Vor ihm ist keine Webseite sicher

WEINFELDEN ⋅ Gunnar Porada war früher Hacker. In seinem Vortrag bei der Erfa-Gruppe hat er aufgezeigt, wie ein Angriff auf eine Bank ablaufen kann.
16. September 2017, 05:20
Isabella Gómez

«Ich möchte Ihnen heute Geld schenken.» Mit diesen Worten beginnt Gunnar Porada seinen Live-Hack im «Trauben»-Saal. Der deutsche ist Geschäftsführer der Innosec GmbH, die IT-Sicherheitsberatungen durchführt. Er war am Dienstagabend zu Gast bei der Veranstaltung der Erfa-Gruppe unter dem Titel «Wurden Sie schon gehackt oder wissen Sie es nicht?».

Der 43-Jährige sucht sich zu Beginn seiner Präsentation ein Opfer aus, dessen Konto er im Laufe des Abends hacken wird. Er entscheidet sich für die deutsche Partei CDU und findet im Internet deren Kontonummer. Diese gibt er bei den Login- Daten des Online-Bankings der Deutschen Bank ein. Als PIN ­benutzt er eine zufällige Zahlenkombination. Das System meldet, sie sei falsch. Nun schreibt Porada zusätzlich zur PIN noch «OR 1=1» in die Anmeldezeile, auf Deutsch: «oder 1=1». Und schon gelingt es dem Ex-Hacker, sich ins Konto der CDU bei der Deutschen Bank einzuloggen.

Er entscheidet sich dafür, 2,4 Millionen Euro an den Deutschen Kinderschutzbund zu überweisen. Beim Verwendungszweck schreibt er: «Danke für die geklauten Steuer-CDs», damit die Bank nicht bei der CDU nachfragt. «Die Bank wird damit nichts zu tun haben wollen», sagt er lachend. Nach weiteren Schritten gelingt es ihm, die Überweisung auszuführen. «Und, ist jemandem etwas aufgefallen?», fragt Gunnar Porada ins Publikum. Er klickt auf das Schlosssymbol oben rechts. Dort steht, dass die Webseite über ein Sicherheitszertifikat verfügt, das die Verschlüsselung vertraulicher Daten ermöglicht. Er erklärt, dass solche Zertifikate zur Täuschung auch günstig im Internet bestellt werden können. «Das Problem ist, dass die meisten Nutzer diesen Zertifikaten blindlings vertrauen.»

Zum Schluss sagt er, dass er nicht auf der echten Seite der Deutschen Bank gewesen sei, sondern auf einer, die er selbst ­erstellt hat. «Ich habe nicht die Deutsche Bank angegriffen, doch der Angriff war durchaus real», sagt er. Real waren auch die ­Reaktionen der Erfa-Gäste. Viele reagierten verblüfft, dass Hacken mit dem nötigen Wissen so einfach sein kann.

Isabella Gómez

isabella.gomez@thurgauerzeitung.ch


Leserkommentare

Anzeige: