Studenten hacken Unternehmen
Weingartener Hochschüler durften in Tallinn unter realen Bedingungen arbeiten
WEINGARTEN/TALLINN - CyberKriminalität kennt keine Grenzen, zumindest keine nationalen oder gar kontinentalen. Da liegt es auf der Hand, dass auch für Fragen der ITSicherheit in internationalen Kontexten gedacht werden muss. In diesem Sinne widmet sich die Hochschule Ravensburg-Weingarten diesem Thema unter anderem in Form einer australisch-estnischdeutschen Kooperation. Von der Summer School in Tallinn kehrten die Teilnehmer aus Weingarten nun mit einer Überraschung zurück: Statt nur in der Theorie zu lernen, durften sie ein großes estnisches Unternehmen hacken.
„Über die Hälfte der Angriffe war erfolgreich.“Tobias Eggendorfer, Professor für IT-Sicherheit an der Weingartener Hochschule
Erste Arbeitsphase in Australien
Nachdem die erste Arbeitsphase im Januar dieses Jahres in Adelaide, Australien stattgefunden hatte, stand nun für den Sommer Tallinn in Estland auf dem Programm. Thema der dortigen Summer School war das „Social Engineering“. Dabei werden gezielt die Schwächen von Menschen ausgenutzt, um bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.
Als besondere Herausforderung fand in Estland ein Social-Engineering-„Capture the Flag“-Wettbewerb statt, bei dem die Teilnehmer durch Hacking und Social Engineering vorgegebene Daten ermitteln sollten. Zu den Zielen, den sogenannten „Flags“, gehörten zunächst „Aufwärmaufgaben“, wie das Ermitteln von Hobbies und weiteren Daten der jeweiligen Mentoren. Schließlich sollten auch theoretisch Angriffswege auf ein estnisches Unternehmen ermittelt werden. Dazu lernten die Teilnehmer, wie man verschiedene Internetquellen nutzen kann, um zum Beispiel für Phishing empfängliche Opfer zu ermitteln, und worauf sie ansprechen könnten.
Doch damit nicht genug: Die Teilnehmer ahnten nicht, dass aus der Theorie schnell Praxis werden würde und hielten auch die Angriffe auf das Unternehmen wie alle anderen Flags für gestellt. Erst nachdem sie ihre vorgeschlagenen Angriffsvektoren den Organisatoren vorgestellt hatten, Öffentlichkeitsarbeit und Wissenschaftskommunikation erfuhren sie, dass sie ihre Angriffe in der Realität umsetzen konnten. „Als es in echt daran ging, Phishing-Mails und vergleichbare Angriffe umzusetzen, ging der Puls bei den Studierenden deutlich nach oben“, berichtet Tobias Eggendorfer, Professor für IT-Sicherheit an der Weingartener Hochschule.
„Über die Hälfte der Angriffe war erfolgreich“, so Eggendorfer. Das angegriffene Unternehmen erhielt im Anschluss an den Hack eine detaillierte Auswertung, in dem die Sicherheitslücken streng vertraulich dokumentiert wurden. „Für das Unternehmen und die Teilnehmer ein Gewinn: Das Unternehmen bekam Leistung, Ehrgeiz und Engagement, Kreativität und Know-How. Die Studenten – von Bachelor bis Doktoranden – reale Ziele“, fasst Eggendorfer das erfolgreiche Projekt zusammen. In „E-Estonia“, wie sich das Land mit der aktuellen EU-Präsidentschaft dank eines umfangreichen eGovernment nennt, sei eine solche Kooperation möglich gewesen.
Dozent erwischt
Wie gut Social Engineering funktioniert, zeigten die Studenten auch bei anderer Gelegenheit: Sie erwischten einen der Dozenten, wie er über sein Handy mit einer Taxi-App seine Heimfahrt ins Hotel bestellte. Ein scharfes Foto seines Handybildschirms zeigte die Zieladresse. In weniger als einer halben Stunde hatten sie zudem die Zimmernummer des Dozenten herausgefunden – „eine Information, die Hotels eigentlich nicht herausgeben dürfen“, so Eggendorfer. Als „White-Hat-Hacker“hätten die Angreifer jedoch fairer Weise an der Hotelbar keine Getränke auf seine Rechnung geordert.