Live-Hack: Wie leicht man Kontrolle über ein fremdes Bankkonto erlangt

Als die Moderatorin Gabriela Amgarten den Swiss Network Day nach einem musikalischen Intermezzo des Österreichers Crisko einleitete, sprach sie mit Sicherheit vielen der anwesenden Gästen aus dem Herzen: «Man hört ständig das Wort Digitalisierung.»

Der Anlass im Theater Casino Zug stand unter dem Motto «Wie viel Mensch braucht die Digitalisierung noch?» Zu diesem Thema sprachen verschiedene Exponenten wie Swissmem-Präsident Hans Hess oder der Zuger Bildungsdirektor Stephan Schleiss.

Der weisse Hacker

Doch davor gehörte die Bühne Gunnar Porada, weltweit führendem Experten für Internetsicherheit. Sein Ziel war es, mithilfe eines Live-Hacks vor Ort aufzuzeigen, woher die grössten Risiken im Zusammenhang mit der Digitalisierung kommen.

«Die Firmenkultur ist nicht darauf ausgelegt, Schwächen zu zeigen.»

Gunnar Porada, Experte für Internetsicherheit

Der gebürtige Deutsche ist ein sogenannter weisser Hacker. Das heisst, er schaut vor allem für Firmen, wo es Sicherheitslücken gibt. Ein Hacker im klassischen Sinne sei er nur bis zu seinem 18. Geburtstag gewesen, wie der Lübecker selbst sagte. «Jedoch war dies damals noch gar nicht illegal», schob er nach.

Er sperrte das CDU-Spendenkonto

Sein Unternehmen Innosec gründete er vor acht Jahren in seinem damaligen Wohnort Walchwil. Inzwischen ist er in Weggis zu Hause (zentralplus berichtete). Es gebe noch viel zu tun, da sich Manager und Entscheidungsträger mit digitaler Sicherheit schwertäten und permanent Fehlentscheidungen treffen würden.

Um warm zu werden und das Publikum abzuholen, erzählte er zu Beginn einige «Räubergeschichten» von einst, wie sie beispielsweise Telefonkarten gehackt hatten oder er «aus Versehen» das CDU-Spendenkonto für 24 Stunden gesperrt hätten.

Den PIN umgangen

Um das CDU-Spendenkonto sollte es auch dieses Mal gehen. «Ich möchte Geld verschenken», kündigte Porada an, der nach eigenen Angaben drei oder vier Handys besitzt – jedoch keines bei sich hatte. Und dieses Geld wollte er von eben jenem CDU-Spendenkonto nehmen.

«Mich überraschen die Meldungen nicht, wenn 15-Jährige einen ganzen Laden hacken.»

Gunnar Porada

Mit schnellen Klicks war die IBAN-Nummer des Kontos kopiert und die entsprechenden Angaben bei der Deutschen Bank zur Anmeldung eingegeben. Mit einem Kniff konnte er auch die Eingabe des PIN-Codes umgehen. Dafür war einzig eine positive Rückmeldung der Datenbank nötig. Und bei «1 oder 1=1» war dies gegeben.

Und schon ist es überwiesen

«Wer will denn Geldempfänger sein?», fragte Porada in die Runde. Da sich niemand meldete, trug er den Kinderschutzbund ein. Als Betrag wählte er acht Millionen. Wenn, dann eben gleich richtig. In wenigen Momenten hatte er auch schon die TAN-Nummer ausfindig gemacht und zack, war der Betrag überwiesen.

«Gibt es noch Fragen?» Porada genoss die teilweise Verwunderung im Publikum sichtlich. Hatte er das gerade tatsächlich getan? Er hatte doch versichert, er agiere nur legal.

Sicherheit interessiert die Leute nicht

Porada liess die Leute noch etwas zappeln, bevor er langsam den Vorhang lüftete. Wie ein Zauberer, der seinen Trick nur Stück für Stück preisgibt. Des Rätsels Lösung lag im fehlenden Zertifizierungspfad auf der Website der Deutschen Bank. Der Rest war echt. Nur die Login-Seite der skandalträchtigen Bank nicht. Es war sein eigener Server.

Anschliessend trat Porada den Beweis an, weshalb es Leute wie ihn braucht – mehr denn je. «Die Firmenkultur ist nicht darauf ausgelegt, Schwächen zu zeigen.» Auch bei Sicherheitslücken würden viele lieber auf die Variante des «Unter-den-Teppich-Kehren» setzen. Es interessiere die Leute auch schlicht nicht. «Da überraschen mich auch die Meldungen nicht, wenn 15-Jährige einen ganzen Laden hacken», so Porada.

Er versuchte das Thema auch auf die persönliche Ebene herunterzubrechen, wie unsicher das Smartphone sei und wie schwierig es sich gestalten könne, zu beweisen, dass man gehackt wurde und dadurch einen finanziellen Schaden erlitten habe.

Der falsche Fingerabdruck

Anschliessend ging er zu einem Fingerabdruckscanner über, wie ihn die Behörden beispielsweise in Botschaften einsetzen. Dieser Scanner, mit einem seiner zwei Laptops verbunden, besitze null Sicherheit. «Mit einem Trojaner kann die Bilddatei ausgetauscht werden. Und biometrische Daten wie den Fingerabdruck kann man nicht ändern. Man hat also sein Leben lang Probleme, wenn dieser gehackt wird», führte Porada aus.

Er, der auf der Flucht ist

Um wieder etwas zur Lebensnähe zurückzukehren, kam abschliessend Gabriela Amgarten auf die Bühne und wollte wissen, was man denn im Alltag tun könne, um sich gegen Angriffe zu schützen. «Gehen Sie sonntags in die Kirche», antwortete Porada mit einem breiten Grinsen. «Als Privatperson sind Sie viel flexibler, aber haben auch deutlich weniger Möglichkeiten als Unternehmen. Am besten ist es daher, grundsätzlich datensparsam zu sein», ergänzte er.

Bevor er die Bühne verliess und die Besucher in der Pause dem Networken frönen konnten, stellte eine Dame noch eine persönliche Frage: «Was antworten Sie bei einem Date, wenn Sie nach Ihrem Beruf gefragt werden?» Porada antwortete: «Müllabfuhr oder dass ich auf der Flucht bin.» So ganz geheuer scheint also selbst ihm der Begriff «Hacker» nicht zu sein.