NEWS Eine Handvoll Hackergriffe Live-Hacking: Dem IT-Experten Sebastian Schreiber über die Schulter geschaut 19.01.2016 | Bei Quizduell immer als Sieger hervorgehen. Einen Server im Internet sabotieren. Einen Anti-Viren-Scan überlisten. Auf geschützte Datenbanken zugreifen. Sebastian Schreiber bewies beim Live-Hacking Event in der Aula der Hochschule Aalen seinem Publikum eindrücklich, wie all das mit dem nötigen Know-how zum Kinderspiel wird. Um eine IT-Infrastruktur schützen zu können, muss man wissen, welche Angriffsarten es gibt und wie diese Angriffe funktionieren. Und so hatte Sebastian Schreiber einige beeindruckende Angriffsbeispiele für sein Live-Hacking vorbereitet – darunter eine Sa botage-Attacke auf einen Web-Server, das Knacken einer Smartphone-App oder das Manipulieren eines Virusprogramms. „Jedes System ist so stark wie sein schwächstes Glied“, betonte der IT-Experte. Angriffsmöglichkeiten gibt es in fast jedem IT-Produkt. Dabei liegt der Teufel oft im De tail. Häufig handelt es sich um einen Programmierfehler in der Software oder es sind einzelne Hardware-Komponenten, die eine Schwachstelle aufweisen. So wird eine Ka mera ohne WLAN-Zugang über eine eingeführte WLAN-fähige SD-Karte von außen an greifbar: Plötzlich sind die eigenen Fotos verschwunden, dafür sind aber massenweise Katzenfotos abgeladen worden. Und mit einer extra geschriebenen Software entlockt Schreiber einem USB-Stick mit Sicherheitszertifikat in Sekundenschnelle das Passwort. „Deswegen sollte jeder Nutzer sogar nachgewiesene Sicherheitszertifizierungen kri tisch hinterfragen und überprüfen, ob Hardwarebauteile ein Einfallstor für uner wünschte Ausspäher sein könnten“, appellierte Sebastian Schreiber an seine Zuhörer. „Die IT-Security-Branche wirbt oft mit Dingen, die nicht eingehalten werden.“ In seinen Live-Demonstrationen lässt Schreiber „die Macht des Faktischen“ wirken, mit der er auch Kunden zur Einsicht bringt, Maßnahmen zur Sicherung ihrer IT-Systeme zu ergreifen. Ein Bericht mit einem Hinweis auf die potenziellen Gefahren bleibe in der Regel wirkungslos, besonders bei kleineren Firmen. Wenn er zum Abschluss seines Auftrags eine CD mit allen gehackten Informationen präsentiert, sind die Verantwortli chen aus den Unternehmen allerdings schnell überzeugt. Stand: 23.04.2016 Seite: 1 / 2 Um sich mit diesem heiklen Vorgehen trotzdem immer innerhalb der Legalität zu bewegen, hat die SySS GmbH ihren eigenen Ethikkatalog definiert. Ihre Dienstleistung Penetration Testing – eine risikoorientierte Prüfung von IT-Systemen – wird von Kun den wie SAP, Daimler oder den Basler Versicherungen genutzt. Bereits als Jugendlicher hat sich Schreiber für Lücken in IT-Systemen und die daraus resultierenden Folgen interessiert. Schon damals war aber klar, dass er sich immer auf der Seite des Gesetzes bewegen wird, war sein Vater doch Richter. „Und so konnte ich nur Penetrationstester werden“, resümierte der diplomierte Informatiker seine Berufs wahl. Stand: 23.04.2016 Seite: 2 / 2
© Copyright 2024 ExpyDoc