Ein Team der TU Wien setzt sich bei einem renommierten internationalen Hacker-Wettbewerb durch und zeigt Schwachstellen in Computersystemen auf. Welche Bedrohungen uns in der Zukunft erwarten und warum man seine Pin-Codes doch in der Geldbörse aufbewahren sollte, verrät ein Experte im Gespräch mit dem "Wiener Journal".
Hinweis: Der Inhalt dieser Seite wurde vor 12 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.
Wenige Minuten vor 2 Uhr Früh am 3. Dezember 2011 spitzte sich, unbemerkt von der breiten Öffentlichkeit, ein spannender Kampf zwischen rivalisierenden "Hacker"-Teams zu. Gegnerische Server wurden attackiert, Dienste lahmgelegt und Geld auf Schweizer Konten verschoben. Innerhalb von wenigen Stunden wurde Geld über das Ausland gewaschen, wurden die neuesten Tricks des Eindringens in Computersysteme angewandt. Im Zentrum der Auseinandersetzung standen Russen und Österreicher, die sich ein Kopf-an-Kopf-Duell lieferten. Am Ende gelang es dem Wiener Team, durch eine strategische Meisterleistung den Sieg davonzutragen.
Es klingt wie ein moderner Hollywood-Film und ist doch Realität. Wenn auch völlig ungefährlich und nur zu Testzwecken. Jedes Jahr im Dezember organisiert die Universität von Santa Barbara in Kalifornien einen internationalen Hacker-Wettbewerb. Im Rahmen dieser Veranstaltung messen universitäre Expertenteams aus dem Bereich Internetsicherheit ihre Kräfte und Fähigkeiten. Im Dezember 2011 konnte sich das Team "We_0wn_Y0u" von der TU Wien durchsetzen und den begehrten Titel holen.
Datenschutz und Internetsicherheit ist heute ein wichtiges Forschungsthema, das auch in Wien einen großen Stellenwert hat. "Rein akademische Analysen über Hacker-Attacken sind allerdings nur die eine Seite - man kann eine ganze Menge lernen, wenn man das theoretische Wissen in der Praxis gegen exzellente Gegner einsetzen muss", sagt Christian Platzer von der Automation Systems Group am Institut für Rechnergestützte Automation der TU Wien. Platzer, der das Expertenteam für den "international Capture the Flag"-Wettbewerb (iCTF) zusammenstellte, zeigt sich von den Leistungen der Studierenden begeistert.
Das erfolgreiche Team der TU Wien setzte sich aus Vortragenden und Studierenden der Lehrveranstaltung "Advanced Internet Security" zusammen, die vom Institut für Rechnergestützte Automation und dem Institut für Software und interaktive Systeme sowie dem Forschungszentrum SBA-Research gemeinsam abgehalten wird. "Unsere Studierenden, allen voran Adrian Dabrowski und Martin Jauernig, waren für diesen Erfolg natürlich von entscheidender Bedeutung", betont Christian Platzer. Schon 2006 konnte sich das TU-Team durchsetzen, heuer konnte der Sieg zum zweiten Mal eingefahren werden.
Geldwäsche
Das iCTF bietet den akademischen Hackern eine äußerst herausfordernde - und dabei dennoch völlig legale - Möglichkeit, ihr Wissen unter Beweis zu stellen. Die Universität von Santa Barbara legt den Aufgabenbereich jedes Jahr neu fest. Die Teams müssen einerseits die eigene Computer-Infrastruktur schützen, andererseits in die Systeme der anderen Teams eindringen und vorgegebene Aktionen durchführen und Rätsel lösen. Für jeden Erfolg gab es virtuelles Geld. Im Unterschied zu den vergangenen Jahren war heuer nämlich eine wesentliche Neuerung eingeführt worden, die für mehr Spannung und vor allem Realismus sorgen sollte. Die Teams mussten das erspielte Kapital über die Server ihrer Konkurrenten wieder reinwaschen. Somit wurde der Wettbewerb um ein interessantes und sehr realitätsnahes Detail erweitert. "Die menschliche Komponente spielte heuer erstmals eine wichtige Rolle. Ein Faktor, der in der Computer- und Internetsicherheit ohnehin eine ungeheure Relevanz besitzt", so Platzer.
Bei Pizza und Cola wurde die TU Wien von 17 Uhr am Nachmittag bis 2 Uhr Früh des nächsten Tages zum Zentrum der heimischen Computersicherheit - oder besser gesagt zum wissenschaftlichen Hackerzentrum. Innerhalb kurzer Zeit wurden Strategien erarbeitet, Internetdienste gestartet und abgesichert, gegnerische Server attackiert und stets aktuell und in Echtzeit der momentane Zwischenstand festgehalten.
Schon recht bald konnte sich das Wiener Team an die Spitze setzen - wurde dann aber im Verlauf des Wettbewerbes noch von anderen überholt. "Besonders stark war diesmal ein Team aus Russland - es hatte in der Schlussphase schon einen beeindruckenden Vorsprung", berichtet Christian Platzer. Knapp vor Schluss gelang es dem Team von der TU Wien allerdings doch noch, sich vorbei an der Konkurrenz an den ersten Platz zu schieben. "Die Russen wurden in den letzten Minuten dann offenbar nervös - wir haben zum Glück die Nerven behalten", meint Platzer. Erst wenige Minuten vor dem offiziellen Ende des Bewerbs wurde das virtuelle Geld der Wiener reingewaschen und brachte so die entscheidenden Punkte für den Sieg.
