Profi-Hacker findet "immer eine Lücke"

[Zylasty]

11. Deutscher IT-Sicherheitskongress in Bonn

Profi-Hacker findet "immer eine Lücke"

Von Martina Züger
400 Computer-Experten treffen sich von Dienstag (12.05.09) bis Donnerstag in Bonn zum 11. Deutschen IT-Sicherheitskongress. WDR.de hat einen Hacker besucht, der ganz legal Schwachstellen in den Computersystemen großer Firmen aufdeckt.

Hacker in offizieller Mission

Jeans, blaues Hemd, Wanderschuhe - Philippe Schaeffer würde als Erdkundelehrer durchgehen, dabei sind eher Viren und Trojaner sein Fachgebiet. Er und seine acht Mitarbeiter legen IT -Systeme lahm, spähen die Kunden- und Kontodaten großer Unternehmen aus oder fälschen Überweisungen - allerdings in offizieller Mission. Schaeffer leitet beim TÜV Rheinland in Köln eines der größten professionellen Hacker-Teams der Republik.
Der Mensch als Schwachstelle

Die Hacker handeln im Auftrag mehrerer DAX -Unternehmen, um Sicherheitslücken zu finden und die Firmen und ihre Kunden besser zu schützen. Eines hat Schaeffer in den Jahren beim TÜV gelernt: "Wir finden immer eine Lücke. In 100 Prozent aller Fälle." Dabei liegt die Schwachstelle oft nicht in der Software, sondern beim Menschen selbst. Jüngst zog sich Schaeffer einen Blaumann an und drang unbehelligt bis ins Rechenzentrum einer großen Versicherung vor. Eine gefälschte Visitenkarte reichte aus, um sämtliche Türcodes zu bekommen. Im Rechenzentrum verrieten ihm die Mitarbeiter sämtliche Passwörter - er hätte problemlos das System lahmlegen können. "Das Unternehmen war natürlich schockiert." Die Namen der TÜV-Kunden sind geheim.
Internet-Kriminalität steigt

Frühe Leidenschaft für kleine Tricks

Experten wie Schaeffer werden gebraucht. 63.000 Fälle von Internet-Kriminalität registrierte das Bundeskriminalamt im Jahr 2007. Aktuellere Zahlen gibt es noch nicht, aber es ist bereits klar, dass Tendenz steigt, weil immer mehr Geschäfte online abgewickelt werden. Zugleich organisieren sich die Kriminellen immer besser. "In der Angreiferszene hat sich eine regelrechte Untergrundindustrie entwickelt", sagt Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das den Sicherheitskongress in Bonn organisiert.
Bot-Netze größte Gefahr

Die größte Gefahr gehe derzeit von sogenannten Bot-Netzen aus, sagt Gärtner. Auf bestimmten Internetseiten befinden sich unsichtbare Schadprogramme, die sich automatisch auf dem Computer des Benutzers installieren. Unbekannte Hacker missbrauchen dann die infizierten Computer von Privatpersonen und Unternehmen: Sie verschicken Spam-Mails, legen mit massenhaften Anfragen Server lahm oder verbreiten Kinderpornografie. So wachsen Heere von mehreren hunderttausenden ferngesteuerten Rechnern heran. "Bot -Netze sind ein Riesenproblem", bestätigt Philippe Schaeffer. Aber auch Industriespionage, bei der Hacker gezielt sensible Daten von einzelnen Rechnern ausspähen, sei verbreitet.
Programmieren bis nach Mitternacht

Internet-Kriminalität nimmt zu

TÜV-Hacker Philippe Schaeffer hatte schon früh einen Sinn dafür, wie man Sicherheitssysteme überlistet. Als Jugendlicher schaffte er es, das Konto seiner Eltern auf seinen Namen umzutragen - ohne deren Unterschrift natürlich. Die Leidenschaft für solche Tricks ist geblieben, doch hat Schaeffer sie längst in geregelte Bahnen gelenkt.
"Der klassische Software-Entwickler fragt, ob alles funktioniert. Wir fragen: Gibt es noch zusätzlichen Funktionen, die nicht geplant waren?" Die Angriffe auf die IT -Systeme der Kunden laufen oft nachts - und geregelte Arbeitszeiten kennen auch die Hacker vom TÜV nicht. "An drei von fünf Tagen programmiere ich bis nach Mitternacht."
Vorsicht bei Handys und Navigationsgeräten

Schaeffers Tipp an die Computer-Anwender: Schnittstellen besser sichern und auf mobile Endgeräte wie Handys und Navigationssysteme achten. Deren Adressbücher werden das nächste Ziel der Angreifer sein, prophezeit der Informatiker.
Angesichts dieser Gefahren und auch der jüngsten Datenschutz-Skandale bei mehreren Unternehmen sind nicht nur die Experten bemüht, den Ruf der IT -Branche zu wahren. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, gehört beim Bonner Kongress zu den Referenten. Zur Eröffnung kommt Bundesinnenminister Wolfgang Schäuble (CDU). Thema seiner Rede: "IT -Vertrauenskrise in Deutschland vermeiden".




