Anfang der Woche fand die Hack.lu 2011 statt. Die Konferenz, auf der viel buntes Volk sich trifft, soll vor allem kleine und mittlere Unternehmen für IT-Risiken sensibilisieren

Guter Rat vom Hacker

d'Lëtzebuerger Land vom 23.09.2011

Im Konferenzsaal des Dommeldinger Parc Hotels ist Anfang der Woche ein eher ungewöhnliches Publikum anzutreffen. Überwiegend junge Männer, die wenigsten in Anzug und Krawatte, dafür die meisten in Jeans und T-Shirt. Viele schleppen statt modischer Tablet-Computer große Laptops mit sich herum, in die sie auch während der Vorträge, die hier gegeben werden, beinah ständig etwas eintippen. So sieht es aus bei der Hack.lu, der alljährlichen Zusammenkunft von IT-Sicherheitsleuten, Hackern und einfach nur Computerbegeisterten.

Warum man sich in einem Vier-Sterne-Hotel trifft? Weil Hack.lu eine sehr ernst gemeinte Konferenz ist. Trotz ihres provokanten Titels und obwohl beispielsweise gleich neben dem großen Vortragssaal eine junge Delegation des Strassener Hackerspace einen Tisch mit allerlei elektronischem Gerät drapiert hat und ein paar Schritte weiter Jugendliche von einem Computerclub einen Stand betreiben, an dem Spiele programmiert werden. Hack.lu wird von Smile organisiert, einem Groupement d’intérêt économique aus drei Ministerien, das ausgeschrieben Security made in Luxembourg heißt. Informationen aus erster Hand über Risiken im Cyberspace sind halt am ehesten von Computerfreaks und Hackern zu bekommen, die bereit sind, ihr Wissen zu teilen. Und so mischt sich zur Eröffnungsparty am Montagabend auch Wirtschaftsminister Jeannot Krecké unter das bunte Volk im Parc Hotel und bringt Fedil-Präsident Robert Dennewald mit. Dass Dennewald freimütig gesteht, Computersicherheit habe ihn noch vor nicht allzu langer Zeit kaum interessiert, illustriert recht gut, dass eine Konferenz, die dafür nicht zuletzt die Unternehmen sensibilisieren soll, offenbar weder Zeit- noch Geldverschwendung ist.

Und erst diesen Sommer hatte das Circl, das Computer Incident Response Center Luxembourg, die nationale Task force für IT-Sicherheit, eine ziemlich umfangreiche Sicherheitslücke hierzulande bekannt gemacht. Sie betraf SSL/TLS, ein Verschlüsselungsprotokoll, das zur Her-stellung „sicherer“ Verbindungen im Internet benutzt wird. Wer sein Bankkonto per Internet verwaltet oder online einkauft, könnte dem Ausdruck SSL/TLS schon begegnet sein: Webbanking und E-Commerce wären undenkbar ohne dieses Sicherungsverfahren. 2009 fanden Forscher darin eine Schwachstelle. Sie wurde zwar schnell behoben und die Software-Hersteller verschickten bis Anfang 2010 Updates zur Korrektur des Fehlers. Allerdings: Als ein Circl-Team dieses Jahr 8 977 Webseiten mit der Endung.lu, die für verschlüsselte SSL/TLS-Verbindungen eingerichtet waren, überprüfte, bestand in 28 Prozent davon diese Sicherheitslücke nach wie vor – immerhin in fast 2 500 Webseiten.

Wahrscheinlich waren längst nicht alle davon auch fürs elektronische Bezahlen eingerichtet, vermutlich sogar die wenigsten. Doch selbst, wenn es nur eine gewesen wäre: „Von einer Seite aus elektronisch zu bezahlen, die keine sichere Verbindung erlaubt, könnte dazu führen, dass ein Fremder ins Konto eindringt“, sagt Alexandre Dulaunoy vom Circl, der mit seinem Kollegen Sascha Rommelfangen die Untersuchung durchgeführt hat. Die entsprechende bösartige Software hierfür, so genannte Malware, gebe es schon, erzählt Dulaunoy in einer Konferenzpause bei der Hack.lu. Zum Glück sei in Luxemburg niemand zu Schaden gekommen. Doch dass das Circl die Überprüfung in Zusammenarbeit mit der Bankenvereinigung ABBL vornahm, deutet an, wie sehr der Finanzbranche daran gelegen ist, dass E-Commerce und Webbanking nicht etwa als unsicher in Verruf geraten, nur weil irgendeine Webseite kein Sicherheits-Update erhielt.

„Im Prinzip ist kein Computer sicher, denn auf allen läuft Software“, sagt Sascha Rommelfangen. Wie Recht er hat, wird in den Vorträgen auf der Hack.lu deutlich. Der indische Software-Entwickler Aseem Jakhar zum Beispiel stellt eine Methode vor, wie sich in Betriebssystemen auf Unix-Basis unbemerkt von außen her unerwünschte Prozesse starten lassen. Windows-Hacker gehen schon längst so vor; Jakhars Präsentation zeigt, wie potenziell gefährdet auch Rechner mit den angeblich sicheren Linux- oder Mac-OS-X-Betriebssystemen sind, die auf Unix zurückgehen.

