Wenn digitale Angreifer es darauf anlegen, kommen sie durch jedes System, sagt Sicherheitsexperte Sebastian Schreiber. Er zeigt, wie einfach das geht.
DüsseldorfDie Homepage eines Wellness-Onlineshops aufrufen, einen Spa-Gutschein für 500 Dollar aussuchen, Link kopieren und in der Adresszeile die zwei Nullen der 500 streichen - schon liegt ein Gutschein für fünf Dollar im Wert von 500 im Warenkorb.
„Wenn sie das nun bestellen, machen Sie sich strafbar", erklärt Sebastian Schreiber. In nur zwei Minuten hat der Sicherheitsexperte das Publikum bei der Handelsblatt-Konferenz Asia Business Insights in die Welt des Hackens eingeführt.
Seine Firma Syss hackt Webseiten im Auftrag Unternehmen, um technische Schwachstellen zu finden und zu beheben. Es ist ein ungewöhnliches Panel für die Konferenz. Denn das Thema Asien spielt hier eine Nebenrolle in Form von technischen Geräten, die dort produziert werden.
Dennoch ist das Thema Hacken auch für die deutschen Konferenzgäste interessant: Denn mit den Schattenseiten der Digitalisierung kämpfen auch hierzulande Unternehmer und politische Institutionen gleichermaßen. Also lauschen die Gäste gespannt, wenn Schreiber ihnen den nächsten Kniff der Hacker zeigt.
Dieses Mal geht es um Tastaturen: Im Auftrag einer Bank sollte er testen, ob AES-verschlüsselte Funktastaturen halten, was sie versprechen. Das Ergebnis: „Wo gefunkt wird, kann man auch rein", so Schreiber. Als Einfallstor für Hacker hat sich in diesem Fall die Luftschnittstelle zwischen Tastatur und PC entpuppt.
Mittels eines Hochfrequenz-Senders, eines so genannten Software Defined Radios, könnten Hacker die Lücke ausnutzen. Das Gerät kann die auf der Tastatur eingetippten Informationen „absaugen" - etwa das Passwort für das Benutzerkonto einer Firma. Damit könnten Betrüger dann weltweit in das System eindringen. Der Nutzer würde den Diebstahl gar nicht bemerken. Schreibers Fazit: Benutzen sie keine Funktastatur.
Überhaupt sei Sicherheit ein relativer Begriff, erklärt Schreiber. Einige Systeme seien schwerer zu durchdringen als andere. Auch Hacker würden die Kosten-Nutzen-Verhältnisse abwiegen. „Doch wenn jemand es darauf anlegt, kommt er auch durch", sagt er.
Wie das geht, zeigt er auch kurz darauf live am Bildschirm. Er lädt die Daten eines Übungstrojaners herunter und maskiert ihn zunächst in einer harmlosen Datei-Erscheinung. Dann folgt das Zippen, also die Programmierungen dieser Datei darauf, sich selbst zu entfalten, sobald sie installiert ist. Nun erkennt der Trojaner, wenn er von einem Virenscanner überprüft wird und bleibt so unerkannt. Erst, wenn die Durchsuchung des Virenscanners beendet ist, entfacht der Trojaner seine schädliche Wirkung auf dem Rechner.
„Der Virenscanner ist also sicher wie ein Jägerzaun um ihr Haus. Jeder kommt durch", fasst er zusammen. „Was also tun?", ruft ein Zuschauer aus dem Saal.
„Wir empfehlen einen Maßnahmenmix", entgegnet der Sicherheitsexperte, der mit diesen Tipps sein Geld verdient. Wichtig seien geschulte Mitarbeiter, die sich Sicherheitshinweise durchlesen und erst dann klicken, Virenscanner und Firewalls. Bei Kreditkarten empfiehlt er, Modelle mit zwei Identifikationsschritten zu nutzen. Doch absolute Sicherheit, die könne es eben nicht geben.