Live Hacking beim ITB Hospitality Day 2015: Security-Experte Stefan Hölzner und sein Kollege Dr. Florian Kohlar, ein Kryptograph, zeigen an der Leinwand, wie man übers Internet fremde Webcams steuern kann.
Berlin. Google ist ein hervorragender Helfer, wenn es darum geht, sich unerlaubterweise in andere IT-Systeme einzuhacken. Über Webcams kann man leicht mitbeobachten und mithören… Und die richtigen Passwörter zu filtern, ist für geübte Hacker oft nur eine Frage der Zeit. Der sehr verbreitete, fahrlässige Umgang mit Kundendaten wurde am 10. "ITB Hospitality Day" an der ITB Berlin letzte Woche dem Publikum drastisch und live vor Augen geführt. "Check out – Hack in" hiess der Titel des Live-Hackings zum Beginn der Konferenz. Staunen Sie mit!
"Wir stehen auf der guten Seite, aber kennen die dunklen Seiten der Macht", sagte Stefan Hölzner, Senior Manager KPMG Security Consulting mit Sitz in Essen, zu Beginn. Das Unternehmen simuliert im Auftrag von Kunden/Unternehmen Angriffe auf deren Firmen. Dr. Florian Kohlar, Assistant Manager und ausgebildeter Kryptograf, führte anschaulich die Kehrseite der Digitalisierung auch für die Hotellerie vor.
"Eine SQL-Injection ist weniger technisch als es klingt", stieg Kohlar ein. Beispiel Web-Shop: Es erscheint die Zeile "Zeige mir alle Geschenkartikel aus 2012, 2013, 2013." Der Hacker ändert diese Zeile ab in "Zeige mir alle Kundendaten aus 2012, 2013, 2013." Und schon bahnt sich ein Weg zum Weitersuchen an…
Dr. Florian Kohlar: Hacker fangen meist mit 'Spielen' an...
Jeder Web-Shop hat ein Suchfeld, das meist im Hintergrund mit ähnlichen Buchstaben-Kombinationen arbeitet. Hacker geben so anstatt einer Suchanfrage z.B. eine gängige Buchstaben-Kombination mit dem Zusatz "room" ein. Aus dem Quellcode der Antwort können sie bereits schliessen, mit welchen Buchstaben-Kombinationen die Mail-Adressen der Kunden für einen bestimmten Zeitraum herausgefiltert werden können. "Wenn im Shop itemdb als Eingabe für Produkte funktioniert, dann geht meist auch userdb für die Kundendaten", zeigte Kohlar anhand eines nachgebauten Webshops.
Passwörter? Leichtes Spiel
In der Hotellerie sind die Reservierungsprozesse, andere Shop-Funktionen, aber auch das Gästebuch einfache Wege, um in schwach gesicherte Systeme einzudringen. Zwar stehen immer wieder Passwörter als Sicherheitsmauern dazwischen, doch manches Passwort wird mit Dechiffrier-Programmen rasch rekonstruiert. Dafür reicht es meist, ein einziges Passwort einer Liste zu identifizieren. Live hatten die Referenten innerhalb von Sekunden von 22 erdachten Codes 13 geknackt. Das eine oder andere weitere würde innerhalb der nächsten Minuten folgen, am Rest beisse sich auch das Programm die Zähne aus. "Die Passwort-Sicherheit wird leider total vernachlässigt", wissen die Experten. Die zehn beliebtesten Passwörter decken insgesamt 2,5 Prozent des gesamten Passwort-Aufkommens ab! Eine perfekter Einstieg für professionelle Hacker! Auf einer Liste mit 1.000 Kundendaten ist also mit Sicherheit eines wie "123456" dabei. Nummer 2 ist übrigens "Passwort/Password".
Am ITB Hospitality Day wurde auch erklärt, wie mithilfe der Google-Suchmaschine leicht angreifbare Seiten gefunden werden können. Oder man steuert direkt Seiten von Grossunternehmen wie SAP an. "Es sind schon in der Dokumentation von SAP bestimmte Basis-Kennwörter vorhanden, die einen weiterbringen", weiss Hölzner.
Die zehn beliebtesten Passwörter decken insgesamt 2,5 Prozent des gesamten Passwort-Aufkommens ab.
Achtung vor Webcams!
