Crash-Kurs mit PwC

Wie hackt man eine Bank?

Von Kim Maurus
13.09.2019
, 19:11
Die Entwickler des Hacker-Escape-Room (von links nach rechts) Mahmud Hanif, Thomas Klir, Philipp Fath und Omar Amarkhel
Dass Online-Banking seine Tücken hat, ist bekannt. Wie schnell man über Sicherheitslücken an viel Geld kommt, können Hacker-Lehrlinge auf der Me Convention in einer täuschend echten Simulation ausprobieren.
ANZEIGE

Von den drei besuchten „Interactive Session“ auf der Me Convention verspricht diese den größten Nervenkitzel. „Hack a bank at the cyber escape room“ heißt der Workshop. Oder: Bankaccount hacken für Anfänger. Zu Beginn die große Erleichterung: Die Macher, vier Sicherheitsberater der Unternehmensberatung PricewaterhouseCoopers (PwC), stehen nicht einfach nur vor den rund zwei Dutzend Anwesenden und beantworten Fragen. Die Teilnehmer müssen in Zweierteams ran an die Laptops und versuchen, dem „unschuldigen Bankchef“ 74 Millionen Euro abzuzwacken – mit Hilfe von Google, Wikipedia und dem ein oder anderen Tipp der Spielleiter. 60 Minuten Zeit haben sie, in Hackermanier läuft am Wandmonitor ein roter Countdown ab.

ANZEIGE

Das Rollenspiel, das für den Laien täuschend echt aussieht, soll den Teilnehmern Cyber-Sicherheit spielerisch beibringen. Dafür seien, so zumindest versprechen die Veranstalter, keine Vorkenntnisse nötig. „Wir wollten ein Spiel wie Grand Theft Auto (GTA) entwickeln, nur mit Cybersecurity“, sagt Thomas Klir von PwC. Das Programm werde intern für Kunden und auf Veranstaltungen genutzt. Im Mai vergangenen Jahres sei die Entwicklung gestartet, sechs Monate später war der erster Prototyp fertig. „30 Prozent aller Cyberangriffe basieren auf menschlichen Fehlern“, sagt der Sicherheitsexperte.

Wie schnell diese Fehler zu großen Sicherheitslücken führen, lernen die Hacker-Lehrlinge schnell. Die fiktive „Mazebank“ – GTA lässt grüßen – hat vergessen, ihr Webverzeichnis ausreichend zu schützen. Schnell das Wörtchen „static/“ an die URL hängen, schon wird Zugang zu den geschützten Bereichen einer Webseite gewährt. Webseitenbilder, Accountinformationen und Passwortlisten – alles da. Unterstützt und mit Hinweisen versorgt werden die Anwesenden per Mail von einem vermeintlichen Hackerprofi und ehemaligen Mitarbeiter der Bank. Der gibt vor, sich an seinem Chef rächen zu wollen. Sieben Aufgaben hat er vorbereitet, eine ist schon mal geschafft.

Als Nächstes muss sich ins Intranet der Bank eingehackt werden. Doch die besagte Passwortliste ist verschlüsselt. Mit dem Online-Hacking-Tool „Brute Force Attack“ schnell zwei Dateien hochgeladen, schon spuckt es das Passwort für die Passwortliste aus und der Hacker ist im Intranet. Über ein paar spezielle Einträge im Gästebuch und den Austausch von Session-Cookies-IDs, also Informationen, die Onlineaktivitäten einem Nutzer zuordnen, wird sich in den Online-Account des zu bestehlenden Opfers eingeloggt.

Nun müssen noch ein paar Transaktionsdaten ausgetauscht werden und weitere Passwörter entschlüsselt werden, schon hat der Hacker die Erlaubnis, eine Überweisung im Namen seines Opfers auf das eigene Konto durchzuführen. „Der Rekord liegt bei 45 Minuten“, sagt Klir von PwC. Im „wahren“ Hacker-Leben würde man das Geld vermutlich nicht auf den eigenen Account der gleichen Bank transferieren. Das sei zu einfach nachzuvollziehen. Als verwerflich sieht Klir die Spielerei nicht an. „Wenn man die böse Seite kennt, versteht man die gute Seite besser“.

ANZEIGE
Quelle: FAZ.NET
Autorenporträt / Maurus, Kim
Kim Maurus
Volontärin.
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE