Jetzt Registrieren



Newsletter

Mit diesem Newsletter erfahren Sie, was es Neues auf hospitalityInside gibt. Jede Woche am Freitag. Kostenfrei. Mit Ihrem Password können Sie sich einloggen und Ihr Nutzer-Profil und Passwort ändern.

Besucher

Mit der Registrierung als Besucher erhalten Sie 10 Tage lang Zugang zum Magazin: Sie lesen hier die Schlagzeilen und Vorspänne der einzelnen Artikel. Volltexte der Artikel stehen nicht zur Verfügung. Eine erste Orientierung. Dieses Angebot ist kostenfrei

Probeabo "Aktuelle Ausgabe" €

1 Monat lang lesen Sie alle wöchentlich erscheinenden Texte in voller Länge, also immer die "Aktuelle Ausgabe" einer Woche. Die Archiv-Artikel stehen nicht zur Verfügung. Das Schnupper-Angebot. Preis: 33,62 Euro zzgl. 19% Mehrwertsteuer - automatische Beendigung nach einem Monat.

Jahresabo "Aktuelle Ausgabe" €

12 Monate lang haben Sie Zugang zu den aktuellen Texten der jeweiligen Woche. Die Archiv-Artikel stehen nicht zur Verfügung. Das Angebot für den Nutzer mit regelmässigen Lesegewohnheiten. Preis: 176,40 Euro zzgl. 19% Mehrwertsteuer pro Halbjahr (352,80 Euro netto im Jahr). Das Abonnement ist selbstverlängernd und kann bis sechs Wochen vor Ablauf gekündigt werden. Danach verlängert es sich jeweils um ein weiteres Jahr

Jahresabo "Vollzugang" €

12 Monate lang haben Sie uneingeschränkten Zugriff auf alle aktuellen Artikel sowie auf das gesamte Archiv. Das Angebot für den Leser, der das ganze Wissen immer verfügbar haben will. Preis: 289,66 Euro zzgl. 19% Mehrwertsteuer pro Halbjahr (579,32 Euro netto im Jahr). Das Abonnement ist selbstverlängernd und kann bis sechs Wochen vor Ablauf gekündigt werden. Danach verlängert es sich jeweils um ein weiteres Jahr

Firmen-Abonnement €

Es gibt Sonderkonditionen bei der Buchung von mehreren Zugängen. Bitte erfragen Sie die Konditionen per eMail unter service@hospitalityInside.com oder per Telefon unter +49-821-99 56 68. Für Medien, PR-Agenturen, Hotelschulen und Universitäten sind spezielle Angebote verfügbar

Wir über uns dt
Kontakt dt
Content Syndication Program 2 dt

Gute Basis für Hacker

ITB Hospitality Day 2015 zeigte, wie man Codes und Webcams knackt

ITB 2015 Live Hacking B hne mit Screen Kohlar Florian Dr Hoelzner Stefan

Live Hacking beim ITB Hospitality Day 2015: Security-Experte Stefan Hölzner (stehend) und sein
Kollege Dr. Florian Kohlar, ein Kryptograph, zeigen an der Leinwand, wie man übers Internet fremde Webcams steuern kann.

Berlin (13.3.2015). Google ist ein hervorragender Helfer, wenn es darum geht, sich unerlaubterweise in andere IT-Systeme einzuhacken. Über Webcams kann man leicht mitbeobachten und mithören… Und die richtigen Passwörter zu filtern, ist für geübte Hacker oft nur eine Frage der Zeit. Der sehr verbreitete, fahrlässige Umgang mit Kundendaten wurde am 10. "ITB Hospitality Day" an der ITB Berlin letzte Woche dem Publikum drastisch und live vor Augen geführt. "Check out – Hack in" hiess der Titel des Live-Hackings zum Beginn der Konferenz. Staunen Sie mit!

"Wir stehen auf der guten Seite, aber kennen die dunklen Seiten der Macht", sagte Stefan Hölzner, Senior Manager KPMG Security Consulting mit Sitz in Essen, zu Beginn. Das Unternehmen simuliert im Auftrag von Kunden/Unternehmen Angriffe auf deren Firmen. Dr. Florian Kohlar, Assistant Manager und ausgebildeter Kryptograf, führte anschaulich die Kehrseite der Digitalisierung auch für die Hotellerie vor.

"Eine SQL-Injection ist weniger technisch als es klingt", stieg Kohlar ein. Beispiel Web-Shop: Es erscheint die Zeile "Zeige mir alle Geschenkartikel aus 2012, 2013, 2013." Der Hacker ändert diese Zeile ab in "Zeige mir alle Kundendaten aus 2012, 2013, 2013." Und schon bahnt sich ein Weg zum Weitersuchen an…

  ITB 2015 Live Hacking Kohlar Florian Dr
  Dr. Florian Kohlar: Hacker fangen meist mit
"Spielen" an...

Jeder Web-Shop hat ein Suchfeld, das meist im Hintergrund mit ähnlichen Buchstaben-Kombinationen arbeitet. Hacker geben so anstatt einer Suchanfrage z.B. eine gängige Buchstaben-Kombination mit dem Zusatz "room" ein. Aus dem Quellcode der Antwort können sie bereits schliessen, mit welchen Buchstaben-Kombinationen die Mail-Adressen der Kunden für einen bestimmten Zeitraum herausgefiltert werden können. "Wenn im Shop itemdb als Eingabe für Produkte funktioniert, dann geht meist auch userdb für die Kundendaten", zeigte Kohlar anhand eines nachgebauten Webshops (live wollte er nicht unbedingt auf der ITB in ein Unternehmen eindringen).

Passwörter? Leichtes Spiel

In der Hotellerie sind die Reservierungsprozesse, andere Shop-Funktionen, aber auch das Gästebuch einfache Wege, um in schwach gesicherte Systeme einzudringen. Zwar stehen immer wieder Passwörter als Sicherheitsmauern dazwischen, doch manches Passwort wird mit Dechiffrier-Programmen rasch rekonstruiert. Dafür reicht es meist, ein einziges Passwort einer Liste zu identifizieren. Live hatten die Referenten innerhalb von Sekunden von 22 erdachten Codes 13 geknackt. Das eine oder andere weitere würde innerhalb der nächsten Minuten folgen, am Rest beisse sich auch das Programm die Zähne aus. "Die Passwort-Sicherheit wird leider total vernachlässigt", wissen die Experten. Die zehn beliebtesten Passwörter decken insgesamt 2,5 Prozent des gesamten Passwort-Aufkommens ab! Eine perfekter Einstieg für professionelle Hacker! Auf einer Liste mit 1.000 Kundendaten ist also mit Sicherheit eines wie "123456" (0,6% aller gewählten Passwörter weltweit) dabei. Nummer 2 ist übrigens "Passwort/Password".

Am ITB Hospitality Day wurde auch erklärt, wie mithilfe der Google-Suchmaschine (über die Eingabe "inurl:/ ….") leicht angreifbare Seiten gefunden werden können. Oder man steuert direkt Seiten von Grossunternehmen wie SAP an. "Es sind schon in der Dokumentation von SAP bestimmte Basis-Kennwörter vorhanden, die einen weiterbringen", weiss Hölzner.

ITB 2015 Live Hacking Worst Passwords  
Die zehn beliebtesten Passwörter decken insgesamt 2,5 Prozent
des gesamten Passwort-Aufkommens ab.

 

Achtung vor Webcams!

Ein weiteres Problemfeld in Sachen Datensicherheit bilden die immer zahlreicheren Webcams, mit denen man nicht nur Strände betrachten, sondern auch Gebäude-Einfahrten überwachen kann. Über die Suchmaschinen tastet man sich auch zu grossen Videkonferenz-Anbietern vor und spürt die Kamera eines Hotel-Seminarraums auf. Diese lässt sich dann über das Web steuern. Ein Flipchart kam ins Bild, eine Zahl stand gut lesbar auf dem Papier. Angeblich sind die Kameras im Heranzoomen so gut, dass sie selbst offen liegende Dokumente auf einem Schreibtisch zeigen können.

