Kommentare

Cyber-Kriminalität: Klasse Interview

Wow, Hammer ist mit 46 Jahren schon Professor, und das wohl auch zu Recht. Alle seine Einschätzungen sind nachvollziehbar und sehr treffend, sowohl was OnlineBanking, Anonymous, das Spannungsfeld Politik/IT als auch die Wirtschaftsspionage angeht.

Hier noch zwei Hack-Anekdoten, die tagesschau.de leider nicht erreicht haben:
Nach der Kuchenattacke auf den EU-Internet-Berater KTz Guttenberg wurde dessen Internetseite gehackt und er zum 'Bundenkuchenminister' ernannt.
hxxp://www.spiegel.de/netzwelt/netzpolitik/0,1518,813479,00.html
Anonymous hat eine Telefonkonferenz zwischen FBI und Scotland Yard abgehört, in der es um Ermittlungen gegen Anonymous und LulzSec ging, und den Mitschnitt auf YouTube veröffentlicht.
hxxp://heise.de/-1428171

Wie man immer wieder feststellen muss: Im Internet ist nichts sicher und da ist es sinnvoll, dass wenigstens die Firmen und Unternehmen ihre Daten so gut es geht sichern.

Um mein Konto leer zu räumen

Um mein Konto leer zu räumen bräuche ein Hacker nicht nur meine PIN sondern auch meine Bankkarte. Es würde also nichts nutzen wenn er neben mir sitzen würde um mich bei der Eingabe der PIN zu beobachten.

Wenn ich eine Überweisung am PC durchführe sendet mein PC erst den Auftrag an meine Bank. Diese betstätigt mir den Eingang, dann muss ich meine Bankkarte in ein Lesegerät legen, die Empfängerkontonummer und eine Tan eingeben, die mir die Bank online gesendet hat. Die Nr. die das Gerät dann erzeugt passt dann ausschliesslich nur zu der Überweisung die der Bank schon vorliegt. Es würde also niemanden etwas nutzen wenn er meine Daten abfängt.

Die größte Gefahr für das Internet sind gierige ...

Schlechtmenschen. Da wir diese mittlerweile auch überall in der Wirtschaft finden und eine entsprechende Gesetzgebung durch Lobbyarbeit erfolgreich unterbunden wird ist dem Betrug Tür und Tor geöffnet. Kreditkartenbetrug und ähnliche Vergehen, Abzockerportale und zu guterletzt die Abmahngruppe der Rechtsanwälte die mangels Können eben abmahnen und anderen so Schaden zufügen der in keinem Verhältnis zum entstandenen Schaden steht. Irgendwie ist das Internet für jeden das was er daraus macht. Für einige die Quelle für Geld egal wie. Für andere soziales Netzwerk, für andere Quelle des Wissens und für widerum andere der Selbstbedienungsladen. Das einzige was wirklich gut ist ist der Informationsfluß wenn denn der Nutzer diesen erkennt und sicher nutzen könnte. Gerade hier jedoch legt die Politik den Finger drauf anstatt die schwarzen Schafe zu verhindern.

Sachverstand...

...hat der Mann ja, warum sind solche Leute nicht Berater der Politiker? Diese bekleckern sich ja nun wirklich nicht mit Ruhm, was die Versuche angeht im Internet "Ordnung" ein zu führen.

@mr_mad_man
46 Professor? ist doch nix ungewöhnliches.
An der FH Dortmund gibt es einen Professor (Carsten Wolff), der ist mit 34 oder 35 berufen worden, leistet hervorragende Arbeit und wird in Kürze Prorektor werden.

@Voetseck und mokdo

@Voetseck: Manche sehen es so wie Sie, andere sehen es anders. Kurzum: Ihre Aussage ist kein Faktum!

@mokdo: Schön, dass Sie chipTAN (bzw. das gleiche, aber anders benannte, Verfahren) nutzen. Es gibt aber noch immer genügend, die das nicht tun. Und auch chipTAN lässt sich unter gewissen Umständen aushebeln, wenn der Anwender mal wieder zuwenig Aufmerksamkeit an den Tag legt...

@mokdo: Oh du süße Naivität...

Ich will sie ja nicht enttäuschen, aber: Kein System ist sicher. Niemals. Auch das der Bank nicht.

Früher genügte es da, die PINs abzufangen. Das ist mit diesen neuen Geräten nicht mehr ganz so einfach, aber ich bin mir sicher, dass sie keine 100%tige Sicherheit bringen. Mit dem nötigen Know-How lassen sich bestimmt auch hier alle dafür notwendigen Daten abfangen.

Das ist ja eine Hammer-Koryphäe

Ich bin begeistert.
Zitat: „Staatliche Behörden versuchen … den Bürger möglichst umfassend zu kontrollieren.“

Zitat: „Da käme es wirklich drauf an, denen das Handwerk zu legen.“

Allerdings wird es im Laufe des Interviews zunehmend bedrückend, wie wenig dieser Mann eigentlich Ahnung hat.
Aber - und das ist die schlechte Nachricht, er ist nicht alleine.
Zum Beispiel das angesprochene Problem mit Online-Banking. Das man nur daneben sitzen muss um das Konto leerzuräumen, davon hat der Herr Hammer womöglich geträumt, oder aber er dachte, ja, dann schau ich mir die Eingaben an, frage ob ich sein Handy kurz haben darf ... usw.

