Alfred Grabner, Geschäftsführer von Hackattack IT Security GmbH, im [SIC!]-Interview über Viren, Angriffe und das größte Problem überhaupt: den Menschen.
[SIC!]: Was macht ein „Hacker“ genau? Wen oder was kann man sich unter diesem Begriff vorstellen?
Grabner: Grundsätzlich klassifiziert man drei unterschiedliche Arten von Hackern. Einmal den White-Hat-Hacker, das ist so der typische Security Consulter. Der im Auftrag der guten Sache Firmen ihre Schwachstellen aufzeigt. Dann gibt es den Black-Hat-Hacker. Der hat ein bestimmtes Ziel. Der will zum Beispiel die Bank Austria hacken. Der will sämtliche Kontodaten, TAN-Nummern, was auch immer. Böswillige Absicht. Aber auch, und da hat der Verfassungsschutz aus Deutschland eine aktuelle Studie herausgebracht, eben andere Regierungen, die gezielt deutsche Unternehmen ausspionieren, um Betriebsgeheimnisse herauszufinden. Nicht zuletzt war ja der deutsche Bundestag vor zwei Jahren betroffen, über drei-vier Monate hinweg ausspioniert worden zu sein. Aber hier geht es wirklich um Wirtschaftskriminalität und Spionage im herkömmlichen Sinn. Wobei nicht nur in der Wirtschaftskriminalität und in der Spionage die Grenzen verschwimmen, sondern eben auch in der technischen Sicht. Selbst wir im Unternehmen haben aufgrund unseres doch recht aggressiven Namens schon mehrere unmoralische Angebote bekommen. Das würde natürlich nicht mit dem Ehrenkodex eines White-Hat-Hackers vereinbar sein.
Die dritte Art sind die “Scriptkiddies”. Das ist eigentlich etwas, was man immer wieder hört. Unterscheidung zu den zwei anderen ist primär, dass sie kein bestimmtes Ziel haben. Sie wollen jetzt nicht eine Bank hacken, sondern haben jetzt einfach ein Tool gefunden und den lassen sie auf das gesamte Internet los. Just for fun, schauen was passiert.
[SIC!]: Seit wann gibt es „hacken“?
Grabner: Da haben wir ja auch schon den geschichtlichen Hintergrund des Hacking. Wenn ich dran denk, die ersten Experimente in diesem Bereich waren von der UCLA Universität, die in die Stanford University eingebrochen ist, um eben Informationen aus dem Server abzufangen. Aber nicht, um zu zeigen, dass das technisch möglich ist, sondern um freie Meinungsäußerung für alle auszudrücken. Und heute geht es eben von der Kriminalisierung, wo eben über die Jahre hinweg Geld von Banken gestohlen worden ist, durch Rundungsfehler, wenn man sich erinnert, bis hin zu dem Thema, dass Hacking heute einfach ein Geschäftsmodell ist.
[SIC!]: Wir sind bei den Recherchen über den Begriff „Cracker“ gestoßen. Was sind die Unterschiede zu einem Hacker?
Grabner: Cracker nennt man die, die Programme hacken. Also zum Beispiel Kopierschutzmechanismen und dergleichen umgehen.
[SIC!]: Also nur lokal bei einer gewissen Software zum Beispiel?
Grabner: Genau, so könnte man sagen.
[SIC!]: Auf welche Arten kann man in einen Computer eindringen? Wie geschieht das genau?
Grabner: Es gibt unterschiedlichste Möglichkeiten. Eine der einfachsten ist natürlich, das ganze über E-Mail zu machen. Da hat sich gerade in den letzten sechst Monaten herauskristallisiert, dass sich das Format pdf ganz besonders gut eignet. Wenn man selbst einen Computer verwendet, merkt man, dass mindestens einmal in der Woche ein pdf-Update kommt, sofern man das eingeschalten hat. Bitte unbedingt aktivieren, weil über das pdf-Format inzwischen extrem viele Viren verbreitet werden. Speziell in dem Hinblick ist zu sagen, dass es diese “Rootkits” gibt, eine spezielle Art von Viren. Die sich unterhalb der Systemebene einnisten. Das heißt, die werden gestartet, bevor der Virenscanner startet. Und der ist dann im Prinzip ausgeschaltet. Zusätzlich haben sie noch den “Vorteil”, dass sie natürlich sämtliche Informationen, bevor das System gestartet ist, wie die Benutzer- und Kennworteingabe, bereits mitlesen können.
