Menü
Neue Presse | Ihre Zeitung aus Hannover
Anmelden
CeBIT 2010 CeBIT-Preview: So (un)sicher ist das Internet
Thema Specials Messe CeBIT 2010 CeBIT-Preview: So (un)sicher ist das Internet
Partner im Redaktionsnetzwerk Deutschland
18:05 20.01.2010
Quelle: Symbolfoto
Anzeige

VON FABIAN MAST

Wenn die Agenten in der US-Erfolgsserie "24" mal wieder in der Sackgasse stecken, gibt es ein verlässliches Patentrezept: Ein Computerfreak hackt sich dann in das feindliche System und übernimmt die Steuerung der Sicherheitskamera oder durchforstet die Festplatte nach geheimen Daten.

Sebastian Schreiber sieht nicht aus wie Film-Agent Jack Bauer. Schreiber sieht aus wie das, was er ist: Ein Mathe- und Informatikstudierter aus Tübingen. Und als solcher sind nur wenige Computersysteme auf der Welt vor ihm sicher.

Schreiber hat bei der CeBIT Preview in München, eine Vorveranstaltung der Computermesse, einen Einblick in seinen Kosmos gegeben, der ein bisschen Angst macht. Angst davor, von Zuhause aus weiter seine Bankgeschäfte zu erledigen oder vertrauliche Emails zu schicken.

"Ich zeige Ihnen jetzt mal einen Angriff auf einen Internet-Shop, um ein bisschen warm zu werden", sagt Schreiber. Vor einem Jahr hat er diesen Trick schon mal beim Hessischen Rundfunk live vorgeführt. Der Anbieter reagierte sofort und führte ein neues Sicherheitssystem ein. Schreiber knackt es in 20 Sekunden.

Sein Opfer ist ein Buchhändler, seine Beute ein Schmöker im Wert von 16,90 Euro. Ein kleines Programm in seinem Firefox-Browser zeigt ihm die Formulardaten der angezeigten Internetseite an, so ähnlich, wie ein Kochrezept die Zutaten eines leckeren Gerichts verrät.

Die Hilfsprogramme hat Schreiber mit seinem Team der Firma SySS teilweise selbst geschrieben, teilweise auch für mehrere zehntausend Euro gekauft. Schreiber kann nun die Formulardaten beliebig verändern - so auch den Preis. Statt 16,90 Euro tippt er 1,90 Euro und klickt auf "Kaufen". Im nächsten Beispiel treibt er den Trick auf die Spitze: Statt 16,90 Euro schreibt er "-19,90 Euro" - würde er jetzt die Bestellung abschicken, bekäme er nicht nur das Buch, sondern auch eine Gutschrift.

"Ob Shop, Versicherung oder Banken - die Technik ist häufig dieselbe." Seine vermeintlichen Opfer zahlen sogar Geld dafür, dass Schreiber sich in deren System reinhackt - um anschließend Sicherheitslücken auszumerzen. Komplette Sicherheit, sagt Schreiber, gebe es allerdings nicht - es sei denn, man verzichtet weitgehend auf das Internet, wie er es am heimischen PC tut.

Rund 24 Millionen Deutsche machen Online-Banking, noch etwas mehr haben sich in sozialen Netzwerken wie Facebook oder StudiVZ angemeldet. Täglich gibt es weltweit acht Millionen Hacker-Attacken, 13.000 infizierte Internetseiten lauern auf ihre Opfer, 107 Milliarden Spam-Mails werden täglich verschickt. Das Bundeskriminalamt glaubt, dass 2009 jeder zweite Internetnutzer schon mal Opfer von Online-Kriminalität geworden ist - oft auch, ohne es zu merken. Mit anderen Worten: Der Markt für die IT-Sicherheit ist unendlich.

Für das zweite Beispiel startet Schreiber das beliebte Spiel Moorhuhnjagd in der Online-Version. Er ist ein erbärmlicher Spieler, schafft nur 95 Punkte. Trotzdem steht er am Ende in der Bestenliste auf Platz eins - mit 2500 Punkten. Sein Mini-Programm "Tamper Data" hat zuvor das Datenpaket abgefangen, das Moorhuhn an den Server mit der High Score geschickt hatte. Schreiber kann nun wieder beliebig manipulieren, und nicht immer muss das so harmlos sein wie der Punktestand bei einem Ballerspiel.

So wie im nächsten Beispiel. Mithilfe eines videofähigen Babyfons knackt er eine Überwachungskamera. Das kann jeder, denn man muss dafür nichts tun - außer mit dem Babyfon zum Beispiel durch München zu spazieren. "Sie können dann in Unternehmen und Privatwohnungen reingucken. Es ist für mich spektakulär, dass es immer noch Anbieter
gibt, die unverschlüsselte Kameras verkaufen", sagt er.

Aber selbst Verschlüsselung ist ja oft nicht verschlüsselt genug. Schreiber hält jetzt einen USB-Stick mit Hardware-Codierung hoch. Ein ganz schwerer Brocken für Hacker, deshalb schreibt der US-Staat diese Geräte für die Behörden vor. Ohne 14-stelliges Passwort funktionieren die USB-Sticks nicht - wer zu oft ein falsches eingibt, löscht den Datenträger. "Wir brauchten eine Woche, um ihn zu knacken", sagt Schreiber. Sie programmierten ein Softwaretool, das auf Tastendruck die Passwortabfrage umgeht. Und es hat Klick gemacht.

Es gibt unendlich Möglichkeiten, wie Schreiber und seinesgleichen einen jeden in den Wahnsinn treiben könnte, der irgendwie mit Computern zu Schaffen hat. Er könnte hunderte Rechtschreibfehler auf eine Website schmuggeln, das Internet mit seinen Werbebannern
plakatieren oder sämtliche Daten auf einer Festplatte verschlüsseln (und das Passwort erst gegen Lösegeld wieder freigeben). Aber Schreiber ist zum Glück einer von den Guten. Kein Fall für Jack Bauer.

Kommentare
Die Debatte geht am Morgen weiter
Die Kommentarfunktion ist zwischen 00:00 und 07:00 Uhr nicht aktiv – denn wir wollen eine gute Moderation der Beiträge gewährleisten.
Wir freuen uns am Morgen über Ihre konstruktiven Beiträge zum Thema!
Anzeige