Hochschule Ravensburg-Weingarten | Zurück zur Startseite

Erweitert »




Öffentlichkeitsarbeit
und Wissenschaftskommunikation

News

Summer School zur IT-Sicherheit in Tallinn

Realer Hackerangriff im Dienst der Sicherheit



Auch in Tallinn war Sommer, manche Diskussion wurde ins Freie verlagert. Hacker zerfallen eben doch nicht bei Sonnenschein.
Quelle: privat

Cyber-Kriminalität kennt keine Grenzen, zumindest keine nationalen oder gar kontinentalen. Da liegt es auf der Hand, dass auch für Fragen der IT-Sicherheit in internationalen Kontexten gedacht werden muss. In diesem Sinne widmet sich die Hochschule Ravensburg-Weingarten diesem Thema unter anderem in Form einer australisch-estnisch-deutschen Kooperation. Von der Summer School in Tallinn kehrten die Teilnehmer aus Weingarten nun mit einer Überraschung zurück: Statt nur in der Theorie zu lernen, durften sie ein großes estnisches Unternehmen hacken.

Social Engineering und Capture the Flag

Nachdem die erste Arbeitsphase im Januar dieses Jahres in Adelaide, Australien stattgefunden hatte, stand nun für den Sommer Tallinn in Estland auf dem Programm. Thema der dortigen Summer School war das „Social Engineering“. Dabei werden gezielt die Schwächen von Menschen ausgenutzt, um bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.

Als besondere Herausforderung fand in Estland ein Social-Engineering-„Capture the Flag“-Wettbewerb statt, bei dem die Teilnehmer durch Hacking und Social Engineering vorgegebene Daten ermitteln sollten. Zu den Zielen, den sogenannten „Flags“, gehörten zunächst „Aufwärmaufgaben“, wie das Ermitteln von Hobbies und weiteren Daten ihrer Mentoren. Schließlich sollten auch theoretisch Angriffswege auf ein estnisches Unternehmen ermittelt werden. Dazu lernten die Teilnehmer, wie man verschiedene Internetquellen nutzen kann, um zum Beispiel für Phishing empfängliche Opfer zu ermitteln, und worauf sie ansprechen könnten.

Hackerangriff auf ein reales Unternehmen

Doch damit nicht genug: Die Teilnehmer ahnten nicht, dass aus der Theorie schnell Praxis werden würde und hielten auch die Angriffe auf das Unternehmen wie alle anderen Flags für gestellt. Erst nachdem sie ihre vorgeschlagenen Angriffsvektoren den Organisatoren vorgestellt hatten, erfuhren sie, dass sie ihre Angriffe in der Realität umsetzen konnten. „Als es in echt daran ging, Phishing-Mails und vergleichbare Angriffe umzusetzen, ging der Puls bei den Studierenden deutlich nach oben“, berichtet Tobias Eggendorfer, Professor für IT-Sicherheit an der Hochschule Ravensburg-Weingarten.

„Über die Hälfte der Angriffe war erfolgreich“, so Eggendorfer. Das angegriffene Unternehmen erhielt im Anschluss an den Hack eine detaillierte Auswertung, in dem die Sicherheitslücken streng vertraulich dokumentiert wurden. „Für das Unternehmen und die Teilnehmer ein Gewinn: Das Unternehmen bekam Leistung, Ehrgeiz und Engagement, Kreativität und Know-How. Die Studenten – von Bachelor bis Doktoranden – reale Ziele“, fasst Eggendorfer das erfolgreiche Projekt zusammen. In „E-Estonia“, wie sich das Land mit der aktuellen EU-Präsidentschaft dank eines umfangreichen eGovernment nennt, sei eine solche Kooperation möglich gewesen.

Wie gut Social Engineering funktioniert, zeigten die Studierenden auch bei anderer Gelegenheit: Sie erwischten einen der Dozenten, wie er über sein Handy mit einer Taxi-App seine Heimfahrt ins Hotel bestellte. Ein scharfes Foto seines Handybildschirms zeigte die Zieladresse. In weniger als einer halben Stunde hatten sie zudem die Zimmernummer des Dozenten herausgefunden – „eine Information, die Hotels eigentlich nicht herausgeben dürfen“, so Eggendorfer. Als „White-Hat-Hacker“ hätten die Angreifer jedoch fairer Weise an der Hotelbar keine Getränke auf seine Rechnung geordert.

Text: Prof. Dr. Tobias Eggendorfer / Christoph Oldenkotte
veröffentlicht von: Öffentlichkeitsarbeit