[SIC!]: Welcher Virenschutz ist dann empfehlenswert?
Grabner: Ich geb generell keine Empfehlungen ab. In der Unternehmenspraxis ist es zu empfehlen, in unterschiedlichen Bereichen unterschiedliche Virenscanner einzusetzen. Kein Virenscanner ist zu hundert Prozent sicher. Aber wenn ich mehrere Scanner miteinander verbinde – zum Beispiel auf der Firewall einen “kaspersky”, auf dem Mail-Server hab ich einen “Ikarus” – ein österreichisches Produkt – um dann weiterzugehen in den “Norton”. Dann hab ich drei, vier unterschiedliche Virenscanner und dadurch erreiche ich natürlich eine sehr hohe Sicherheit. Man spricht immer von Sicherheit und Sicherheitsinvestitionen. 
Da gibt es zwei Pyramiden, die man gegenüberstellt. Setzt man wenig Budget ein, hat man viele Sicherheitslücken. Aber egal, wieviel Budget man einsetzt, man wird immer eine gewisse Spitze haben, die man nicht abdecken kann.
Selbst wir, die heute regelmäßig diese Audits machen, werden von Kunden gefragt: “Sind wir nachher denn sicher?” Und da bin ich ganz ehrlich und sag dem Kunden: “Am nächsten Tag, wo Sie das in den Händen halten, ist es schon wieder einen Tag alt. Und damit ist es schon alt.” Weil jeden Tag hunderte Schwachstellen und Mechanismen rauskommen. Und damit komm ich zurück auf die Frage, wie man in einen Computer eindringen kann. Derer Möglichkeiten gibt es so viele. Und mit jedem zusätzlichen Dienst, mit jeder zusätzlichen Software, die man installiert, kann man eben auch wieder das System zusätzlich kompromittieren.
[SIC!]: Es wird propagiert, dass gerade Apple-Computer nicht so virenanfällig sind. Was steckt dahinter?
Grabner: Da widerspreche ich. Die große Gefahr ist, dass gerade für Apple-Computer, oder sagen wir generell für einheitliche Plattformen, und da zähl ich auch das IPhone und dergleichen dazu, für den bösen Virenerzeuger immer interessanter werden. Weil ich dann eine einheitliche Plattform habe, ein einheitliches Betriebssystem, ich hab einheitliche Hardware und ich hab in der Regel keinen Virenscanner. Genau aus diesem Irrglauben heraus, dass es für Apple keine Schwachstellen gäbe.
[SIC!]: Sind private Internet-User für einen Hacker überhaupt interessant?
Grabner: Black-Hats und White-Hats greifen im Prinzip keine Privatpersonen an. Da kommt das Scriptkiddie zum Einsatz, der einfach schaut, was geht. Der Black-Hat und der White-Hat haben eine Absicht dahinter. Es kann natürlich schon eine Absicht sein, wenn zum Beispiel wir in Windows 7 eine Schwachstelle entdeckt haben, die auch veröffentlich haben, wenn ich so sämtliche Windows 7-PCs weltweit übernehmen kann. Dann hab ich da auch wieder eine gewisse Summe an Daten, an Informationen, an Benutzerdaten, Benutzerkonten, Eigentümerinformationen bis hin zu E-Mail-Adressen, die ja auch heute Geld wert sind. Und sei es nur, um blaue Pillen zu verkaufen.
[SIC!]: Thema Internetshopping mit Kreditkarten oder Bankeinzug. Wie sicher ist das?