Oder der Vortrag von Ertunga Arsal, Sicherheits-Spezialist für die [-]Geschäftsprozess-Software SAP, die Herzstück vieler Unternehmen ist: Sie ist technisch derart komplex, dass sie viele Angriffspunkte bildet. Was Arsal an Beispielen dafür anführt, wie verheerend ein Angriff auf ein SAP-System für einen ganzen Betrieb sein kann, müsste jeden SAP-Nutzer veranlassen, sich intensiv mit der Absicherung seines Systems zu befassen.

In Luxemburg haben die fünf fest angestellten Mitarbeiter des Circl im vergangenen Jahr rund 4 000 Cyber-Angriffe registriert, sagt Alexandre Dulaunoy, also im Schnitt an die elf pro Tag. Größere Angriffe sind damit gemeint; nicht der Virenbefall eines Büro-PCs, sondern Versuche, Server lahm zu legen oder Daten zu stehlen. Im Allgemeinen sei die Lage in Luxemburg noch vergleichsweise günstig: „Das Land ist klein. Wir haben einen recht guten Überblick, welche Software hier verwendet wird, und können relativ effizient Schutzempfehlungen geben.“ Auch die Finanzbranche lebe verhältnismäßig sicher: Wer eine Bank attackiere, um Überweisungen vornehmen zu lassen, suche sich erfahrungsgemäß eine mit sehr vielen Kontoinhabern aus. Da seien die hiesigen Geldinstitute noch eher uninteressant.

Außerdem ist die Cyber-Abwehr längst international vernetzt. In der EU gibt es in jedem Mitgliedstaat Task forces, wie das Circl eine ist, und wenn im Ausland ein Angriff registriert wird, der für andere Staaten ebenfalls relevant sein könnte, erhalten deren IT-Sicherheitsdienste umgehend Meldung. „Die grenzübergreifenden Attacken sind besonders interessant“, sagt Rommelfangen.

Die große Sorge des Luxemburger Circl gilt allerdings weniger Großbetrieben oder Banken – denn dort ist die IT-Sicherheit in der Regel nach ISO-Standards organisiert. In kleinen und mittleren Unternehmen dagegen ist das längst nicht immer der Fall, und beim Privatnutzer sowieso nicht. Im Zeitalter massierter Angriffe über so genannte Botnetze, in denen alle möglichen ungeschützten Rechner gekapert werden, um bösartige Software zu verbreiten, wird jedoch jeder Computer zum potenziellen Risiko für alle anderen. Hinter dem GIE Smile steht deshalb nicht nur das Wirtschaftsministerium, sondern auch das Bildungs- und das Familienministerium. Beide unterhalten Initiativen, die jugendliche Nutzer dazu bringen sollen, sorgsam mit ihren Computern umzugehen.

„Wussten Sie, dass der Zugangscode zum Nukleararsenal der Vereinig-ten Staaten bis 1977 aus fünf Nullen bestand?“, fragt der US-Amerikaner Jayson E. Street in seinem Vortrag über den „human factor“ in Sicherheitsbelangen. Street ist „tagsüber“ IT-Sicherherheitschef einer Bank in den USA. „Nachts dagegen kreiere ich von meinem Computer aus Zwischenfälle.“ Solche gutwilligen Hacker, die Grenzen ausloten und ihre Erkenntnisse anschließend mit Sicherheitsbeauftragten teilen, sind im Publikum der Hack.lu und auf der Rednerliste der Konferenz zahlreich vertreten.

Wie etwa auch der Russe Fjodor Jaroschkin. Er beschreibt, wie stark kleine Angriffe auf sehr viele Ziele gleichzeitig im Kommen sind: „Früher raubte man eine Million Dollar aus einer Bank. Heute holt man sich bei einer Million Opfern je einen Dollar.“ Etwa, indem Fotos ins Internet gestellt werden, und ein Klick darauf dem Computernutzer meldet, einen Virus erwischt zu haben, der sich durch Download und Installation einer Software beheben lasse, die gleich mit angeboten wird. Doch statt einen Virus zu beseitigen, öffnet sie den Computer für einen Angriff von außen. Oder indem versucht wird, auf Web-Seiten falsche Anzeigenbilder zu platzieren – von nackten Frauen etwa – und ein Klick darauf weiterleitet zu einem Schadprogramm.

Wie man sich vor diesen immer un-übersichtlicher werdenden Cyber-Risiken am besten schützt, etwa als kleiner Betrieb? „Natürlich indem man sich informiert, Software zum Schutz vor Angriffen installiert. Aber abgesehen davon empfehle ich, regelmäßig die Log-Dateien der Computer zu lesen“, sagt Alexandre Dulaunoy. In diesen kleinen Texten hält das Betriebssystem fest, was in ihm vorgeht. „Steht dort zum Beispiel plötzlich, der Speicher reiche nicht mehr aus, und ist das nicht zu erklären, dann ist das ein Alarmsignal.“ Allerdings, fährt er fort, müsse man im Grunde die Logs sämtlicher Computer in einem Netzwerk lesen. „Das ist aufwändig und meistens langweilig.“ Doch andererseits sei die Cyber-Welt so schnelllebig geworden, dass man sich auch auf schützende Software nicht mehr verlassen könne: Notwendige Updates erhält sie erst Tage nachdem eine Gefahr erkannt wurde. Aber dazu muss sie erst einmal erkannt worden sein. Und längst nicht alle Hacker sind so gutwillig und nett wie die im Publikum der Hack.lu.

Peter Feist
© 2017 d’Lëtzebuerger Land