Hacker greifen an: Freiburger Systeme im Härtetest STADTGEPLAUDER | 21.08.2017

Sie sind leise, schnell, unsichtbar. Geschnappt werden sie selten: Hacker. 55 Milliarden Euro Schaden haben digitale Diebe 2016 bei deutschen Firmen verursacht. Zuletzt schreckte der Erpressungstrojaner WannaCry auf. Auch in Freiburg haben die Angriffe Firmen, Polizei und Institutionen alarmiert. Die Kriminalinspektion K5 ist selbst mit 65 Mann oft chancenlos – wenn sie überhaupt informiert wird. Wie sicher ist also das vernetzte Freiburg? Drei IT-Profis machen fürs chilli den Härtetest: Sie zeigen am Hauptbahnhof, wie leicht Smartphones zu knacken sind und attackieren eine Freiburger Firma. Die Ergebnisse sind erschreckend.

Gefahr aus dem Netz: Freiburger IT-Experten simulieren fürs chilli digitale Attacken.

Der abgesprochene Angriff

Ein grauer Raum in einer Freiburger Firma. Am Tisch sitzen ein junger Unternehmer und der IT-Experte Michael Müller (Name geändert). Schlanker Kerl, graues Shirt, dunkle Augenringe. Der Mittzwanziger ist oft pausenlos im Einsatz. „Ich habe die letzten Tage durchgearbeitet“, sagt er. 80 Stunden pro Woche ackert Müller im Schnitt für seine Kunden. Dennoch hat er sich bereit erklärt, fürs chilli einen Pentest zu machen. Das steht für „Penetrationstest“ und meint den Sicherheits-Check eines Rechners oder Netzwerks. Simuliert wird das, was Hacker tun – mit dem Unterschied, dass der Angreifer Lücken nicht schamlos ausnutzt, sondern dem Betreiber hilft, sie zu schließen.

Eine Freiburger Firma hat sich bereit erklärt, mitzuspielen. Deren Geschäftsführer Hannes Klein (Name geändert) betreibt einen Online-Shop, verfügt über eine wachsende Kundendatei, beschäftigt fünf Mitarbeiter. Digitale Sicherheit steht für ihn bisher nicht ganz oben auf der Tagesordnung: „Wir sind neu am Markt, müssen uns erst mal etablieren, wahnsinnig wertvoll sind unsere Daten bisher nicht“, sagt er. Dennoch versucht sich der Firmengründer abzusichern: Sein Team macht alle 20 Minuten Backups, den Server sichert ein externer Anbieter, Mitarbeiter werkeln mit Macbooks.

Im Vorfeld des Treffens hat sich Müller die Firmenseite angeschaut. Der auf WordPress basierte Onlineshop scheint gut konzipiert. „Wenig Angriffsfläche, damit kann man arbeiten“, sagt er. Dennoch sieht er WordPress kritisch: „Die Plattform ist eher unsicher, die Codequalität ist oft schlecht.“ Wer damit arbeite, sollte Updates immer sofort einspielen. Sonst hätten Hacker leichtes Spiel.

„Unsere größte Angst ist der Zusammenbruch der Seite“, sagt Klein. Das ist kürzlich für einige Stunden passiert. Die Zahl der Kunden sei schlagartig zurückgegangen. „Wer uns einmal vergeblich sucht, kommt nicht wieder“, betont er. Auch mit einem Hack hatte er vor kurzem zu kämpfen: Im Blog der Homepage waren bei Artikeln Bilder gelöscht und Texte über Viagra und Co. zu lesen. Wer oder was dahintersteckt, weiß er nicht.

Teure Tests

Löschen wird Müller beim Pentest nichts. Der Server kann beim Härtetest zwar in die Knie gehen, müsse dann aber lediglich neu gestartet werden. Ganz risikofrei ist das Unterfangen nicht, aber hilfreich. Firmen lassen sich Pentests in der Regel mehrere Tausend Euro kosten. Manchmal sogar Hunderttausende. Das kann gut investiertes Geld sein: „Der Schaden eines Hackerangriffs auf ein mittelständisches Unternehmen beträgt im Schnitt mehr als 100.000 Euro“, sagt Müller.