[Quelle]: wdr.de


hehe das doch mal ein Beruf
ein "richtiger" H4xx0r Beruf xD
von Social Engeneering bis SQL injection

[VeN0m]

Sehr nice. Ein Berufs-"Hacker". Und es ist immer wieder schön zu lesen, dass nichtmal die stärksten Softwares und Sicherheitssysteme gegen das unendliche Vetrauen der Menschen auf eben diese Systeme ankommt. Und das schwache Glied ist letztendlich dann doch der Mensch ^^. Echt geil. Der Text ist auch super. Endlich mal wieder was zum schmunzeln auch wenns eigentlich ernst ist, wie sicher sich die Menschen fühlen, obgleich sie es nicht sind. Danke sehr.

[fred777]

Ich denke ebenfalls, dass es bestimmt spannend sein wird im Auftrag von Unternehmen deren Sicherheit zu untersuchen.
Man lernt viel dabei und macht es legal.
Schöner Beitrag und da sieht man mal was alles möglich sein kann

[slyzer]

Naja,
ich könnte sowas nicht den ganzen Tag vorm Pc sitzen und nach SIcherheitslücken zu suchen^^

Aber er is wohl eines der wenigen Script Kiddy in Deutschland.

[VeN0m]

Aber er is wohl eines der wenigen Script Kiddy in Deutschland.

Deine Definition von Script-Kiddy finde ich interessant... Ich würde schon eher sagen er ist wirklich Experte und kein Script-Kiddy. Naja aber geht ja auch gerade nicht um die Definition dieser Worte... Fakt ist: Ein Script-Kiddy ist etwas anderes.
Und... Den ganzen Tag bezahlt nach Sicherheitslücken suchen wäre wohl garnicht schlecht. Aber das heißt ja nicht, dass man die ganze Zeit vor dem PC hockt. Dort steht ja auch, dass sie auch in die Firmen hineingehen mit gefälschten Visitenkarten etc. Das ist dann eben die firmeninterne Sicherheit, die durch den Menschen gefährdet ist... Naja.

[LEGENDE-nzo]

naja es erinnert mich an eine wahre geschichte:

es war einmal.. ^^ ne, :

--------------------------------
Ein 15 Jähriger junge aus Frankreich hackte sich in eine Bank ein, nur um zu schauen wie das sicherheitssystem ist, schon ist er drinne und schon steht die Polizei vor seiner Tür. Er versucht noch alle daten zu löschen, schaftes aber nicht und wird überführt. Er sollte eine anzeige bekommen doch die Bank fragte ob er ihnen helfen kann die lücken zu schließen, das auch noch für sehr viel geld! Nun arbeitet er in der bank und vresucht es so sicher wie möglich zu machen!
--------------------------------

Die "geschichte" ist 100% wahr - hab mit nem freund ne Präsentation in der schule gemacht und wir haben alles überprüft! Naja glück im Unglück^^

[slyzer]

arg
Ich meinte natürlich
"Er ist eines der wenigen nicht Script Kiddys in Deutschland sondern einer der etwas drauf hat."

[SUNZ]

ihr mit eurem ************ script kiddy. ne ne ne

ich finde es interessant was im artikel steht aber nichts neues, das der beruf exestiert und ziemlich erfolgreich ist.

[Sveiven]

naja es erinnert mich an eine wahre geschichte:

es war einmal.. ^^ ne, :

--------------------------------
Ein 15 Jähriger junge aus Frankreich hackte sich in eine Bank ein, nur um zu schauen wie das sicherheitssystem ist, schon ist er drinne und schon steht die Polizei vor seiner Tür. Er versucht noch alle daten zu löschen, schaftes aber nicht und wird überführt. Er sollte eine anzeige bekommen doch die Bank fragte ob er ihnen helfen kann die lücken zu schließen, das auch noch für sehr viel geld! Nun arbeitet er in der bank und vresucht es so sicher wie möglich zu machen!
--------------------------------

Die "geschichte" ist 100% wahr - hab mit nem freund ne Präsentation in der schule gemacht und wir haben alles überprüft! Naja glück im Unglück^^

xD, perfekt.

Dann weiß ich ja, was ich zu tun habe

[Patorsky]

Der Typ hat ja uch noch voll die Fresse für so etwas. Der sieht aus wie das unschuldslamm in Person ;-)
Da kommt ja keiner drauf wenn der mit ner gefakten ID irgendwo reinmarschiert :-)
Ausserdem hat er nochn ganz coolen Job!