123456 war das häufigste Passwort, das User benutzten, um sich auf einem Seitensprungportal anzumelden. Foto: dpa/Oliver Berg

Hacker kapert Yacht per Laptop

Jeder weiß inzwischen über die Gefahren durch Hackerangriffe. Wenn man einem über die Schulter schaut, wird einem dennoch mulmig. Hacker Marco di Filippo stellt beim F5-Forum in Berlin sein Können unter Beweis.

Marco di Filippo fühlt sich sichtlich wohl in der Rolle des Bösewichts. Der Ethical Hacker trägt ein T-Shirt mit der Aufschrift “Bad Guy”, darunter sein Konterfei im Comic-Stil und sein Künstlername “MadIFI” - eigentlich soll das die Abkürzung seines Namens sein, allerdings war “MadiFi” bei Twitter schon belegt.

Und gleich der erste Zaubertrick ist beeindruckend. Noch bevor sich die rund 40 Zuschauer beim F5-Forum im Friedrichshainer nhow-Hotel auf ihre Plätze gesetzt haben, hat der Bamberger vier ihrer Smartphones gehackt. Das geht ganz einfach: Di Filippo spielt den Handys vor, ein bekannter W-Lan-Standort wie etwa Starbucks zu sein, spiegelt die Daten wider und hat schnell das Sicherheitszertifikat aufgebrochen: “Jetzt könnte ich alles mithören und mitlesen, in den Appstore gehen und Ihnen schöne Dinge kaufen oder Ihre Bankdaten abgreifen.” Hektisch fummeln die betroffenen Gäste an ihren Geräten. Peinlich, auch ein Redaktionshandy vom Tagesspiegel ist unter den vier potenziell knackbaren Handys.

Hackerethik

Doch der 41-Jährige hat nichts Böses im Sinn. Er hält sich an die Hackerethik, die unter anderem dem Grundsatz folgt: “Öffentliche Daten nützen, private Daten schützen.” Dennoch ist es an diesem Donnerstagabend seine Aufgabe, den ausschließlich männlichen Zuschauern gefährliche Risiken durch Sicherheitslücken aufzuzeigen. Meistens enden seine Ausführungen in breitem Fränkisch mit Sätzen wie: “Jetzt könnten wir hier rein, aber dann würden wir uns strafbar machen.” Im Laufe des Abends wird er zeigen, wie man Pizza für ein Zehntel des Preises bestellt, eine Yacht kapert oder in die Dropbox eines Dax-Konzern-Mitarbeiters eindringt.

Regeln und Gerechtigkeit sind wichtig für di Filippo: Sein großes Hobby ist Fußball. Weil er selbst aber kein guter Spieler ist, hat er sich auf die Schiedsrichterei verlegt, jeder, der einmal Amateurfußball verfolgt hat, weiß, dass das nicht immer die angenehmste Aufgabe ist. Der Vater einer Tochter, die gerade vor ihren Abitur-Prüfungen steht, ist selbst als Schüler zum Programmieren gekommen. Weil er einer Mitschülerin Wasser über den Kopf gekippt hatte, musste er eine Strafaufgabe abliefern und schrieb statt 50 Seiten Prosa lieber ein Programm für den Informatiklehrer. Der Beginn einer Karriere. Seit Mitte der 90er Jahre ist er in der IT-Security tätig.

Der Gegenspieler

Tastenduell. Ethical Hacker Marco di Filippo testet die Abwehrsoftware von IT-Sicherheitsexperte Stephan Schulz. Foto: Martin Pfaffenzeller

Wo ein Bösewicht lauert, braucht es selbstverständlich auch einen Gegenspieler, den “Good Guy”. Stephan Schulz kommt von der IT-Sicherheitsfirma “F5”, die den Schaukampf gemeinsam mit der Firma “Westcon” veranstaltet. Er soll die Attacken von di Filippo abwehren. Dass Schulz aus Hamburg kommt, passt zu seinem trockenen Humor. Nicht nur, was helle oder dunkle Seite des Hackens angeht, sind die Rollen klar verteilt. Di Filippo ist die Rampensau und sorgt mit ausschweifenden Anekdoten für die Unterhaltung. Schulz hält nüchtern und mit wenigen Worten dagegen.

Er ist seit Jahren für die Sicherheitsprodukte der Firma verantwortlich und soll die potentielle Neukunden – laut Teilnehmerliste sind Vertreter vom Wirtschaftsministerium, Kanzleramt und der gesetzlichen Krankenversicherung vor Ort - von der Notwendigkeit einer professionellen Sicherheitstechnik überzeugen.

Doch auch er muss zugeben: “Der Verteidiger läuft immer hinterher, deshalb können wir hundertprozentige Sicherheit nie garantieren. Wir sind ja im Blindflug, bis die nächste Attacke kommt - dann erst können wir reagieren.” Trotzdem arbeite man mit Ethical Hackers wie di Filippo zusammen und engagiere ein eigenes Research-Team, das durch “Reverse Engineering” das Funktionieren von Schadsoftware rekonstruiert.

Am Rande des Kollapses

Bevor die beiden richtig gegeneinander antreten, zeigt der Hacker noch ein paar weitere Tricks aus seiner Zauberkiste. Mit speziellen Analyse-Werkzeugen scannt er das Internet nach möglichen Schwachstellen: Allein in Berlin findet die Software mehr als 7000 Zugänge von der Klimaanlage über Webcams bis hin zum Parkhaus vom Flughafen Tegel.