Für den chilli-Test will er sich Zugang zum System der Firma verschaffen. Den bekommt er beispielsweise übers interne Netzwerk. Ein Weg da rein ist der Firmenrouter. An den müsste Müller dafür ein Gerät hängen – ganz analog und unbemerkt. Doch das geht nur, wenn die Luft rein ist. Also fragt er beim Treffen mit dem Geschäftsführer, wo die Toilette ist – und schickt von da aus eine WhatsApp an den begleitenden Journalisten. Mit der Bitte, Klein aus dem Büro zu locken. Doch der hat den Raum bereits verlassen und abgeschlossen. „Alles richtig gemacht“, sagt Müller. Er wird es anders versuchen müssen.

Gutwillige Angreifer: Damiano Rubcic und Nicolai Landzettel zeigen, wie anfällig Handys sind.

Leichtes Spiel mit Smartphones

Während sich der Angreifer auf die Suche nach Sicherheitslücken macht, berichtet ein paar Kilometer weiter ein zweiter IT-Experte vom Unwesen der Hacker: „Man kann in 25 Minuten ein Unternehmen ruinieren“, sagt Nicolai Landzettel. Der kaufmännische Geschäftsführer der Firma Data-Sec in March kennt viele Fälle gehackter Firmen. „Sie werden täglich befeuert, die Bomben schlagen ein“, betont der 38-Jährige. Früher seien Burgen gestürmt worden, heute seien es Server. Der Angreifer könne mittlerweile auch ein 14-Jähriger sein – per Mausklick vom Drehstuhl aus.

„Bei den Firmen findet ein Umdenken statt“, beobachtet Landzettel. Doch seien viele weiterhin unvorbereitet. „Wenn eine Sirene losgeht, wissen alle, was zu tun ist: in Zweierreihen aus dem Gebäude marschieren“, sagt er. Knalle es digital, seien nur die wenigsten gewappnet. Obwohl es in Firmen exponentiell mehr Cyberangriffe als Brände gebe.

Auch im privaten Bereich rät Landzettel zu Vorsicht. Sogenannte „Happy Klicker“ klickten unüberlegt auf nahezu alles, was auf ihren Rechner komme. Manche gingen sogar so weit, sich fragwürdige Mails an die berufliche Mailadresse zu schicken. In der Annahme, dass es da sicherer sei, sie zu öffnen.

„Wer glaubt, es gibt keine Gefahr, täuscht sich“, sagt Landzettel. Wie angreifbar Smartphones sind, demonstriert er am Freiburger Hauptbahnhof. Mit seinem Data-Sec-Kollegen Damiano Rubcic (28) setzt er sich dort in ein Café. Ihre Waffen: ein Laptop und ein kleiner schwarzer Router. „Das ist ein Pineapple, auch Ja-Sager genannt“, erklärt Landzettel. Das Gerät gaukle mobilen Endgeräten vor, ein bereits bekanntes WLAN zu sein. Habe sich ein Café-Besucher zuletzt im Telekom-Netz eingeloggt, zeige ihm der Pineapple an, dass „Telekom“ jetzt wieder verfügbar ist.

„Smartphones mit aktiviertem WLAN brüllen jeden Moment suchend durch die Gegend“, warnt Landzettel. Rubcics Rechner belegt das, schon nach wenigen Minuten sind rund 20 Geräte gelistet, die sich an den Pineapple gewandt haben. Mit einer frei verfügbaren Software können sie nun angreifen. Der Journalist stellt sich als Opfer zur Verfügung.

Unbemerkt: Die Angriffe von Hackern sind oft nicht nachzuverfolgen.

