Aktivisten wollen mit «Hacks» digitalen Alltag sicherer machen

Cyberkriminelle nutzen nach Einschätzung des Chaos Computer Clubs (CCC) immer raffiniertere Möglichkeiten für Angriffe auf den Geldbeutel von Internet-Nutzern.

Aktivisten wollen mit «Hacks» digitalen Alltag sicherer machen
Axel Heimken Aktivisten wollen mit «Hacks» digitalen Alltag sicherer machen

«Sie werden zunehmend kreativer und benutzen eine größere techniche Expertise», sagte CCC-Sprecher Frank Rieger der Deutschen Presse-Agentur auf dem Hacker-Kongress in Hamburg. «Wenn sich Geld damit holen lässt, werden sich immer Leute finden, die diese Kenntnisse haben.»

Der CCC kritisiert allerdings, dass technische Systeme oft Mängel aufweisen, die Kriminellen die Arbeit erleichtern. Zwei Berliner IT-Experten demonstrierten am Sonntagabend massive Sicherheitslücken beim Bezahlen mit EC-Karten und Prepaid-Karten:

Vor mehreren tausend Teilnehmern zeigten Karsten Nohl und Fabian Bräunlein von der Firma Security Research Labs (SRLabs), wie die PIN-Ziffernfolge nach Eingabe durch Kunden ausgelesen werden kann. Außerdem überwiesen sie live auf der Bühne des Hamburger Kongresszentrums 15 Euro auf die Prepaid-Karte eines Mobilfunkanbieters und leiteten einen Zahlungsbetrag auf ein anderes Konto um.

Ein Sprecher der Deutsche Kreditwirtschaft (DK) sagte, ihr Girocard-System sei von diesen Angriffsszenarien nicht betroffen. Der Vorgang betreffe den Hersteller des Terminalsystems. Fragen im Zusammenhang mit dessen Dienstleistung seien Gegenstand von weiteren Überlegungen in den nächsten Tagen. 

Es gebe zwei technische Protokolle für die Übertragung der Daten zwischen einem Kartenterminal, dem Kassensystem des Einzelhändlers und dem Finanzdienstleister, erklärte Nohl. Beide Protokolle mit den Bezeichnungen ZVT und Poseidon seien unsicher und könnten von Angreifern sehr leicht ausgenutzt werden. Er rief Einzelhandel und Kreditwirtschaft dazu auf, schnell Konsequenzen aus dem Missstand zu ergreifen. Verbraucher sollten bei Kartenmissbrauch gegen ihre Bank vorgehen, riet Nohl. Erste Ergebnisse der Untersuchung hatte SRLabs bereits kurz vor Weihnachten öffentlich gemacht.    

Für die Finanzbranche sei die Behebung der Sicherheitslücken angesichts der großen Zahl installierter Terminalsysteme nicht zuletzt eine Frage der Kostenabwägung, sagte CCC-Sprecher Rieger. «Um diese Logik in Bewegung zu bringen, ist es gut, wenn Öffentlichkeit hergestellt wird.» Am Montag stellten IT-Experten auf dem Kongress auch die Sicherheit von Online-Banking mit der Übertragung von Transaktionsnummern (TAN) auf das Handy infrage.

Der Blogger Markus Beckedahl (n
) erinnerte in einem launigen Beitrag an die Landesverrats-Affäre, die sich im Sommerloch zu einer Staatsaffäre entwickelte und in dessen Folge Generalbundesanwalt Harald Range in den einstweiligen Ruhestand versetzt worden war. «Wir haben ganz viel Glück gehabt, dass sie gegen uns wegen Landesverrats vorgegangen sind», sagte Beckedahl. 

Der Journalist und sein Kollege Andre Meister waren als eindeutige Gewinner aus der Affäre hervorgegangen. Ihr Blog hatte durch das später eingestellte Ermittlungsverfahren enorme Bekanntheit erreicht. In der Netzgemeinde erlangten die beiden fast schon Heldenstatus.

Ein großes Glück sei gewesen, dass die Affäre mitten ins Sommerloch gefallen sei. «Zwei Wochen vorher war Griechenland, zwei Wochen später die Flüchtlingskrise.» Die ganze Presse habe größtenteils «bei und hinter uns gestanden». Es habe viele Verweise auf die Spendenseite gegeben. «Unsere IBAN-Nummer wurde Trending Topic.»

Internet-Aktivisten wandten sich am Montag auch gegen die Zensur von Web-Angeboten durch einzelne Staaten. Weltweit sei eine Zunahme von Netzsperren festzustellen, erklärte am Montag der Netzwerk-Experte Will Scott von der University of Washington in Seattle. Die Motive reichten vom Jugendschutz über die Durchsetzung von Glücksspielverboten bis zu politischen Gründen. Auch in westlichen Staaten gebe es einen wachsenden Trend zur Einrichtung von Filtersystemen und dem Blockieren bestimmter Internet-Adressen, sagte Scott. Dabei könne es zu «Kollateralschäden» kommen, wenn auch andere Webangebote ausgefiltert werden. 

Die Netzaktivisten entwickeln zurzeit unterschiedliche Projekte wie Ooni (Open Observatory of Network Interference), um das Ausmaß und die Entwicklung von Netzsperren zu erfassen. Mit Techniken wie Tor wird der Aufruf bestimmter Webseiten über mehrere andere Server geleitet, so dass ein anonymes Surfen möglich wird.