Einer Koch-Show gleich hat die Filippo seine Beispiele vorbereitet: So hat er Zugang zu einer Yacht gelegt. Auf dem Bildschirm ist das komplette Bordsystem zu sehen, offenbar macht das Schiff gerade Fahrt und der Motor ist relativ erhitzt. Der Hacker könnte nun beliebig ins elektronische System der Yacht eingreifen, die Ölpumpe oder den Feueralarm manipulieren oder die seitlichen Back- und Steuerbordlichter löschen. Das macht er selbstverständlich nicht – wegen der Ethik. Trotzdem gehört nicht viel Fantasie dazu, um sich eine bedrohliche Situation auf hoher See vorzustellen.

Weiter geht es über private Photovoltaik-Anlagen und Webcams zu einem schwedischen Kraftwerk. Di Filippo erinnert daran, dass die wenigen Minuten Dunkelheit während der Sonnenfinsternis im vergangenen Jahr die Stromnetze in Deutschland nahe an den Kollaps brachten, weil die Leistung der Sonnenenergie wegbrach. Damals konnte man mit dem Rückgang planen und das zwischenzeitliche Defizit ausgleichen. Bei einem unvermittelten Hacker-Angriff auf tausende Photovoltaik-Anlagen wäre die Stabilität wohl nicht gewährleistet, ein Blackout die Folge.

Passwort »Pussy«

Für alle, die von der Macht des Hackers noch nicht überzeugt sind, hat di Filippo noch ein letztes griffiges Beispiel parat. Der Bamberger beschaffte sich Zugang zur geleakten Datenbank des Seitensprung-Portals Ashley Madison. Mit ein paar einfachen Kniffen macht er die Daten handhabbar: Name, Geschlecht, E-Mail-Adresse, sexuelle Vorlieben, Körpergröße, Rasse und Passwörter von mehr als 36 Millionen Nutzern erscheinen auf dem Bildschirm. Interessanter Fakt am Rande: Entgegen der Eigenwerbung mit einem angeblichen Frauenanteil von 45 Prozent lassen sich lediglich Datensätze von 4000 Frauen finden. Damit ist die Quote zwar noch minimal höher als beim F5-Forum – mit der Werbung passen diese Zahlen jedoch überhaupt nicht zusammen.

Nun geht es ans Eingemachte. Di Filippo sortiert die Mail-Adressen nach den 30 Dax-Unternehmen und siehe da: 541 Personen aus diesen Betrieben haben sich mit ihren geschäftlichen Mail-Adressen bei Ashley Madison angemeldet. Ein kurzer Abgleich zeigt, dass mindestens ein Nutzer noch immer dieselbe Adresse und dasselbe Passwort auch beim Cloud-Anbieter Dropbox verwendet, obwohl das Datenleck seit Herbst bekannt ist und offenbar schon einen Menschen in den Suizid trieb. Damit könnte der Hacker auf persönlichste Daten zugreifen. Auch an dieser Stelle bricht er seinen Vorführung ab – Ethik.

Und überhaupt, die Passwörter. Die Analyse zeigt, dass 36 Millionen Nutzer nur etwas mehr als 700.000 verschiedene Passwörter nutzen. Die Top-3: “123456”, “password” und - dem Begehren der Nutzer entsprechend - auf Platz 3 “pussy”. Erschreckend ist auch der Umstand, dass weniger als ein Prozent komplexe Passwörter nutzen - also Schlüssel mit Groß- und Kleinschreibung, Buchstaben, Zahlen und Sonderzeichen.

Das Duell

Soweit zu den möglichen Gefahren, die von Hackern ausgehen, wenn eine Datenbank geknackt ist. Nun darf auch Schulz eingreifen. Er trifft seinen Kontrahenten auf einer eigens dafür angelegten Website für einen fiktiven Online-Shop, ihrer “Spielwiese”. Die ersten einfachen Attacken kann die Abwehr-Software tatsächlich parieren oder sogar zum Angreifer zurückverfolgen. Doch spätestens als di Filippo von seinem Rechner aus mehrere intelligente Angriffsvarianten hintereinanderschaltet, kann er den ersten Punkt verbuchen. Schulz fragt achselzuckend ins Plenum, wie man diesen Zugriff verhindern könnte und erntet auch unter den anwesenden Experten nur Achselzucken.

Eine andere Angriffsvariante nutzt die Neugier des Menschen: Wer hat nicht schon einmal einen unbekannten USB-Stick in den entsprechenden Schlitz geschoben. Ärgerlich ist nur, wenn es sich dabei um einen sogenannten “Rubber Ducky” handelt, der Maus und Tastatur kapert und blitzschnell eine Schadsoftware installiert, die alle möglichen Zugriffe erlaubt. So sind auch Angriffe auf Anlagen möglich, die gar nicht mit dem Internet verbunden sind.

Doch auch mobile Geräte sind ein leichtes Ziel: Ein Gast macht das Versuchskaninchen und gibt seine Rufnummer heraus. Sekunden später hat der Hacker von dessen Guthaben fünf Euro per SMS an das Rote Kreuz überwiesen. Dass solche Attacken auch einem weniger “Robin-Hood-haftem” Motiv dienen könnten, wird jedem der Anwesenden schlagartig klar.

»Dafür muss man nicht programmieren können«

Mit einem mulmigen Gefühl im Bauch erheben sich die Zuschauer am Ende der Veranstaltung. Zu Recht, wie der Hacker findet. Sein Fazit ist in der Tat beängstigend: “Für die meisten Sachen, die ich gezeigt habe, muss man noch nicht einmal richtig programmieren können.” Der „Bad Guy“ war offenbar zufrieden mit seinem Auftritt:

Auch wenn Software-Ingenieure wie Stephan Schulz sich alle Mühe geben: Das W-Lan des Redaktionshandys bleibt erst einmal grundsätzlich und dauerhaft ausgeschaltet.