Grabner: Ich glaub, ein Online-Shop, der “https” nicht anbietet, den kann man grundsätzlich nicht vertrauen. Das ist heutzutage technisch nämlich keine große Hürde mehr. Früher war das doch sehr aufwändig, diese Zertifizierungen waren sehr kompliziert. Heute ist es state of the art und eigentlich kein Thema mehr.
[SIC!]: Und bei Fluglinien, wie zB Lufthansa?
Grabner: Bietet auch nur noch “https” an. Ich denke mal gerade in dem Bereich geht es in die Richtung https (Anm: Beginn einer Internet-Adresse, genannt URL), aber das Problem ist, dass der Angreifer immer noch dieses “s” rausnehmen kann. Wenn der User nicht darauf sensibilisiert ist, wenn man davon ausgeht, ich vertraue der Lufthansa generell oder ich vertraue der Bank Austria generell, oder Paypal. In unserem Hacking-Seminar, das wir anbieten, hacken wir zum Beispiel Paypal. Ich bin immer ein Feind davon, dass man sagt, dieser oder jener Anbieter ist schlecht. Die Technik, die darunter liegt, ist sicher. Nur der User ist das Problem, der Layer 8, der vor dem Computer sitzt. Nicht Finger weg von der Bank Austria, nicht Finger weg von Paypal, auch wenns gut klingen würde. Wir zeigen im Seminar auch her, wie wir das “https” auch hacken, und trotzdem so ein Sicherheitsschloss davor haben. Für den User ist das Visuelle immer noch da. Im Hintergrund sind die ganzen Daten eigentlich schon geklaut. Das Technikvertrauen generell…und sei es für Wireless-Lan-Verbindungen. Jeder hat zuhause eine Wireless Access Point (Anm: drahtlosen Internetzugang). Dass WEP-Verschlüsselung nicht mehr sicher ist, wissen wir alle. Aber dass inzwischen auch WPA2, der höchste Sicherheitsstandard gehackt ist, das wissen die wenigsten. Technikvertrauen alleine hilft hier also nicht.
[SIC!]: Wie sicher sind eigentlich Gmx-Adressen?
Grabner: Dafür muss man etwas weiter ausholen. Was ist Sicherheit in dem Zusammenhang? Das ist mal eine sehr philosophische Frage. Grundsätzlich geht es generell immer darum, die Techniken an sich sind grundsätzlich sicher. Das heißt “https” ist sicher. Bei Gmx ist dieser Standard allerdings nicht zwingend. Grundsätzlich sind auch IMAP-Verbindungen sicher, also E-Mail-Client-Verbindungen sicher darzustellen. Allerdings ist das Problem dabei, dass es viele eben nur optional verwenden und zweitens – und das ist eigentlich die größte Schwachstelle – dass viele nicht darauf achten, weil genau diese https-Technik, die ja nicht nur bei Gmx eingesetzt wird, sondern auch für Bank-Verbindungen und dergleichen, inzwischen auch gehackt ist. Es ist in inzwischen also möglich, dieses “s” aus dieser https-Verbindung herauszunehmen und dadurch eben den gesamten Traffic, sprich Passwörter, E-Mails, Kontodaten, TAN-Nummern und dergleichen im Cleartext, das heißt ich kann das dann eins zu eins lesen und mitzuschneiden. Zusätzlich kommt bei diesem gesamten Webmail-Anbietern immer noch diese Sicherheitsfrage. Der Name Ihrer Mutter, der Name Ihres Hundes und dergleichen. Und wenn man diese Informationen mit Informationen aus zum Beispiel Facebook verknüpft, oder aus anderen sozialen Netzwerken, XING und so weiter, dann ist es relativ einfach heruaszufinden, was der Name der Mutter oder des Hundes ist. Beste Beispiele Paris Hilton, Sarah Palin, deren E-Mail-Account auf genau diese Art und Weise gehackt worden sind. Also nichts einfacher, als dass ich den Namen von Paris Hiltons Hund herausfinde.
[SIC!]: Stichwort Gmx-Adressen: Ich bekomme ein Mail von einem befreundeten Absender mit einem verrückten, absurden Inhalt. Was kann das bedeuten?
