jeudi, 21. septembre 2017

Der EDV-Gerichtstag an der Saar-Uni: Sicherheit sollte oberstes Gebot für Firmen sein

Saarbrücker Zeitung

Der EDV-Gerichtstag in Saarbrücken zeigt Betrugsmöglichkeiten, mit denen Hacker in die Firmen-Systeme eindringen können.

Von Joachim Wollschläger


Saarbrücken.
Die erste Aufgabe eines Unternehmers sollte sein, sein Geschäft zu verfolgen. Doch schon die zweite lautet, das Geschäft auch ausreichend abzusichern. Das zeigte am Mittwoch die „Hacking Session“ beim EDV-Gerichtstag an der Saar-Universität in Saarbrücken.

Gerade Mittelständler wüssten häufig nicht, was für sicherheitsrelevante Daten sie haben und welche Angreifer sich dafür interessieren könnten, sagt Christoph Sorge, Professor für Rechtsinformatik an der Saar-Uni. Viele Unternehmen legen demnach, was ihre IT angeht, noch immer eine große Sorglosigkeit an den Tag. Hauptbedrohung für Unternehmen seien weiterhin vor allem Viren und Trojaner, sagt Sorge. Mit ihnen lassen sich sensible Daten ausspionieren und ganze Systeme kapern. „Virenscanner und Firewall reichen für den Privatgebrauch zwar häufig aus, aber Firmen sollten in Sachen Sicherheit schon etwas genauer ihren Bedarf untersuchen und ein Sicherheitsprofil erstellen lassen“, sagt Sorge. Häufig seien ganz individuelle Schutz-Strategien angebracht.

Die Demonstrationen der „Hacking Session“ zeigten unter anderem, wie einfach es ist, beispielsweise gängige Methoden zur Fern-Identifizierung per Internet zu überlisten. Diese Technik wird beispielsweise von Banken genutzt, um Kunden bei der Eröffnung eines Kontos eindeutig zuordnen zu können. Dafür wird dann beispielsweise der Personalausweis vor die Computer-Kamera gehalten, um zu beweisen, dass der Antragssteller wirklich er selbst ist. „Die Ausweismerkmale, die per Video-Kamera wirklich zu erkennen sind, sind allerdings für Betrüger recht leicht zu fälschen“, sagt Ulf Löckmann vom Bundesamt für Sicherheit in der Informationstechnik. Mit einem Farb­laserdrucker und einer hochwertigen Kameratechnik ließen sich sogar die Hologramme täuschend echt imitieren. Sein Fazit: Banken, die sich auf dieses System verlassen, müssen sehr aufmerksam durch Kontrolle aller Details und mithilfe geschickter Fragen versuchen, Betrugsversuche zu unterbinden. Sinnvoller, sagt Sorge, wäre es in solch einem Fall, auf die e-ID-Funktion der neuen Personalausweise zu setzen. Die ist technisch zwar längst verfügbar, wird aber nicht flächendeckend eingesetzt.

Schlagzeilen machte im vergangenen Jahr ein breit angelegter Angriff auf zahlreiche Computer, die von außen gesperrt und nur per Lösegeldzahlung wieder freigegeben wurden. Wer Opfer eines solchen Ransomware-Angriffs wird, kann allerdings Hoffnung schöpfen, dass die Täter überführt werden. Denn Jörn Erbguth, Jurist und Diplom Informatiker von der Universität Genf, zeigte, dass sich auch die eigentlich anonymen Bitcoin-Lösegeld-Zahlungen nachvollziehen lassen. Weil jede Transaktion von einem zum anderen Bitcoin-Nutzer registriert wird, entsteht eine Folge von Transaktionen: „Verknüpft man diese Transaktionen zu einem Netz von Geldbewegungen, und kennt man eine Bitcoin-Nutzeradresse, kann man darüber auf andere Teilnehmer schließen.“ Und weil immer wieder Nutzer ihr Bitcoin-Konto im Internet veröffentlichen, hätten die Strafverfolger gute Chancen, Zahlungswege zu verfolgen.

Wie offen selbst eigentlich anonymisierte Daten im Internet sind, zeigte Andreas Dewes, Datenwissenschaftler aus Berlin. Anhand anonymer Surf-Protokolle zeigte er, dass sich durch Abgleiche mit Online-Portalen wie Twitter, Youtube oder Flickr zahlreiche Verlaufs-Protokolle eindeutig Einzel-Personen zuordnen lassen. Auf diese Weise lassen sich dann nicht nur persönliche Vorlieben oder mögliche Krankheiten der Nutzer ermitteln, auch Passwörter und Zugriffs-Tokens können ausgelesen werden. Und bei Unternehmen können Konkurrenten leicht sehen, wohin sich beispielsweise die Firmen-Forschung ausrichtet. „Hier ist es ganz entscheidend, die Sicherheits-Einstellungen im Browser und das Daten-Sammel-Verhalten im Blick zu behalten“, sagt Dewes.

Eine kuriose Möglichkeit, Heim-Netzwerke zu hacken, zeigte Stefan Hessel, studentischer Mitarbeiter von Professor Sorge. Ein leichtes Einfalls-Tor sind demnach Spielzeug-Tablets für Kleinkinder. „Das Problem bei den Geräten ist, dass es vollwertige Rechner mit W-Lan-Zugang und Internet-Anschluss sind“, sagt Hessel. Weil die Nutzeroberfläche aber speziell für die Kindernutzung angepasst ist, kann man nicht sehen, was im Hintergrund passiert. Das untersuchte Gerät hatte demnach 197 mögliche Angriffspunkte. „Eindringlinge können sich Adminstratoren-Rechte sichern und vom Spiel-Tablet aus andere Rechner im Netz kapern.“ Ist einer davon ein Firmenrechner, ist der Zugangsweg auch in ein Firmennetz geschaffen.

Quelle: Saarbrücker Zeitung