Der Vorgang ist einfach: Auf dem Handy bestätigt er, sich mit dem „Telekom“-WLAN zu verbinden. Schon öffnet sich eine Seite mit der Nachricht. „Uh, this isn’t what you were expecting.“ Und nun? „Wir haben das Design extra abschreckend gemacht, damit keiner auf die Idee kommt, etwas einzugeben“, erklärt Landzettel. Smartphones zu hacken, sei schließlich strafbar. Wolle man jedoch Böses, könne man problemlos Verlockenderes anbieten. „Der Klassiker ist, per Mail einen 200-Euro-Gutschein für Amazon anzupreisen“, sagt Landzettel. Wer diesen haben will, wird gebeten, ein kleines Update herunterzuladen. Das muss mit Anmeldedaten bestätigt werden. Wer sich einloggt, hat sein Passwort an Rubcic geschickt.

So einfach? Ja, sagen die beiden. Also klickt der Journalist auf den Bildschirm am Handy, gibt sein Facebook-Passwort ein, schon erscheint es mitsamt Mailadresse auf Rubcics Rechner. Mit einem automatisierten Tool kann der Hacker nun gängige Webseiten mit den Anmeldedaten abklappern. Nutzt das Opfer sein Passwort auch für Paypal, Amazon oder Ebay, stehen Tür und Tor offen. Oder der Angreifer verkauft die Daten unbemerkt weiter. „Es gibt eine riesige Dunkelziffer “, sagt Landzettel. Er empfiehlt, E-Mail-Adressen auf www.haveibeenpwned.com kostenlos zu prüfen. Mit nur einem Klick kann man da herausfinden, ob Daten abgegriffen wurden.

Polizisten im Dauereinsatz

Mit digital Geklautem befasst sich auch die Freiburger Polizei. Um jeden privaten Cybercrime-Fall könne man sich bei der Kriminalpolizei aber nicht kümmern, sagt Hauptkommissar Stefan Class. Dafür seien es zu viele. Die meisten Straftaten in diesem Bereich müssen von der Schutzpolizei bearbeitet werden.

Class leitet die Kriminalinspektion 5 (K5), die sich mit Straftaten im Netz befasst. Das laufe seit der Polizeireform 2014 deutlich koordinierter, sagt der 57-Jährige. Mit etwa 65 Mann, die sich um den Bereich Cybercrime kümmern, sei man in der K5 sehr gut aufgestellt. Doch die Arbeit ist schwierig: „Große und mittlere Firmen wenden sich bei Attacken oft nicht an uns“, berichtet er. Zu groß sei die Angst, in der Öffentlichkeit schlecht dazustehen. Zu klein die Hoffnung auf Ermittlungserfolge.

Kompliziert: Hacker dingfest zu machen, gelingt der Polizei nicht oft.

Dabei sei es elementar, möglichst viele Fälle zu kennen. „Wir können Serientäter nur fassen, wenn wir den Modus Operandi kennen“, sagt er. Wenn also bekannt sei, mit welchen Mustern die Cyberkriminellen agieren. Dass Diebe digital unterwegs sind, überrascht ihn nicht: „Wer heute noch eine Bank überfällt, ist blöd“, sagt Class. Das Strafmaß im Netz sei geringer, genau wie die Gefahr, geschnappt zu werden.

Peinliches Passwort

Darüber braucht sich Michael Müller keine Sorgen zu machen, er ist schließlich einer der Guten. Nach nur einem Nachmittag kann er dem Freiburger Unternehmer Vollzug melden: Die Firmenseite ist gehackt. Wie er das geschafft hat? „Passwort erraten“, sagt Müller. Über eine Sicherheitslücke in WordPress ist er an die Liste der Admin-Nutzer gelangt. Das Passwort eines Users war einfach: Er hatte den Firmennamen mit der Jahreszahl 2017 kombiniert.

