Live-Hacking Veranstaltung der IHK gab interessante Einblicke

09.12.11  11:00 | Artikel: 953285 | News-Artikel (Red)

Live-Hacking Veranstaltung der IHK gab interessante EinblickeLive-Hacking Veranstaltung der IHK gab interessante Einblicke

Die Live-Hacking Veranstaltung der IHK Schwarzwald-Baar-Heuberg in Villingen, die vom Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen durchgeführt wurde, lies gestern Abend so manchen Besucher staunen. Hautnah und zum Anfassen wurden aktuelle Tricks und Techniken zum Thema IT-Sicherheit gezeigt, die man vielleicht schon mal gelesen hatte. Das es jedoch im Einzelfall so einfach ist, konnte wohl keiner ahnen.

Frank Timmermann und Stefan Tomanek führten gut zwei Stunden durch das Sicherheitsprogramm. Wäre das Thema nicht so ernst gewesen, hätte man die Präsentation durchaus für eine gute Stand-Up-Comedy halten können; das Potential ist bei beiden Referenten vorhanden.

In einer bildhaften Rollenverteilung, mit der Figur des Engels (Timmermann), als unbedarfter User mit ein wenig Ahnung und dem Teufel (Tomanek) als böser Hacker, wurde dem interessierten Publikum Schritt für Schritt gezeigt, was ein User falsch machen kann und wo ggf. Schwachstellen im System liegen.

Gleich zu Beginn wurde dargestellt, wie einfach es für Hacker ist, einen Trojaner auf einem potenziellen Zielrechner zu installieren. Der Benutzer muss lediglich verleitet werden, einen Link in einer empfangenen eMail anzuklicken. Verschiedene SPAM-Mails kannte natürlich jeder der Anwesenden; aber da auch Absenderadressen problemlos gefälscht werden können, kam der eine oder andere ins Grübeln.

Einmal installiert, konnte dann auf dem separaten Hacker-Rechner live zugeschaut werden, das dieser auf alle Daten des Systems Zugriff hat, inklusive der Übertragung von persönlichen Logindaten.

Hierbei wurde eindringlich darauf hingewiesen, wie wichtig Anti-Viren-Software, Personal Firewalls und zeitnahe System- und Programmupdates sind, damit bekannte Sicherheitslücken geschlossen werden können. Allerdings bieten auch die besten Systeme kaum Schutz, wenn der User nur wenig an Sicherheitsmaßnahmen denkt.

Ist entsprechende Schadsoftware erst mal installiert und der Rechner damit kompromittiert, so hilft nach Aussage von Tomanek nur noch die komplette Neuinstallation. Glaubhaft machen konnte er diese Aussage, als der Buchungsvorgang einer Zugfahrkarte über die Website bahn.de durchgeführt wurde. Plötzlich tauche - vom Original nicht zu unterscheiden - ein Buchungsschritt auf, den die Bahn so nicht vorgesehen hatte.

Die Eingabe der Bahncard-Daten mit Benutzername und Passwort landeten dann auch prompt auf dem Hacker-Rechner. Ein klassisches Beispiel für einen sog. Man-in-the-Middle-Angriff. Möglich gemacht hatte das, der zu Anfang über eine infizierte Website installierte Trojaner, der jedoch über eine Anti-Virensoftware scheinbar vollständig vom System entfernt wurde.

Auch beim Thema Kennwortsicherheit wurde kurz gezeigt, das ein 6-stelliges Kennwort, das über sog. Hash-Werte gespeichert wird, in 60 bis 180 Sekunden errechnet werden kann. Hier wurden Kennworte mit mindestens 10 Zeichen empfohlen.

Weiteres Schwerpunktthema war die mobile Sicherheit. Auch hier wurde demonstriert, was die Apps, die jeder wohl auf seinem Smartphone schon mal installiert hat, alles leisten können, wenn der Anbieter dann nicht so seriös ist. Abgreifen von Kontaktdaten, Mitschneiden von Telefonprotokollen oder das Ausspähen von Logindaten von Amazon, eBay und Co stellen die Programmierer solch einer Software kaum vor Herausforderungen. In diesem Fall blieb es dem Publikum überlassen, sich vorzustellen, was für Konsequenzen daraus erwachsen können.

Viele Themen, die an diesem Abend aufgezeigt wurden, waren durchaus einigen der Anwesenden bekannt; berichten doch die Medien in regelmäßigen Abständen über Skandale und Datenpannen. Allerdings wusste das Duo zu jeder Zeit, wie man sich die volle Aufmerksamkeit des Auditoriums sicherte. Spätestens bei der Präsentation, einer als Werbegeschenk getarnten Computermaus oder dem zufällig verlorenen USB-Stick, die sich beide als unerkanntes Installationsmedium für Trojaner entpuppten.

Die Demonstration, wie man ein BlueTooth-Headset als Abhörwanze einsetzen kann war eines der Highlights des Abends. So beschrieb Tomanek das Handshake zwischen BlueTooth-Geräten in sehr witziger Art und Weise. Hier war von einem 'Einsamkeitsmodus' des Gerätes die Rede, wenn das vorher verbundene Telefon ausgeschaltet wird und der freundlich naiven Art des Headsets neue Kommunikationspartner zu finden und dann breitwillig Sprachnachrichten an den Angreifer zu übertragen.

Mit ein wenig Fantasie kann sich jeder ausrechnen, das solche Szenarien in Unternehmen ziemlich viel Schaden anrichten können.

Timmermann und Tomanek gestalteten den gesamten Abend spielerisch mit viel Esprit und Nonchalance und ermöglichten es damit den Zuhörern, ein großes Paket Wissen mit nach Hause zu nehmen. Eine Veranstaltung, die sich in jeder Hinsicht gelohnt hat.

Weitere Informationen zum Institut für Internet-Sicherheit und zu den angebotenen Leistungen finden Sie unter https://www.internet-sicherheit.de




Autor: Björn-Lars Kuhn

Journalist bdfjBjörn-Lars Kuhn ist einer der Inhaber der Proteus Solutions GbR, Buchautor, Datenschutzbeauftragter (IHK), Fachjournalist (bdfj) in den Bereichen Datenschutz, Netzpolitik und Erneuerbare Energien und Redakteur dieser Nachrichtenseite.



Themenbereiche:

Veranstaltung | Sicherheit | Datenschutz

Schlagworte:

IHK (10) | Veranstaltung (22) | Hacking (15) | Timmermann | Tomanek | FH Gelsenkirchen | BSI (17)