https://www.faz.net/-gzg-a10

Datensicherheit : Tinchen bleibt nicht unerkannt

Hacker können zum Beispiel rasch herausfinden, wen ein Nutzer per Handy zuletzt angerufen hat Bild: dpa

Datenklau bei Sony, Web-Attacke bei der Bundesfinanzagentur. Wie gut ist es um die Sicherheit von Daten im Internet bestellt? In Hofheim zeigt ein professioneller Hacker sein Können - und macht wenig Mut. Das Verbraucherthema.

          3 Min.

          Am Ende der Veranstaltung will man eigentlich seinen Computer wegschmeißen. Das Handy auch, den Blackberry sowieso. Über „Sicherheit im Internet“ wollte die Taunus-Sparkasse ihre Kunden informieren. Die Stadthalle in Hofheim war mit 500 Zuhörern prall gefüllt. Doch eigentlich war das, was ihnen der professionelle Hacker Götz Schartner von dem Ludwigshafener Sicherheitsunternehmen 8com vorführte, eine große Demonstration der Unsicherheit der digitalen Kommunikation.

          Tim  Kanning

          Redakteur in der Wirtschaft.

          Es geht damit los, dass Karl, Horst und Tinchen ihrer Anonymität in der Zuhörermenge beraubt werden. Nicht weil sie sich selbst gemeldet haben. Nein, ein Computerprogramm, das Schartner mit wenigen Klicks in Gang gebracht hat, durchsucht den Raum nach sämtlichen Mobiltelefonen, bei denen die Bluetooth-Verbindung eingeschaltet ist. Das sind an die 50 Geräte: Auf einer Leinwand listet das Programm alle Gerätenamen auf - darunter eben auch „Karl“, „Horst“ und „Tinchen“, deren Besitzer sich verdutzt melden.

          Zugriff auf das im Handy gespeicherte Telefonbuch

          Was Schartner mit den Geräten so alles anfangen könnte, zeigt er dankenswerterweise an einem seiner eigenen Geräte. Nur kurze Befehle gibt er in seinen Computer ein, dann hat er Zugriff auf das im Handy gespeicherte Telefonbuch, kann die jüngsten Anrufe nachverfolgen und Kurzmitteilungen mitlesen.

          Belauschen geht auch. Über ein versendetes Bild hat der Profi-Hacker einen Virus auf einen Blackberry gepflanzt. Als er damit während der Veranstaltung eine Mitarbeiterin der Sparkasse zusammen mit einem Zuhörer auf den Flur schickt, kann er ihr Gespräch unbemerkt über das Mikrofon des Telefons mit anhören.

          Schartner ist einer von den Guten. Er nutzt sein Wissen über Sicherheitslücken in der vernetzten Welt nicht, um sich kriminell zu bereichern, sondern hat die 8com GmbH gegründet, um Unternehmen auf Gefahren hinzuweisen. Er bietet Seminare an, in denen er Mitarbeitern die Unsicherheiten der digitalen Kommunikation aufweist, loggt sich vor Publikum in das Handy des Vorstandschefs ein und kann dessen Bewegungen auf einer Straßenkarte nachverfolgen. Ziel seiner Seminare ist, dass die Unternehmen ihre Absicherungen überprüfen und nachbessern.

          Namen und Adressen von 2500 Kunden auf einer Internetseite

          Dass selbst Hochtechnologiekonzerne nicht ausreichend geschützt sind vor den Methoden krimineller Hacker, zeigt der Diebstahl von bis zu 100 Millionen Kundendatensätzen aus den Netzen von Sony. Die Veröffentlichung der Namen und Adressen von 2500 Kunden auf einer Internetseite dürfte eine Machtdemonstration der Diebe darstellen - doch da sie auch Kreditkartendaten besitzen dürften, könnten sie wohl noch weit größeren Schaden anrichten.

          Auch die in Frankfurt sitzende Bundesfinanzagentur wurde im März Opfer eines Hacker-Angriffs. Länger als einen Monat musste die Institution, die die Kapitalmarktgeschäfte des Bundes erledigt und den Haltern von Bundeswertpapieren die Verwaltung auf Internetkonten anbietet, ihre Systeme stilllegen, um sie sicherer zu machen. Die Agentur versichert zwar, dass die Hacker nicht viel mehr hätten machen können, als Geld auf das Referenzkonto des Kunden zu überweisen. Aber die Ermittlungen darüber, ob persönliche Kundendaten von Dritten eingesehen werden konnten, sind nach wie vor noch nicht abgeschlossen.

          Das Programm klinkt sich unbemerkt ein

          Wie leicht ein Online-Konto geentert werden kann, zeigt Schartner ebenfalls live in Hofheim, anhand von zwei Computern auf der Bühne. Den Internetbrowser des einen Rechners hat der Profi mit Hilfe eines Trojaners modifiziert. Wenn der Nutzer sich in seinem Onlinekonto einwählt, eine Überweisung samt Tan-Nummer ausfüllt und dann versenden will, klinkt sich das Programm unbemerkt ein. Statt des gewünschten Betrags auf das angegebene Konto fließt nun alles, was auf dem Konto ist, an ein drittes Konto. Freilich leitet der wahre Profi das Geld nicht zu seiner eigenen Bankverbindung - das wäre nachverfolgbar. Es gibt verschiedene Methoden, die Bankverbindung von Unbeteiligten zur Geldwäsche zu nutzen.

