https://www.faz.net/-gqe-9r552

Crash-Kurs mit PwC : Wie hackt man eine Bank?

  • -Aktualisiert am

Die Entwickler des Hacker-Escape-Room (von links nach rechts) Mahmud Hanif, Thomas Klir, Philipp Fath und Omar Amarkhel Bild: FAZ.NET/ Kim Maurus

Dass Online-Banking seine Tücken hat, ist bekannt. Wie schnell man über Sicherheitslücken an viel Geld kommt, können Hacker-Lehrlinge auf der Me Convention in einer täuschend echten Simulation ausprobieren.

          2 Min.

          Von den drei besuchten „Interactive Session“ auf der Me Convention verspricht diese den größten Nervenkitzel. „Hack a bank at the cyber escape room“  heißt der Workshop. Oder: Bankaccount hacken für Anfänger. Zu Beginn die große Erleichterung: Die Macher, vier Sicherheitsberater der Unternehmensberatung PricewaterhouseCoopers (PwC), stehen nicht einfach nur vor den rund zwei Dutzend Anwesenden und beantworten Fragen. Die Teilnehmer müssen in Zweierteams ran an die Laptops und versuchen, dem „unschuldigen Bankchef“ 74 Millionen Euro abzuzwacken – mit Hilfe von Google, Wikipedia und dem ein oder anderen Tipp der Spielleiter. 60 Minuten Zeit haben sie, in Hackermanier läuft am Wandmonitor ein roter Countdown ab.

          Das Rollenspiel, das für den Laien täuschend echt aussieht, soll den Teilnehmern Cyber-Sicherheit spielerisch beibringen. Dafür seien, so zumindest versprechen die Veranstalter, keine Vorkenntnisse nötig. „Wir wollten ein Spiel wie Grand Theft Auto (GTA) entwickeln, nur mit Cybersecurity“, sagt Thomas Klir von PwC. Das Programm werde intern für Kunden und auf Veranstaltungen genutzt. Im Mai vergangenen Jahres sei die Entwicklung gestartet, sechs Monate später war der erster Prototyp fertig. „30 Prozent aller Cyberangriffe basieren auf menschlichen Fehlern“, sagt der Sicherheitsexperte.

          Wie schnell diese Fehler zu großen Sicherheitslücken führen, lernen die Hacker-Lehrlinge schnell. Die fiktive „Mazebank“ – GTA lässt grüßen – hat vergessen, ihr Webverzeichnis ausreichend zu schützen. Schnell das Wörtchen „static/“ an die URL hängen, schon wird Zugang zu den geschützten Bereichen einer Webseite gewährt. Webseitenbilder, Accountinformationen und Passwortlisten – alles da. Unterstützt und mit Hinweisen versorgt werden die Anwesenden per Mail von einem vermeintlichen Hackerprofi und ehemaligen Mitarbeiter der Bank. Der gibt vor,  sich an seinem Chef rächen zu wollen. Sieben Aufgaben hat er vorbereitet, eine ist schon mal geschafft. 

          Als Nächstes muss sich ins Intranet der Bank eingehackt werden. Doch die besagte Passwortliste ist verschlüsselt. Mit dem Online-Hacking-Tool „Brute Force Attack“ schnell zwei Dateien hochgeladen, schon spuckt es das Passwort für die Passwortliste aus und der Hacker ist im Intranet. Über ein paar spezielle Einträge im Gästebuch und den Austausch von Session-Cookies-IDs, also Informationen, die Onlineaktivitäten einem Nutzer zuordnen, wird sich in den Online-Account des zu bestehlenden Opfers eingeloggt.

          Nun müssen noch ein paar Transaktionsdaten ausgetauscht werden und weitere Passwörter entschlüsselt werden, schon hat der Hacker die Erlaubnis, eine Überweisung im Namen seines Opfers auf das eigene Konto durchzuführen. „Der Rekord liegt bei 45 Minuten“, sagt Klir von PwC. Im „wahren“ Hacker-Leben würde man das Geld vermutlich nicht auf den eigenen Account der gleichen Bank transferieren. Das sei zu einfach nachzuvollziehen. Als verwerflich sieht Klir die Spielerei nicht an. „Wenn man die böse Seite kennt, versteht man die gute Seite besser“.

          Weitere Themen

          Essen auf Rädern ist abgefahren

          Foodtrucks : Essen auf Rädern ist abgefahren

          Das hessische Familienunternehmen Roka baut Kleintransporter zu trendigen Foodtrucks um – für Gastronomen und Gründer, aber auch für bekannte Unternehmen.

          In Phuket stehen die Hotels leer Video-Seite öffnen

          Tote Hose im Paradies : In Phuket stehen die Hotels leer

          Weil immer weniger Chinesen auf Phuket Urlaub machen, stehen die Hotelzimmer auf der thailändischen Ferieninsel leer. Das wiederum macht die Region billiger für Reisende.

          Topmeldungen

          Kurdisches Fahnenmeer: Demonstranten am Samstag in Köln

          Türken-Kurden-Konflikt : Kurz vor der Explosion

          Der Krieg in Nordsyrien führt auch in Deutschland zu handfesten Auseinandersetzungen zwischen türkischen und kurdischen Migranten. Das könnte erst der Anfang sein.
          Die Eingangshalle des Kammergerichtes Berlin.

          Emotet : Wie ein Trojaner das höchste Gericht Berlins lahmlegte

          Seit drei Wochen hat das Berliner Kammergericht keinen Internetzugriff mehr. Grund ist ein Angriff mit Schadsoftware. Auf den ersten Blick scheinen die Folgen beherrschbar – doch die echte Gefahr könnte woanders lauern.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.