Was mich nach wie vor fassungslos macht, ist die Unwissenheit bei denen, die mein Geld verwalten sollen. Vor nichtmal 3 Monaten habe ich ein neues Konto eröffnet, nicht etwa bei einer Minifilliale, nein im Zentrum der Macht. Online-Banking via HBCI mit separatem Terminal und eigener HBCI-Karte - Unverständnis, Hilflosigkeit, selbst der IT-Dingens: Keine Ahnung.

@mutant: die Banken brauchen keinen Sachverstand

"Online-Banking via HBCI mit separatem Terminal und eigener HBCI-Karte - Unverständnis, Hilflosigkeit, selbst der IT-Dingens: Keine Ahnung."

Solange die Gesetzeslage unverändert ist, braucht die Bank kaum Geld für die Sicherheit ihrer Kunden auszugeben.
Im Zweifelsfall, und der besteht immer dann, wenn Sie von der Bank Geld zurückfordern, haben Sie nämlich die Beweislast zu tragen.
Und dann weisen Sie mal nach, daß Sie vor zwei Monaten einen aktuellen Virenscanner auf Ihrem PC installiert hatten, und weisen Sie einmal nach, daß Ihre PIN-Nr. NICHT auf der gestohlenen EC-Card stand, etc.

Online-Banking kann eine sehr praktische Sache sein: Sie sparen Zeit und die Bank spart Personal.
Nur die Risiken sind sehr ungleich verteilt. Hier wäre in der Tat der Gesetzgeber gefordert, und dazu braucht es nicht einmal IT-Sachverstand.

@SoilentGruen

Hab noch mal nachgeschaut: Daniel Hammer ist seit September 2004 Professor, da war er also ca 39 Jahre alt. Trotzdem haben Sie Recht, ich hatte da wohl eine falsche Vorstellung, es gibt tatsächlich viele Professoren unter 40 Jahre.

Westliche Regimes

Wer noch glaubt, die Mächtigen und Gesetzemacher würden etwas vom Allgemeinwohl verstehen, oder sonst irgendeine Legitimität aufweisen, ausser Polizei und Strafe,

dem sei gesagt: Die Zukunft gehört uns.

Wie hier von einigen Seiten

Wie hier von einigen Seiten der Herr Professor direkt entmündigt wird...

Ich muss sagen so ein Interview zu lesen war mal erfrischend anders, vor allem, weil Hacker sonst immer automatisch etwas Böses sind.

Aber Aufklärung ist vor allem in der Politik zu leisten und man muss IMMER auf dem neusten Stand sein. Heute mag das chiptan verfahren sicher sein, aber morgen ist euer Konto leer, wenn ihr nicht aufpasst. Nicht nur Entwickler gehen mit der Zeit, auch Cracker. Früher war auch ein Vorhängeschloss sicher...

Es sollte Berater in der Politik geben, die immer up to date sind, sodass man auf alles sofort reagieren kann.

ACTA

Hammer: Staatliche Behörden versuchen zum Beispiel, wie man es aktuell beim ACTA-Abkommen oder vor einiger Zeit beim Bundestrojaner sieht, den Bürger möglichst umfassend zu kontrollieren.
Gestern meldete heise.de, dass nach Polen nun auch Tschechien die ACTA-Ratifizierung aussetzt.
http://heise.de/-1429405
Und in unseren Medien traut sich immer noch kein Politiker zu einem Interview. Oder die Medien trauen sich nicht Politiker zu diesem Thema um ein Interview zu bitten, wer weiß.

@ mutant

"wie wenig dieser Mann eigentlich Ahnung hat."
Bitte?
Das ist wohl der kompetenteste Beitrag seit Langem. Nicht so ein dämliches lobbynachgeplapper, was man von Politikern immer hört.

Übrigends muss der Zugang nicht zwangsläufig über die Bankkarte erfolgen.

es gäbe ja eine Sichere Banking Methode aber...

Das sogenannte HashTAN ist wesentlich Aufwendiger für die Banken. Es verwendet einen Hash und eine Einwegverschlüsselung der direkt auf die Überweisungsdaten aufbaut, und demzufolge auch nur für die absolut exakte Überweisung gültig. Damit wären sehr viele jetzt auch im Chiptan vorhandenen Lücken geschlossen. Denn auch beim Chiptan verfahren ist es nach wie vor möglich mit Abgefangenen Daten eine Automatische überweisung nach Burkina Faso zu veranlassen. Problem ist das Hashtan ein wesentlich höheres Datenaufkommen verursachen würde, was die Banken deutlich mehr Geld kosten würde.

Es gibt relativ sichere ( absolut sicher gibt es nie ) Methoden Daten zuverlässig zu schützen ) man muss nur bereit sein dafür Geld auszugeben. Es gab sogar eine studie der banken dazu aber da es die Gewinne um bis zu 4% im Privatkundengeschäft geschmälert hätte wurde das Abgelehnt...

Keyaltha

Es geht sogar NOCH einfacher.

Man gibt dem Kunden einen RSA Token. Da der Kunde inzwischen sowieso ein Gerät kaufen muss für ChipTAN Verfahren, ist ein RSA Token, der entsprechend an den Account Random TANs alle 30 Sekunden generiert, eine fast sicherste Variante.

Die ChipTan Verfahren sind entsprechend.

Darstellung: