Stichwortsuche

Wie schnell private Daten verloren gehen können und wie schnell sich Unachtsamkeit ausnutzen lässt - das können Zuschauer eines "Live Hacks" vor Ort (wie hier in der IHK Köln) mitverfolgen. Foto: Olaf-Wull Nickel
Blickpunkt

Grenzenlose Macht

Jeder weiß: Digitale Daten sind nie hundertprozentig sicher. Wer aber einmal einem Hacker bei der Arbeit zugesehen hat, bekommt es schnell mit der Angst zu tun. Die IHK Köln hat im Rahmen Ihrer Initiative Digital Cologne und mit Unterstützung des Sicherheitsunternehmens Cyberdyne einen Hacker eingeladen, um zu zeigen, was theoretisch möglich ist.

Text: Josephine Pabst

Wenn Marco di Filippo in seinem Element ist, verbreitet er Angst und Schrecken. Er weiß das, und ein bisschen genießt er es auch. Di Filippo ist ein Hacker, einer von den Guten, ein sogenannter White Hat. Das bedeutet: Was er tut, ist stets legal. Er hält sich an die Hackethik: Es geht ihm darum, private Daten zu schützen, nicht sie zu stehlen.

Wenn er vor Publikum auftritt, ist es ein bisschen so wie früher bei Kindergeburtstagen, wenn der Zauberer mit seinem Koffer anreiste und Tricks vorführte, nur dass es hier um mehr geht als um einen Showeffekt. Di Filippo will aufrütteln und anschaulich zeigen, wie schnell private Daten verloren gehen können, wie schnell sich Unachtsamkeit ausnutzen lässt. Ende September zeigte di Filippo sein Können im Rahmen der Initiative Digital Cologne und mit Unterstützung des Sicherheitsunternehmens Cyberdyne bei einem sogenannten Live Hack in den Räumen der IHK Köln.

Wenn Marco di Filippo in seinem Element ist, verbreitet er Angst und Schrecken. Di Filippo ist ein Hacker, aber einer von den Guten, ein sogenannter White Hat.
Foto: Olaf-Wull Nickel

Einer seiner Tricks geht so: Der Hacker imitiert einen öffentlichen W-Lan-Zugang, Starbucks beispielsweise, oder den ICE-Hotspot. Die Handys der Umgebung erkennen das vertraute Netz und verbinden sich. Der Hacker kann nun alle Daten auslesen, die sie senden und empfangen, mehr noch: „Ich könnte mir jetzt in ihren Playstores etwas Schönes kaufen, Ihre Mails lesen, Ihre laufenden Updates verfolgen“, sagt Di Filippo. Bei jedem fünften Besucher funktioniert der simple Trick. „So, hier haben wir also ein Android-Gerät, das gerade bei Gmail Emails abruft und das offenbar schon mal am Flughafen eingeloggt war. Sehen Sie? Ganz einfach.“

Die Besucher rutschen unruhig auf ihren Stühlen hin und her, fummeln nervös an ihren Handys herum. Es sind vor allem Unternehmer aus der Region, die hier einem Hacker bei seiner Arbeit über die Schulter schauen wollten. Nicht so sehr, um sich etwas abzuschauen, sondern vor allem um zu sehen, was technisch möglich ist. Und wo es vielleicht im eigenen Unternehmen Verbesserungsbedarf gibt.

Für seine Tricks braucht Di Filippo lediglich einen Laptop und einen Beamer. Einer seiner besonders spektakulären Tricks geht so: Er lädt sich Daten herunter, die irgendwo gestohlen wurden. Der Hacker entscheidet sich diesmal für das Leck der Seitensprung-Plattform Ashley Madison, bei der 2015 Daten von insgesamt 32 Millionen Nutzern entwendet wurden.

