LUZERN: So einfach schnappen sich Hacker Daten

Zwei Studenten verschafften sich Zugang zu Steuererklärungen und Dutzenden Kameras. Damit zeigen sie, wie fahrlässig wir mit unseren Daten umgehen.

Drucken
Teilen
(Symbolbild) (Bild: Stefan Kaiser / Neue ZZ)

(Symbolbild) (Bild: Stefan Kaiser / Neue ZZ)

Christian Hodel

Wer Daten besitzt, besitzt Macht. Die Informatikstudenten Yanik Wechsler (28) und Christian von Gunten (25) besitzen viele Daten. Im Rahmen eines Moduls an der Hochschule Luzern haben die zwei Studenten das World Wide Web nach Geräten abgesucht, die Personen mit dem Internet verbunden haben: Überwachungskameras, Heimnetzwerke, Festplatten. Dabei haben sie unter anderem Einstellungen bei einer Tankstelle unter ihre Kontrolle gebracht, Einblicke in Wohnzimmer erhalten und sich über einen Zentralschweizer Zugang zu Dutzenden von Steuererklärungen verschafft.

Völlig legal und ziemlich einfach

Möglich macht es die Website «www.shodan.io». Diese funktioniert wie eine gewöhnliche Suchmaschine – etwa «www.google.ch». Jedoch lässt sich damit nach Geräten suchen, die mit dem Internet verbunden sind – legal und auch für Laien einfach anzuwenden. Was die Informatikstudenten bei ihren Recherchen entdeckt haben, hat selbst sie überrascht: «In kürzester Zeit fanden wir eine Vielzahl verschiedenster Geräte ohne jeglichen Passwortschutz», sagt von Gunten. Vor allem bei sogenannten Network Attached Storage (NAS) sei dies oft verheerend. Diese Geräte sind – einfach ausgedrückt – mit dem Internet verbundene Festplatten. Erhältlich sind sie ab knapp hundert Franken in jedem Elektronikshop. Der Vorteil der im Trend liegenden Speichergeräte: Der Benutzer richtet sich ein Heimnetzwerk ein, und alle Familienmitglieder können von zu Hause oder unterwegs auf die gespeicherten Daten zugreifen (siehe Kasten). Der Nachteil: Fehlen die Sicherheitsvorkehrungen, können das Unberechtigte genauso tun.

Bankdaten von Zuger gefunden

Ein Morgen an der Hochschule Luzern: Yanik Wechsler klappt seinen Laptop auf und tippt die Adresse der Suchmaschine «shodan» in den Browser. Er sucht nach einem handelsüblichen und verbreiteten NAS. Eine Schweizer Karte und Hunderte von farbigen Punkten erscheinen auf seinem Bildschirm. Das gesuchte Gerät gibt es laut der Suchmaschine unter anderem in Horw. Wechsler klickt auf den Punkt. Das Netzwerk ist ungesichert. Dutzende ausgefüllte Steuererklärungen sind nun auf dem Laptop des Studenten. «Anscheinend ist der Besitzer Steuerberater», sagt Wechsler und klickt auf einen anderen Punkt der virtuellen Karte. Bankdaten eines Mannes aus Zug erscheinen, die AHV-Nummer und das Foto seines Schweizer Passes. Innerhalb von nicht mal einer Viertelstunde haben die Studenten mittels der Suchmaschine Zugriff auf mindestens 300 Datensysteme alleine in der Deutschschweiz erhalten – alle ungeschützt. Dabei wäre es ein Leichtes, so Wechsler, die Daten zu schützen. «Würden die Benutzer ein sicheres Passwort einrichten, wäre es uns praktisch unmöglich, da ranzukommen.»

Nur wenige Sekunden und Klicks hat es gedauert, um einem Mann aus der Region beim Schlafen zuzusehen. «Er hat im Wohnzimmer eine Überwachungskamera installiert, die auf Bewegun- gen reagiert», sagt von Gunten. «Anhand der aufgezeichneten Bilder konnten wir erkennen, dass er wohl eines Abends vor dem Fernseher eingeschlafen sein muss.»

Fahrlässig gehen aber nicht nur Privatpersonen mit ihren Daten um. Bei ihrer Arbeit für die Hochschule Luzern hätten sie «mit einfachen Mitteln», wie sie sagen, Tankstellen unter ihre Kontrolle bringen können. Es handelt sich dabei um eine in der Informatikszene bekannte Sicherheitslücke, die Hunderte Tankstellen in den USA betrifft. «Wenn wir gewollt hätten, so hätten wir einen falschen Alarm auslösen können», sagt von Gunten. Ein Klick – und bei einem Tankwart in den USA wäre auf dem Bildschirm eine Meldung aufgeblitzt, dass die Säulen kein Benzin mehr haben. Hätten die Studenten böse Absichten gehegt, hätte der Tankwart literweise Benzin bestellt – ohne dass er dieses gebraucht hätte.

Auch die Hersteller sind gefordert

Doch warum geben wir unsere Daten so leichtfertig preis? «Vielfach wird beim Einrichten von Festplatten oder anderen Geräten nicht nach einem Passwort gefragt», sagt von Gunten. Viele, vor allem private Heimanwender, seien sich gar nicht bewusst, dass ein solches notwendig wäre. «Theoretisch müsste jeder Hersteller bei jedem Gerät bereits ein Passwort in der Verpackung mitliefern.» Oft werde dies aber nicht gemacht – zu Gunsten der Benutzerfreundlichkeit. «Wir wollen heutzutage ein Gerät kaufen, dieses am Strom anschliessen, und dann soll es funktionieren», sagt von Gunten. Dieses Bedürfnis «nach Benutzerfreundlichkeit geht aber auf Kosten der Sicherheit». Von Gunten warnt darum: «Bei allem, was irgendwie am Internet angeschlossen ist und kein Passwort erfordert, ist Vorsicht geboten.» Im Zweifelsfall solle man sich bei einem Fachhändler oder IT-Experten erkundigen.