Anwesende im Raum erhalten übrigens keinerlei Hinweis, dass irgendwo in der Welt jemand mit am Konferenztisch sitzt. Kein rotes Blinklicht verrät die externen Gäste. Und: Jeder kann über die eingebauten Mikrofone in Kameras jedes Gespräch im Raum mithören! Bei manchen Webcams müsse man die IP-Adresse kennen, doch meist könne man über eine Suchmaschine fündig werden, die Firmen aufspürt, welche sich sogar damit brüsten, Voice-over-iP-Telefone, Internet-gesteuerte Kühlschränke oder Steuerungssysteme für die Windstrom-Erzeugung am Hoteldach aufzuspüren. "Wer eine Webcam im Haus installiert, sollte die Bedienungsanleitung wirklich durchlesen", mahnte Hölzner.

Logins einfach umleiten

Hacker haben recht einfach die Steuerung eines Bahnhof-Lifts geknackt, den Fahrstuhl angehalten und konnten über die Webcam gleich beobachten (und hören), wie sich die Eingeschlossenen verhielten. Im Business-Alltag geht es aber um konkretere Attacken. Wer zehn infizierte USB-Sticks in einem Unternehmen an unterschiedlichen Orten platziert, kann sicher sein, dass zwei davon genutzt werden. Und schon ist man über einen Trojaner im System. Der USB agiert wie eine externe Tastatur, alle eingegebenen Passwörter werden mitprotokolliert.

  ITB 2015 Live Hacking Hoelzner Stefan
  Stefan Hölzner: Wer Webcams
installiert, sollte das
Kleingedruckte lesen.

Besonders der Sicherheit von WLan-Netzen sollte man nicht immer trauen. "Über 20 hier im Saal sind momentan über telekom_ICE eingeloggt", verblüfften die KMPG-Experten abschliessend. "Sie sind aber doch gar nicht in einem ICE". Die Berufshacker haben diese Seite nachgebaut. Weil Smartphones automatisch freien Netzen vertrauen, die schon einmal genutzt wurden, loggte sie sich automatisch auf der ICE-Seite - anstatt im "Free Wifi" der ITB. In Wahrheit stand eine KPMG-Website dahinter. "Alle Daten liefen in den letzten Minuten über unsere Systeme, wir hätten mitlesen können", warnt Hölzner davor, unverschlüsselt ins Internet zu gehen.

Nicht wenige Fachleute ordnen den Gästedaten der Hotels einen Marktwert zu, der den eigentlichen Hotelwert übertreffen kann. Doch Data Mining oder Big Data steckt in der Privathotellerie noch in den Kinderschuhen. Geht es nach der jüngst präsentierten TripAdvisor-Umfrage "Empowering Independent Hotels" wird sich daran wenig ändern: Investitionen in eine bessere CRM-Database werden von den Betrieben als eher sinnlos bewertet. Viele Privathotels nutzen bis heute ihr Datenmaterial pauschal für Aussendungen oder maximal für Geburtstagswünsche.

Gefeit aber ist niemand vor den Gefahren – wenngleich internationale Ketten hier eher das Interesse der Ganoven wecken. Wie zur Bestätigung gestand Mandarin Oriental Hotels dieser Tage ein, Hacker seien mit Hilfe einer Schadsoftware in manchen Häusern in den USA und Europa an Kreditkarten-Daten von Gästen gelangt. Pin-Codes z.B. sollen aber nach bisherigem Stand der Ermittlungen nicht geknackt worden sein. Das Programm sei identifiziert und aus allen Systemen entfernt worden. Mandarin Oriental sehe es aber als seine Pflicht an, die gesamte Branche über die Cyber-Attacke zu informieren, sagte das Unternehmen. Passieren kann es schliesslich jedem. / Fred Fettner


Die Video-Aufzeichnung dieses ITB-Panels in voller Länge finden Sie direkt unter diesem Link oder über www.itb-kongress.de.

 

Weiterführende Links:

Um diesen Artikel zu drucken, müssen Sie für den Newsletter, als Besucher oder Abonnement registriert und angemeldet sein.

Suchen


Suchfilter festlegen
Artikeldetails
Im Fokus
HITT 2019_Save the date_dt_Test
m2C Konferenz 2019 Prag_dt_Test