Aus diesen Daten filtert er nun all denjenigen heraus, die ihre dienstliche E-Mailadresse verwendet haben und bei einem DAX-Konzern arbeiten – immerhin 541 Menschen. Nächster Schritt: Mit einem Spezialprogramm entschlüsselt Di Filippo die Passwörter und untersucht, auf welchen Portalen die Nutzer noch aktiv sind – Xing, Dropbox, Facebook, Amazon, Ebay – und wo sie das gleiche Passwort verwenden.

Die Erfolgsquote ist hoch, im Schnitt klappt es in zwei von drei Fällen. Das liegt vor allem daran, dass die meisten Menschen faul sind, Passwörter gerne speichern, auf mehreren Plattformen das gleiche Passwort nutzen und keine Lust haben, das zu ändern. „Ich werde immer wieder gefragt, warum man genau das nicht machen sollte“, sagt der Hacker. „Hier sehen Sie, wieso. Wenn irgendeines ihrer Passwörter durchsickert, ist es ein leichtes, all die anderen Plattformen, auf denen Sie sich registriert haben, ebenfalls zu knacken. Und dann wird es richtig gefährlich.“

Di Filippo verfolgt die Ashley-Madison-Spur nicht weiter. Er will niemanden bloßstellen, er will keine privaten Daten enthüllen, und er will auch nicht die nötigen Informationen liefern, damit sein Publikum es versuchen könnte.

Theoretisch ist jeder Rechner hackbar, der nicht genügend geschützt wird.

Was besonders erschreckend ist: Im Grunde sind Hackern wie Di Filippo keine Grenzen gesetzt. Schließlich geht es bei Weitem nicht nur um den Schutz von E-Mailadressen und Passwörtern, um  Desktop-PCs und Notebooks. Theoretisch ist jeder Rechner hackbar, der nicht genügend geschützt wird, ob das jetzt das örtliche Finanzamt oder die Bundesregierung ist. „Was man oft vergisst: In jedem Energiekraftwerk, in Windrädern und Solaranlagen, überall stecken Rechner“, sagt der Hacker. „Und die bieten im Grunde immer eine Angriffsfläche.“

Auf seiner Seite www.vnckh.com hat Di Filippo einige Screenshots ungeschützter Rechner hochgeladen. Da ist zum Beispiel eine Schule aus dem Raum Berlin, die im Netz Daten ihres Abschlussjahrgangs lagert: Fotos von der Zeugnisübergabe und von der Klassenfahrt, Arbeitsblätter für den Chemieunterricht. Da ist der Häuslebauer, und der auf seinem Dach eine kleine Solaranlage betreibt, der seine Handynummer, seine Mailadresse und seine Kontodaten hinterlegt hat. Es wäre jetzt ein leichtes, den Erlös aus dem Stromverkauf auf ein Konto in Singapur fließen zu lassen oder die Anlage komplett herunterzufahren. Zwei Klicks weiter: Eine Yacht, leicht überhitzter Motor, in voller Fahrt. Der Hacker hat Zugriff auf sämtliche Kontrollmechanismen, er lässt es aber. „Ich verstehe nicht allzu viel von Booten.“

Foto: Olaf-Wull Nickel

Es ist ein Abend, der Beklemmungen auslöst. Einer der Besucher wird später am Rechner daheim Webcam und Mikrofon abkleben: „Das hätte ich schon längst erledigen sollen. Bisher dachte ich nur, dass man ein paranoider Spinner ist, wenn man sowas tut“, sagt er. Ein anderer will zuhause erst einmal diverse Passwörter ändern, endlich den Virenschutz verlängern und so schnell wie möglich das Firmennetz überprüfen lassen.

Übrigens: Falls Sie wissen wollen, ob Ihre E-Mailadresse schon einmal geklaut wurde: Hier können Sie das überprüfen. Weitere Sicherheitschecks, die neusten Warnungen oder  weitere Services im Bereich IT-Sicherheit finden Sie auch auf der Website der IHK Köln. Praktische Tipps, wie z.B. Prävention gegen Locky & Co oder Verhinderung von Social Engineering, werden in unseren kommenden Veranstaltungen der Initiative Digital Cologne angeboten.

WEITERE THEMEN