https://www.faz.net/-gqe-9r552

Crash-Kurs mit PwC : Wie hackt man eine Bank?

  • -Aktualisiert am

Die Entwickler des Hacker-Escape-Room (von links nach rechts) Mahmud Hanif, Thomas Klir, Philipp Fath und Omar Amarkhel Bild: FAZ.NET/ Kim Maurus

Dass Online-Banking seine Tücken hat, ist bekannt. Wie schnell man über Sicherheitslücken an viel Geld kommt, können Hacker-Lehrlinge auf der Me Convention in einer täuschend echten Simulation ausprobieren.

          2 Min.

          Von den drei besuchten „Interactive Session“ auf der Me Convention verspricht diese den größten Nervenkitzel. „Hack a bank at the cyber escape room“  heißt der Workshop. Oder: Bankaccount hacken für Anfänger. Zu Beginn die große Erleichterung: Die Macher, vier Sicherheitsberater der Unternehmensberatung PricewaterhouseCoopers (PwC), stehen nicht einfach nur vor den rund zwei Dutzend Anwesenden und beantworten Fragen. Die Teilnehmer müssen in Zweierteams ran an die Laptops und versuchen, dem „unschuldigen Bankchef“ 74 Millionen Euro abzuzwacken – mit Hilfe von Google, Wikipedia und dem ein oder anderen Tipp der Spielleiter. 60 Minuten Zeit haben sie, in Hackermanier läuft am Wandmonitor ein roter Countdown ab.

          Das Rollenspiel, das für den Laien täuschend echt aussieht, soll den Teilnehmern Cyber-Sicherheit spielerisch beibringen. Dafür seien, so zumindest versprechen die Veranstalter, keine Vorkenntnisse nötig. „Wir wollten ein Spiel wie Grand Theft Auto (GTA) entwickeln, nur mit Cybersecurity“, sagt Thomas Klir von PwC. Das Programm werde intern für Kunden und auf Veranstaltungen genutzt. Im Mai vergangenen Jahres sei die Entwicklung gestartet, sechs Monate später war der erster Prototyp fertig. „30 Prozent aller Cyberangriffe basieren auf menschlichen Fehlern“, sagt der Sicherheitsexperte.

          Wie schnell diese Fehler zu großen Sicherheitslücken führen, lernen die Hacker-Lehrlinge schnell. Die fiktive „Mazebank“ – GTA lässt grüßen – hat vergessen, ihr Webverzeichnis ausreichend zu schützen. Schnell das Wörtchen „static/“ an die URL hängen, schon wird Zugang zu den geschützten Bereichen einer Webseite gewährt. Webseitenbilder, Accountinformationen und Passwortlisten – alles da. Unterstützt und mit Hinweisen versorgt werden die Anwesenden per Mail von einem vermeintlichen Hackerprofi und ehemaligen Mitarbeiter der Bank. Der gibt vor,  sich an seinem Chef rächen zu wollen. Sieben Aufgaben hat er vorbereitet, eine ist schon mal geschafft. 

          Als Nächstes muss sich ins Intranet der Bank eingehackt werden. Doch die besagte Passwortliste ist verschlüsselt. Mit dem Online-Hacking-Tool „Brute Force Attack“ schnell zwei Dateien hochgeladen, schon spuckt es das Passwort für die Passwortliste aus und der Hacker ist im Intranet. Über ein paar spezielle Einträge im Gästebuch und den Austausch von Session-Cookies-IDs, also Informationen, die Onlineaktivitäten einem Nutzer zuordnen, wird sich in den Online-Account des zu bestehlenden Opfers eingeloggt.

          Nun müssen noch ein paar Transaktionsdaten ausgetauscht werden und weitere Passwörter entschlüsselt werden, schon hat der Hacker die Erlaubnis, eine Überweisung im Namen seines Opfers auf das eigene Konto durchzuführen. „Der Rekord liegt bei 45 Minuten“, sagt Klir von PwC. Im „wahren“ Hacker-Leben würde man das Geld vermutlich nicht auf den eigenen Account der gleichen Bank transferieren. Das sei zu einfach nachzuvollziehen. Als verwerflich sieht Klir die Spielerei nicht an. „Wenn man die böse Seite kennt, versteht man die gute Seite besser“.

          Weitere Themen

          Mainzer Goldgrube im Kampf gegen die Pandemie Video-Seite öffnen

          Globaler Hoffnungsträger : Mainzer Goldgrube im Kampf gegen die Pandemie

          Voriges Jahr war die Mainzer Biotechnologiefirma Biontech noch weithin unbekannt, nun hat sie sich zum globalen Hoffnungsträger im Kampf gegen die Corona-Pandemie gemausert. Zusammen mit dem amerikanischen Pharmariesen Pfizer entwickelte Biontech einen nach eigenen Angaben zu mehr als 90 Prozent wirksamen Impfstoff gegen das Virus.

          Topmeldungen

          Langer Winter: Zwei Polizisten am Mittwoch auf dem Roten Platz in Moskau

          Repressionen in Russland : In der Krise wächst die Paranoia

          Corona, eine schwache Wirtschaft und Proteste: Wladimir Putins Machtapparat sieht sich in Russland vielen Krisen ausgesetzt. Und erhöht deswegen den Druck auf Opposition und Zivilgesellschaft.
          Maye Musk ist die Mutter des Unternehmers Elon Musk. Am Donnerstag erscheint ihre Autobiographie „Eine Frau, ein Plan“.

          Maye Musk : „In unserer Familie nimmt niemand frei“

          Wer Elon Musk verstehen möchte, muss seine Mutter Maye kennen lernen. Im Interview spricht sie über Abenteuertouren in der Wüste, ihre Modelkarriere mit 70 und wie sie einst aus Armut auf Dates verzichtete.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.