Viele Internetnutzer machen sich zu wenig Gedanken um die Sicherheit ihrer Passwörter. Für Hacker werden sie und ihre Daten damit zur leichten Beute. Wie schnell Kriminelle Passwörter knacken können, beweisen zwei Hacker bei einer Livedemo.

Stuttgart - Nichts ist so eindrücklich wie die eigene Erfahrung. Wo Appelle der Experten für eine sichere Passwortwahl fruchtlos bleiben, hilft vielleicht die Livedemo, wie einfach ein Hacker an die eigenen Daten herankommen kann. Willkommen in der Welt des Live-Hacking.

 

Sebastian Schreiber hat eine Datei mit satten 200 Megabyte an Passworten mitgebracht. Ein Hacker hat die Passworte ins Netz gestellt. „Ich vermute, die kommen von einer Social-Media-Plattform“, sagt Schreiber. Für seine Livedemo hat sich der Informatiker kurzerhand bedient. Allerdings liegen die Passworte in der Datei nicht in Klarform vor.

Lesen Sie auch

Sie sind alle mit einem sogenannten Hash-Algorithmus verschlüsselt. Solche Algorithmen erzeugen aus dem Passwort einen Hashwert, der für die Passwortabfrage in einem Betriebssystem oder auf einem Web-Server hinterlegt ist. Damit braucht ein Diensteanbieter nicht die Klarformen der Passworte speichern. Aus dem Hashwert kann in der Regel nicht auf das Passwort zurückgeschlossen werden.

Werkzeugkiste für jeden Einsatz

Fachleute geben als analoges Beispiel gern die Quersumme von Zahlen an. Die Quersumme von 234 ist 9. Aus 9 kann aber nicht auf 234 geschlossen werden. Die Berechnung der Quersumme wie des Hashwerts ist gewissermaßen also eine Einbahnstraße.

Doch Schreiber wäre kein guter Informatiker, hätte er nicht eine ganze Werkzeugkiste für jeden Einsatz parat. Im Fall der nach dem Algorithmus MD5 erzeugten Hashwerte ist das die Brechstange, im Fachjargon „brute force“ genannt. Mit dem Laptop probiert Schreiber einfach alle möglichen Passworte aus, jagt diese durch den MD5-Algorithmus und gleicht die generierten Hashwerte mit der 200-MB-Passwortdatei ab. Das geht sehr schnell: „In eine Millisekunde sind alle Worte aus einem Standardlexikon durchprobiert“, erläutert Schreiber seinem Publikum. Dann geht es weiter mit Wortmodifikationen, etwa der Pluralform oder diversen Kombinationen. Und langsam, aber sicher mehren sich die gefundenen Passworte.

Mit diesen Live-Hacking genannten Präsentationen vor einer großen Zuhörerschaft will Schreiber das Bewusstsein für Risiken und Sicherheitslücken in der EDV schärfen. Ein gutes Dutzend an verschiedenen Hacks hat er meist dabei. Das Publikum staunt, und vielleicht ändern die Menschen dann auch ihr Verhalten. „Das Wichtigste ist, dass man sich über Sicherheit überhaupt Gedanken macht und sich darum kümmert“, sagt Schreiber. Mit seinem Live-Hacking wendet sich Schreiber überwiegend an Führungskräfte in Wirtschaft und Organisationen. Er tritt auch auf Messen und anderen Veranstaltungen auf. Dabei sensibilisiert er das Publikum nicht nur für das Thema, sondern auch für sein Unternehmen in Tübingen, das auf Sicherheitsberatung spezialisiert ist. Ein boomendes Thema und ein boomendes Geschäft. „Wir sind in aller Welt unterwegs“, erklärt Schreiber. Selbst da, wo man es nicht vermutet hätte. Erst jüngst machte er Live-Hacking in Moskau.

IT-Comedian

Einer anderen Spielart des Live-Hackings folgt Tobias Schrödel. Der gelernte Informatiker ist der wohl bislang einzige IT-Comedian in Deutschland. Wie Schreiber hat auch Schrödel eine Botschaft: Er will bei seinem Publikum das Bewusstsein für die IT-Sicherheit schärfen. Sein Weg dorthin ist allerdings der eines Komikers: Zunächst tritt Schrödel seriös in Anzug und Krawatte an, reißt sich dann die vornehmen Klamotten vom Leib und redet extrem locker mit der Kluft eines Hackers weiter – im T-Shirt und mit Basecap.

Bei Schrödel geht’s um Lachen und Begreifen. Mit sicherem Gespür greift er typische Szenen von zu Hause oder aus dem Büroalltag auf und zeigt nebenbei, wie geschützte Word-Dateien oder Excel-Sheets auszuhebeln sind. Mit einer Passwordattacke knackt er eine verschlüsselte Zip-Datei. Wie beim Tacho im Auto zeigt bei ihm ein Zähler, wie viele Passworte der Laptop pro Sekunde ausprobiert. Es sind zig Millionen. Das erklärt, weshalb Passworte mit mindestens zehn Zeichen, Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen sinnvoll sind. Damit man diese dann nicht auf einem Zettelchen unter der Tastatur aufbewahrt, erfährt der Zuhörer auch, mit welchen Eselsbrücken man sich so ein Kennwort am besten merken kann.

Aber absolute Sicherheit ist dennoch ein Mythos. Wer beim Live-Hacking zuschaut, gewinnt leicht den Eindruck: eigentlich ist hier gar nichts richtig sicher. „Absolute Sicherheit kann es auch gar nicht geben“, sagt Schreiber, „das ist wie im richtigen Leben.“

Gute Sicherheitskonzepte ausgehebelt

Oft ist es der Nutzer, der einfache Wege geht, oder der Hersteller, der es dem Nutzer einfach machen will – gute Sicherheitskonzepte werden auf diese Weise ausgehebelt. Wenn der Hersteller von Überwachungskameras beispielsweise die Funkübertragung der Bilder nicht verschlüsselt, lassen sich die gesendeten Bilder mit einem einfachen Babyphone abfangen.

Mitunter muten die Vorstellungen von Schreiber oder Schrödel an wie Zauberei. Nur dass alles real ist, kein Schwindel, wie beide vehement versichern. So zeigt Schreiber, wie er durch Manipulation der URL-Zeile im Webbrowser das Warenkorbsystem eines Online-Shops dazu bringen könnte, günstiger einzukaufen.

Oder er knackt den 4-stelligen PIN-Code eines iPads, indem er das Gerät mit einem eigenen Betriebssystem bootet und dann mit der Brechstange alle Kombinationen austestet. In diesem Fall braucht er höchstens 9999 Versuche.