Ein weiteres Problemfeld in Sachen Datensicherheit bilden die immer zahlreicheren Webcams, mit denen man nicht nur Strände betrachten, sondern auch Gebäude-Einfahrten überwachen kann. Über die Suchmaschinen tastet man sich auch zu grossen Videkonferenz-Anbietern vor und spürt die Kamera eines Hotel-Seminarraums auf. Diese lässt sich dann über das Web steuern. Ein Flipchart kam ins Bild, eine Zahl stand gut lesbar auf dem Papier. Angeblich sind die Kameras im Heranzoomen so gut, dass sie selbst offen liegende Dokumente auf einem Schreibtisch zeigen können.
Anwesende im Raum erhalten übrigens keinerlei Hinweis, dass irgendwo in der Welt jemand mit am Konferenztisch sitzt. Kein rotes Blinklicht verrät die externen Gäste. Und: Jeder kann über die eingebauten Mikrofone in Kameras jedes Gespräch im Raum mithören! Bei manchen Webcams müsse man die IP-Adresse kennen, doch meist könne man über eine Suchmaschine fündig werden, die Firmen aufspürt, welche sich sogar damit brüsten, Voice-over-iP-Telefone, Internet-gesteuerte Kühlschränke oder Steuerungssysteme für die Windstrom-Erzeugung am Hoteldach aufzuspüren. "Wer eine Webcam im Haus installiert, sollte die Bedienungsanleitung wirklich durchlesen", mahnte Hölzner.
Logins einfach umleiten
Hacker haben recht einfach die Steuerung eines Bahnhof-Lifts geknackt, den Fahrstuhl angehalten und konnten über die Webcam gleich beobachten, wie sich die Eingeschlossenen verhielten. Im Business-Alltag geht es aber um konkretere Attacken. Wer zehn infizierte USB-Sticks in einem Unternehmen an unterschiedlichen Orten platziert, kann sicher sein, dass zwei davon genutzt werden. Und schon ist man über einen Trojaner im System. Der USB agiert wie eine externe Tastatur, alle eingegebenen Passwörter werden mitprotokolliert.
Stefan Hölzner: Wer Webcams installiert, sollte das Kleingedruckte lesen.
Besonders der Sicherheit von WLan-Netzen sollte man nicht immer trauen. "Über 20 hier im Saal sind momentan über telekom_ICE eingeloggt", verblüfften die KMPG-Experten abschliessend. "Sie sind aber doch gar nicht in einem ICE". Die Berufshacker haben diese Seite nachgebaut. Weil Smartphones automatisch freien Netzen vertrauen, die schon einmal genutzt wurden, loggte sie sich automatisch auf der ICE-Seite - anstatt im "Free Wifi" der ITB. In Wahrheit stand eine KPMG-Website dahinter. "Alle Daten liefen in den letzten Minuten über unsere Systeme, wir hätten mitlesen können", warnt Hölzner davor, unverschlüsselt ins Internet zu gehen.
Nicht wenige Fachleute ordnen den Gästedaten der Hotels einen Marktwert zu, der den eigentlichen Hotelwert übertreffen kann. Doch Data Mining oder Big Data steckt in der Privathotellerie noch in den Kinderschuhen. Geht es nach der jüngst präsentierten TripAdvisor-Umfrage "Empowering Independent Hotels" wird sich daran wenig ändern: Investitionen in eine bessere CRM-Database werden von den Betrieben als eher sinnlos bewertet. Viele Privathotels nutzen bis heute ihr Datenmaterial pauschal für Aussendungen oder maximal für Geburtstagswünsche.
Gefeit aber ist niemand vor den Gefahren – wenngleich internationale Ketten hier eher das Interesse der Ganoven wecken. Wie zur Bestätigung gestand Mandarin Oriental Hotels dieser Tage ein, Hacker seien mit Hilfe einer Schadsoftware in manchen Häusern in den USA und Europa an Kreditkarten-Daten von Gästen gelangt. Pin-Codes z.B. sollen aber nach bisherigem Stand der Ermittlungen nicht geknackt worden sein. Das Programm sei identifiziert und aus allen Systemen entfernt worden. Mandarin Oriental sehe es aber als seine Pflicht an, die gesamte Branche über die Cyber-Attacke zu informieren, sagte das Unternehmen. Passieren kann es schliesslich jedem. / Fred Fettner
Die Video-Aufzeichnung dieses ITB-Panels in voller Länge finden Sie direkt unter diesem Link oder über www.itb-kongress.de.