Der Belohnung für die Mühen bis spät in die Nacht hinein war ein Preisgeld von 2000 Dollar und eine fixe Teilnahme beim DefCon CTF in diesem Sommer - dem wohl wichtigsten Hackerbewerb weltweit. Ausgezahlt hätte sich der Wettkampf zweifellos auch ohne Preisgeld: "Es war jedenfalls ein Riesenspaß", sind sich alle Teammitglieder einig. Die achtköpfige Gruppe aus Wien sucht übrigens noch Sponsoren für die Reise in die USA, denn diesmal wird vor Ort um den Titel des besten Hackerteams der Welt gerittert.
Doch was für Menschen sind Hacker eigentlich? Was macht den Reiz des Eindringens in fremde Computersysteme aus? Und wie unterscheiden sich Sicherheitsexperten von ihren Gegnern, mit denen sie sich in der Realität ein tägliches Katz-und-Maus-Spiel liefern müssen? "Um Internetsicherheitsexperte zu sein, muss man schon eine ordentliche Portion Fanatismus mitbringen. Man muss sich in ein Problem verbeißen können und den unbedingten Wunsch haben, das Rätsel zu lösen und hinter die Geheimnisse zu kommen", so Platzer. Um ein System zu verstehen und Schwachstellen zu finden, bedarf es oft monatelanger akribischer Arbeit. Ähnlich einem Tatortermittler müssen kleinste Hinweise zu einem Gesamtbild verbunden und Möglichkeiten ausgelotet werden. Die wachsende Komplexität der Systeme und Endgeräte bietet auch eine Vielzahl neuer Schwachstellen und Lücken, die für feindliche Angriffe und Attacken ausgenutzt werden könnten.
Fiktive Codes
Insofern stimmt das Bild von Menschen, die nächtelang vor ihrem Computer sitzen und sich in ein Thema verbeißen, in Bezug auf Hacker noch immer. Doch auf der anderen Seite sitzen die Sicherheitsexperten, die ebenso akribisch versuchen, die Lücken rechtzeitig zu schließen und es den Anwendern erst ermöglichen, über das Internet zu kommunizieren, zu leben und zu arbeiten. Tagtäglich werden neue Schwachstellen entdeckt und ausgenutzt. Die Kreativität der Angreifer scheint dabei keine Grenzen zu kennen. Besonders heimtückisch sind Attacken, die von den Benutzern gar nicht erst als solche registriert werden und unbemerkt im Hintergrund ablaufen. Oft reicht schon ein Besuch einer verseuchten Webseite aus, um sich einen schädlichen Code einzufangen. Doch genau dann schlägt die Stunde der Computersicherheitsexperten. Die Frage, ob es nicht deprimierend sei, wenn man als Sicherheitsexperte immer den Hackern nachlaufen muss, beantwortet Platzer mit einem Lächeln: "Nein, überhaupt nicht. Ganz im Gegenteil. Es ist immer aufregend und ein gutes Gefühl wenn man weiß, dass man eine Lücke geschlossen und eine mögliche Angriffsfläche entschärft hat."
Auch das Interesse am Studium der Informatik sei wieder größer geworden. Immerhin würden heutzutage ganz unterschiedliche Bereiche - von der Wirtschaftsinformatik bis hin zu Medieninformatik und Computersicherheit - unterrichtet, die sich an unterschiedlichste Anforderungen aus der Praxis richten. Für Interessierte gilt, dass man eine Portion Fanatismus mitbringen sollte, und zudem auch in einer Programmiersprache, welche ist egal, aber "C" schadet nie, gut gerüstet sein sollte, so die Empfehlungen.
Das Thema Sicherheit ist präsent, seit es Computer gibt. Und es wird auch ebenso lange Thema bleiben, zeigt sich der Experte überzeugt. Dabei macht es aus Sicht von Platzer keinen Unterschied, welche Betriebssysteme und Plattformen man verwendet. "Ob Microsoft, Apple oder Linux, die Bedrohungsszenarien sind die gleichen und auch die Anforderungen an die Sicherheitsexperten. Als Privatanwender sei man ohnehin eher auf der sicheren Seite. Die größten Gefahren würden hier von Spam-Mails oder gefälschten Webseiten ausgehen, doch wer sein Betriebssystem, seinen Browser und sein Anti-Viren-Programm auf dem neuesten Stand hält, der darf sich in einer guten Position wähnen. "Es ist sehr wichtig, dass man in der virtuellen Welt sein reales Bauchgefühl behält", so Platzer. "Wenn Sie auf der Straße von einen Unbekannten angesprochen werden, der Sie um Geld bittet, werden Sie nachdenken. Das sollte man auch bei E-Mails von Unbekannten machen."
Durch die immer größere Verbreitung von Smartphones würden sich zudem auch neue Sicherheitsbedrohungen ergeben. "Heutzutage würde ich kein Online-Banking über mein Smartphone machen. Hier sind zu viele sicherheitsrelevante Komponenten zu finden, die noch nicht ausgeschaltet werden können", so Platzer. Dafür hat der Experte aber einen Sicherheitstipp der anderen Art zu bieten: "Sie sollten in ihrer Geldbörse zu den Bankomatkarten auch immer einen Zettel mit drei freigewählten und fiktiven vierstelligen Zahlencodes legen. Wenn ein Dieb ihre Geldbörse findet und dann versucht, am Bankomaten Geld zu beheben, wird er diese Nummer zu allererst eingeben. Und da nach dem dritten Mal der falschen Codeeingabe die Karte automatisch eingezogen wird, können Sie sicher sein, dass die Bank ihre Karte ohne Schaden wieder an Sie übergeben wird."