Grabner: Das ist eine andere Technik. Nennt sich Mail-Spoofing, mit dem es eben möglich ist, einfach jede E-Mail-Adresse, die ich will, anzunehmen. Das heißt, ich kann jetzt zum Beispiel unter Bill.Clinton@whitehouse.gov.com oder was auch immer eine E-Mail verschicken. Schlechte Mail-Programme und -Filter erkennen das nicht. Gute Spamfilter erkennen das. Was macht man? Man loggt sich direkt nicht mit einem E-Mail-Programm, sondern eben mittels einer Command-Line-Verbindung an den E-Mail-Server an und gibt über direkte SMTP-Kommandos die falschen Absenderadressen ein. Sie kennen das vielleicht, Sie können ja bei Ihrem Outlook-Programm “Gesendet als” eintragen. Im Prinzip ist das nichts anderes.
[SIC!]: Welchen Gratis-Webmail-Anbieter würden Sie persönlich empfehlen?
Grabner: Ich überlege grad, ob ich sagen soll, dass ich einen nicht empfehle. Weil eigentlich alle großen Anbieter, wie Gmail, Gmx, Hotmail usw. auf Sicherheit grundsätzlich sehr viel Wert legen. Die großen kann man grundsätzlich empfehlen. Das größte Problem ist immer – wir sagen in der EDV-Sprache immer – der Layer 8, der Mensch. Der Fehler sitzt vor dem Computer und nicht im Computer. Grundsätzlich sag ich, wenn die Techniken richtig benutzt werden, wenn auf die einzelnen Sicherheitsmechanismen – sprich dieses “https” – geachtet wird, wenn darauf geachtet wird, keine alten Technologien wie POP einzusetzen, sondern sichere IMAP-Verbindungen mit Verschlüsselungen einzusetzen, auch dann ist die Übertragung sicher.
Grundsätzlich auch diese Sicherheitsabfragen. Es fängt aber damit an, mit welchem Netzwerk verbinde ich mich überhaupt. Wir haben mit der deutschen Zeitschrift “Focus” einen Versuch gemacht am Flughafen Stuttgart, wo wir einen Access Point installiert haben, also mit unserem Laptop, einen Access Point imitiert haben, und den haben wir “Free Internet Access Airport Lounge” benannt. Was passiert? Binnen kürzester Zeit verbinden sich Leute mit unserem Laptop, wir können sämtlichen Traffic abhören, abfangen und damit sämtliche Verbindungen auch mitlesen. Egal ob das inhaltliche Informationen sind, E-Mail-Adressen sind. Dabei fängt es eigentlich schon an.
[SIC!]: McDonalds bietet beispielsweise gratis W-Lan für die Gäste an. Kann man das damit vergleichen? Die hätten ja dann die Möglichkeit, alles mitzulesen.
Grabner: Absolut. Grunsätzlich hat jeder Provider die Möglichkeit. Egal ob das McDonalds ist oder die ÖBB sind, ob das jetzt Gratis-Internet am Flughafen ist in der Business Lounge sozusagen, da können Daten geklaut werden. Ich sag jetzt nicht, dass es so ist, sondern es ist sehr einfach möglich. Aber natürlich auch, wenn ich weiß, dass McDonalds das anbietet, dann geh ich hin, stell dort einen Access Point auf, der genau gleich heißt und irgendwer verbindet sich dann schon mit meinem Access Point und nicht mit dem originalen von McDonalds. Noch dazu gibt es technische Möglichkeiten, dass ich eben die anderen Access Points in meiner Umgebung deaktiviere und dadurch eigentlich erzwinge, dass sich die Leute auf meinem Access Point verbinden. Ist ein super Versuch gewesen!
Das Interview führten Verena Niedermüller und Matthias Lassnig.
![[sic!] DieZeitung](http://sicmagazin.files.wordpress.com/2010/06/s1.jpg?w=200&h=300)
Hallo!
Gratuliere euch zu diesem Beitrag! Ist ja echt gelungen
Weiterhin viel Erfolg
Grüsse aus Wien
Michael Thaler