„Das ist exemplarisch für 99 Prozent der erfolgreichen Angriffe – es sind meistens solche dummen Fehler“, sagt Müller. Er appelliert an Klein, nicht nur digital gut aufzupassen: „Die größte Gefahr sind oft ehemalige Mitarbeiter, die eine Rechnung begleichen wollen.“ Er kenne einen Fall, da sei versehentlich ein Serverzugang für den ehemals Angestellten nicht gesperrt worden. Die Folgen können fatal sein.

Klein will nun Passwörter sicherer machen und überprüfen, wo seine Backups liegen. „Der beste Weg ist, sie offline aufzubewahren“, rät Müller. Und zwar nicht dort, wo der Server stehe. Sonst sei im Brandfall alles verloren. Einigen Kunden von Müller reicht selbst das nicht: Sie wollen, dass ihre Daten auf einem anderen Kontinent gelagert werden. Sicher ist sicher.

Text: Till Neumann / Fotos: © Till Neumann & pixabay

Digitales Desaster

Mehr als jede zweite deutsche Firma ist in den vergangenen beiden Jahren gehackt worden. Das zeigt eine Umfrage des IT-Verbandes Bitkom. Der Schaden wird auf mindestens 55 Milliarden Euro beziffert. Das entspricht dem gesamten Haushalt des Freistaates Bayern. Um mehr als acht Prozent ist die Summe im Vergleich zu 2015 gewachsen.

Besonders betroffen ist der Mittelstand: Nahezu zwei Drittel der Unternehmen mit bis zu 500 Mitarbeitern gaben bei der Befragung an, Opfer von Cyberangriffen zu sein. Mittelständler sind in der Regel schlechter geschützt als Großkonzerne. Diese kämpfen täglich mit bis zu 6000 Angriffen auf ihre Systeme.

Der meistgemeldete Schadenfall sind verschwundene Laptops oder Rechner. Auch Social Engineering ist weit verbreitet: Täter ergaunern dabei von Mitarbeitern Mailadressen oder Namen, indem sie diese ansprechen. Nur ein Drittel der Betroffenen meldet die Angriffe der Polizei.

Für viel Furore sorgte im Mai „WannaCry“. Der Erpressungstrojaner verbreitete sich wie im Handumdrehen weltweit auf Windowsrechnern. Er verschlüsselte Systeme, die Täter forderten Lösegeld. Mehr als 300.000 Rechner waren betroffen. Auch die Deutsche Bahn war unter den Opfern des Angriffs.

Text: tln

MEHR AUS DIESER KATEGORIE

Buchcover: Drei ostdeutsche Frauen Drei ostdeutsche Frauen … – Seven drunken Nights
Filmausschnitt: Max und die wilde 7 Max und die wilde 7 – Die Geister-Oma: Nächtliche Spukstunden
Das Kollektiv „Proberaum“ im Jazzhaus Freiburg „Nicht die perfekte Band“: Warum „Proberaum“ gemeinsame Sache machen
Porträt: Bela Gurath „Schweres Booking“: 4 Fragen an Bela Gurath zu den Münsterplatzkonzerten 2024
zwei Frauen im Zug RVF: SemesterTicket online kaufen
verschiedene chilli Hefte Exklusives, Skandalöses und Aufweckendes: Ein Rückblick auf ein paar Highlight-Storys aus 20 Jahren
Wiegen eines Wohnmobils Professionelles Wiegen für Camper: Organisierte Planung
Filmausschnitt: Sterben Sterben – Toxisches Familiengeflecht
Weinmarkt Müllheim: zwei Frauen an einem Verkostungsstand Weinmarkt Müllheim: Traditionsmarkt
Beim Immobilienforum am Start: Daniel Zeiler, Bernd Rigl, Nicole Farrelly, Kathrin Schonefeld, Franziska Zeuke, Thomas Richter, Markus Hildmann. chilli exklusiv: Erdrutsch bei Eigentumswohnungen