sondern nur die Möglichkeit demonstriert. Foto: Peter Dietrich

Kirchheim. Was soll die Flasche Wein denn kosten? Sind 10,30 Euro zu viel? Zum Glück – für den Gauner – gibt es im ansonsten versteckten Formular, das hinter dem Webshop steht, ein ungeschütztes Feld für einen Sonderpreis. Flugs hatten die beiden Referenten fünf Flaschen zu je 1,30 Euro im Warenkorb. Abgeschickt haben sie die Bestellung nicht, doch sie hätten es tun können. Entweder hätte dann ein Mitarbeiter des Weinversenders den zu niedrigen Preis bemerkt – oder, falls es sich um ein automatisiertes System handelt, eben nicht.

Anzeige

Ob sich die Mitarbeiter einer Bäckerei wohl gewundert haben, dass sich die Überwachungskamera in ihrem Geschäft plötzlich bewegte? Weil die Kamera über WLAN erreichbar und nicht mit einem Passwort geschützt war, konnten Greinert und Demaku direkt auf sie zugreifen. Viel heikler wäre dies bei einer Kamera in einer Produktionshalle oder in einem Büro – bei mancher Kamera lässt sich sogar heranzoomen, was denn da so auf dem Schreibtisch liegt.

Der spezielle USB-Stick sah ganz normal aus, verbarg aber zugleich eine Tastaturfunktion. Kaum eingesteckt, gab er unerkannt Befehle aus und lud aus dem Internet Software nach – ohne dass ein Virenscanner anschlug. So wurde deutlich, warum manche Unternehmen die USB-Schnittstellen von Rechnern mit Heißkleber verschließen – ein sehr effektiver Schutz. „Eigentlich sollte man ganz auf USB-Sticks verzichten“, rieten die Experten. Wie schnell sich per sipgate eine Telefonnummer manipulieren lässt, zeigten sie ebenfalls, das angerufene Mobilgerät zeigte sogleich die falsche Nummer des Anrufers an.

Wer greift an? Das sind zum einen staatliche Stellen wie Geheimdienste und das Militär, hinter der Sabotage einer iranischen Atomanlage wird der amerikanische und israelische Geheimdienst vermutet. Das sind Betrüger und Erpresser, die sich etwa im Internet einen Zugang für ein PayPal-Konto kaufen und anschließend abräumen. Das sind politisch motivierte „Hacktivisten“, die im Netz ihren „elektronischen Dschihad“ führen. Das sind Spammer, die ihre E-Mails in riesigen Mengen versenden. Wenn nur ein winziger Bruchteil hereinfällt, lohnt sich das. Und das sind zuletzt „Skriptkiddies“, also gelangweilte Jugendliche, die sich mal eben aus einem Baukasten etwas zusammenbasteln. Auch Schwachstellen in Software lassen sich im Netz erwerben: Beim Adobe Reader sind dafür etwa 5 000 bis 30 000 US-Dollar fällig, bei Mobilgeräten geht es ab 100 000 Dollar los. Weil viele Nutzer bei den Updates schlampen, wirken solche Sicherheitslücken auch nach ihrer Schließung noch lange nach.

Laut Greinert und Demaku betrifft Spionage, Sabotage und Datenklau jedes zweite Unternehmen, laut einer Umfrage bei kleinen und mittleren Unternehmen liege der durchschnittliche Schaden bei 55 000 bis 70 000 Euro. Doch wie gelangt eine Schadsoftware in die Firma? Das zeigten die beiden Experten anhand einer Bewerbung per pdf-Datei, die einen Trojaner enthielt. Windows Defender erkannte diesen nicht, der Angreifer konnte nun alle Tastatureingaben mitlesen.

Smartphones werden gestohlen oder verloren, doch viele Methoden zur Bildschirmsperre sind unsicher. Wischspuren sind durch Fett sichtbar, die Gesichtskontrolle funktioniert auch mit einem Foto, das Blinzeln wird durch einen bewegten Stift simuliert. Nur lange PINs und Passwörter sind sicher. Doch mit mehr als zehnprozentiger Wahrscheinlichkeit lautet das Passwort 1234.

Eines stellten die Referenten klar: „IT-Sicherheit ist wie Autofahren. Absolute Sicherheit kann es nicht geben.“ Amateure greifen Systeme an, Profis hingegen Menschen, sagte der amerikanische Sicherheitsexperte Bruce Schneier. Greinert und Demaku zitierten diesen und warnten vor den, nach ihrer Ansicht, drei größten Gefahren: Bequemlichkeit, Gutgläubigkeit und Gleichgültigkeit. Wie lautete der letzte Gedanke des Mitarbeiters vor der großen Infektion? „Das wird schon in Ordnung sein.“