          Schartners Vortrag soll vor allem dazu dienen, die Sparkassen-Kunden zum vorsichtigeren Umgang beim Internetbanking zu bewegen. Die Firewall des Computers immer aktivieren, ein WLan-Netz durch möglichst komplizierte Passwörter und Schlüssel absichern, das Anti-Viren-Programm sowie alle Programme wie Internetbrowser auf dem neuesten Stand halten - das sind Grundlagen, die für viele Internetnutzer noch nicht selbstverständlich sind.

          „Keine hundertprozentige Sicherheit“

          Und selbst wer sich diese Regeln zu Herzen nimmt, ist vor Angriffen richtig gewiefter Krimineller nicht gefeit. Aktuelle Virenprogramme überlistet Schartner in seinem Vortrag durch minimale Veränderungen in einem sogenannten Schadprogramm. Eine Firewall, die verhindern soll, dass fremde Nutzer auf den eigenen Rechner zugreifen, umgeht er, indem er Internetseiten modifiziert, auf die der Nutzer selbst zugreift.

          Am Ende der Veranstaltung in Hofheim sind die Zuhörer geteilter Meinung. „Ich mache kein Internetbanking und werde es jetzt erst recht nicht machen“, sagt einer. Mit Firewall und aktuellem Virenprogramm fühle er sich weitgehend sicher, meint ein anderer. Hundertprozentige Sicherheit gebe es eben nicht. Die Taunus-Sparkasse nutzt die Veranstaltung auch, um die neuen Chiptan-Generatoren zu verkaufen, mit Hilfe derer das Internetbanking sicherer werden soll (siehe Kasten).

          Ende der Tan-Liste

          Zum 31. Oktober schafft die Taunus-Sparkasse die Tan-Listen für das Internetbanking ab. Kunden, die Bankgeschäfte wie Überweisungen weiterhin online erledigen wollen, müssen sich bis dahin einen Chiptan-Generator zugelegt haben oder sich für das SMS-Tan-Verfahren registrieren. Die Listen mit fünfstelligen Zahlencodes, die Nutzer für eine Online-Überweisung anstelle ihrer Unterschrift eingeben, haben dann ausgedient. Der Generator ist etwa so groß wie ein Taschenrechner.

          Um ihn zu aktivieren, muss der Kunde seine EC-Karte hineinstecken. In seinem Internetkonto füllt er wie gehabt einen Überweisungsträger aus. Über Lichtsignale auf dem Computerbildschirm sendet die Online-Bank nun die Überweisungsdaten auf den Generator. Hier erscheinen alle Daten noch einmal, und der Kunde muss sie bestätigen. Dann generiert das kleine Gerät eine Tan, die nur für diese Transaktion gültig ist und die der Kunde daraufhin in den Computer eingibt. Vor allem durch die Rückbestätigung der Überweisungsdaten auf dem Generator soll dieses Verfahren das Umleiten des Geldes auf ein fremdes Konto verhindern.

          Andere Kreditinstitute, etwa die Postbank, haben das Tan-Verfahren bereits umgestellt. Bei der TaunusSparkasse haben sich nach deren Angaben schon die Hälfte der 47 000 Online-Kunden einen Tan-Generator für 14,50 Euro besorgt. Bei den Verfahren Mobile-Tan oder SMS-Tan bekommt der Kunde die Tan-Nummern zu einer Online-Überweisung auf sein Handy geschickt. (kann.)

          Weitere Themen

          Probe per Zoom

          Schauspieler im Corona-Modus : Probe per Zoom

          Kurzfilme statt Open-Air-Festivals: Eppsteiner Burgschauspieler erhalten für ihren Einfallsreichtum den ersten Theater-Kreativ-Digital-Preis. Und nicht nur das Land fördert sie.

          Topmeldungen

          Wie geht es weiter? Vor einer Apotheke in Ilmenau in Thüringen.

          Lockdown-Konferenz : Eine fast unlösbare Aufgabe

          Die Sehnsucht nach dem alles entscheidenden Lockdown ist groß. Sie ist ungefähr so groß wie das Verlangen nach wiedergewonnener Freiheit. Beides wird es so schnell nicht geben.
          Im Pariser Nobelviertel Saint-Germain-des-Prés lebt die „Familia grande“, jene Freunde und Verwandte der Familie Kouchner, die die Taten Duhamels jahrelang deckten.

          Sexueller Missbrauch : Eine Frau rüttelt Frankreich auf

          In Frankreich legt Camille Kouchner in einem Buch offen, wie der hochdekorierte Jurist Olivier Duhamel ihren Bruder jahrelang sexuell missbrauchte – und die gesamte altlinke Pariser Führungselite bereitwillig wegsah.

          Was kann die neue App? : Welcome to the Club(house)

          Nein, hier dröhnt keine Club-Musik: „Clubhouse“ heißt die App, um die sich in den vergangenen Tagen in Deutschland ein Hype gebildet hat. Was kann die App? Wo verbergen sich Gefahren? Und: Muss man wirklich dabei sein?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.