Stu­den­ten ha­cken Un­ter­neh­men

Wein­gar­te­ner Hoch­schü­ler durf­ten in Tal­linn un­ter rea­len Be­din­gun­gen ar­bei­ten

Schwaebische Zeitung (Wangen) - - REGIONALSPORT / REGION -

WEIN­GAR­TEN/TAL­LINN - Cy­berK­ri­mi­na­li­tät kennt kei­ne Gren­zen, zu­min­dest kei­ne na­tio­na­len oder gar kon­ti­nen­ta­len. Da liegt es auf der Hand, dass auch für Fra­gen der ITSi­cher­heit in in­ter­na­tio­na­len Kon­tex­ten ge­dacht wer­den muss. In die­sem Sin­ne wid­met sich die Hoch­schu­le Ra­vens­burg-Wein­gar­ten die­sem The­ma un­ter an­de­rem in Form ei­ner aus­tra­lisch-est­nisch­deut­schen Ko­ope­ra­ti­on. Von der Sum­mer School in Tal­linn kehr­ten die Teil­neh­mer aus Wein­gar­ten nun mit ei­ner Über­ra­schung zu­rück: Statt nur in der Theo­rie zu ler­nen, durf­ten sie ein gro­ßes est­ni­sches Un­ter­neh­men ha­cken.

„Über die Hälf­te der An­grif­fe war er­folg­reich.“To­bi­as Eg­gen­dor­fer, Pro­fes­sor für IT-Si­cher­heit an der Wein­gar­te­ner Hoch­schu­le

Ers­te Ar­beits­pha­se in Aus­tra­li­en

Nach­dem die ers­te Ar­beits­pha­se im Ja­nu­ar die­ses Jah­res in Ade­lai­de, Aus­tra­li­en statt­ge­fun­den hat­te, stand nun für den Som­mer Tal­linn in Est­land auf dem Pro­gramm. The­ma der dor­ti­gen Sum­mer School war das „So­ci­al En­gi­nee­ring“. Da­bei wer­den ge­zielt die Schwä­chen von Men­schen aus­ge­nutzt, um be­stimm­te Ver­hal­tens­wei­sen her­vor­zu­ru­fen, sie zum Bei­spiel zur Preis­ga­be von ver­trau­li­chen In­for­ma­tio­nen, zum Kauf ei­nes Pro­duk­tes oder zur Frei­ga­be von Fi­nanz­mit­teln zu be­we­gen.

Als be­son­de­re Her­aus­for­de­rung fand in Est­land ein So­ci­al-En­gi­nee­ring-„Cap­tu­re the Flag“-Wett­be­werb statt, bei dem die Teil­neh­mer durch Hacking und So­ci­al En­gi­nee­ring vor­ge­ge­be­ne Da­ten er­mit­teln soll­ten. Zu den Zie­len, den so­ge­nann­ten „Flags“, ge­hör­ten zu­nächst „Auf­wärm­auf­ga­ben“, wie das Er­mit­teln von Hob­bies und wei­te­ren Da­ten der je­wei­li­gen Men­to­ren. Schließ­lich soll­ten auch theo­re­tisch An­griffs­we­ge auf ein est­ni­sches Un­ter­neh­men er­mit­telt wer­den. Da­zu lern­ten die Teil­neh­mer, wie man ver­schie­de­ne In­ter­net­quel­len nut­zen kann, um zum Bei­spiel für Phis­hing emp­fäng­li­che Op­fer zu er­mit­teln, und wor­auf sie an­spre­chen könn­ten.

Doch da­mit nicht ge­nug: Die Teil­neh­mer ahn­ten nicht, dass aus der Theo­rie schnell Pra­xis wer­den wür­de und hiel­ten auch die An­grif­fe auf das Un­ter­neh­men wie al­le an­de­ren Flags für ge­stellt. Erst nach­dem sie ih­re vor­ge­schla­ge­nen An­griffs­vek­to­ren den Or­ga­ni­sa­to­ren vor­ge­stellt hat­ten, Öf­fent­lich­keits­ar­beit und Wis­sen­schafts­kom­mu­ni­ka­ti­on er­fuh­ren sie, dass sie ih­re An­grif­fe in der Rea­li­tät um­set­zen konn­ten. „Als es in echt dar­an ging, Phis­hing-Mails und ver­gleich­ba­re An­grif­fe um­zu­set­zen, ging der Puls bei den Stu­die­ren­den deut­lich nach oben“, be­rich­tet To­bi­as Eg­gen­dor­fer, Pro­fes­sor für IT-Si­cher­heit an der Wein­gar­te­ner Hoch­schu­le.

„Über die Hälf­te der An­grif­fe war er­folg­reich“, so Eg­gen­dor­fer. Das an­ge­grif­fe­ne Un­ter­neh­men er­hielt im An­schluss an den Hack ei­ne de­tail­lier­te Aus­wer­tung, in dem die Si­cher­heits­lü­cken streng ver­trau­lich do­ku­men­tiert wur­den. „Für das Un­ter­neh­men und die Teil­neh­mer ein Ge­winn: Das Un­ter­neh­men be­kam Leis­tung, Ehr­geiz und En­ga­ge­ment, Krea­ti­vi­tät und Know-How. Die Stu­den­ten – von Ba­che­lor bis Dok­to­ran­den – rea­le Zie­le“, fasst Eg­gen­dor­fer das er­folg­rei­che Pro­jekt zu­sam­men. In „E-Es­to­nia“, wie sich das Land mit der ak­tu­el­len EU-Prä­si­dent­schaft dank ei­nes um­fang­rei­chen eGo­vern­ment nennt, sei ei­ne sol­che Ko­ope­ra­ti­on mög­lich ge­we­sen.

Do­zent er­wischt

Wie gut So­ci­al En­gi­nee­ring funk­tio­niert, zeig­ten die Stu­den­ten auch bei an­de­rer Ge­le­gen­heit: Sie er­wisch­ten ei­nen der Do­zen­ten, wie er über sein Han­dy mit ei­ner Ta­xi-App sei­ne Heim­fahrt ins Ho­tel be­stell­te. Ein schar­fes Fo­to sei­nes Han­dy­bild­schirms zeig­te die Ziel­adres­se. In we­ni­ger als ei­ner hal­ben Stun­de hat­ten sie zu­dem die Zim­mer­num­mer des Do­zen­ten her­aus­ge­fun­den – „ei­ne In­for­ma­ti­on, die Ho­tels ei­gent­lich nicht her­aus­ge­ben dür­fen“, so Eg­gen­dor­fer. Als „Whi­te-Hat-Ha­cker“hät­ten die An­grei­fer je­doch fai­rer Wei­se an der Ho­tel­bar kei­ne Ge­trän­ke auf sei­ne Rech­nung ge­or­dert.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.