Mobiles Internet

Wie leicht es Gauner bei eBay, Amazon & Co. haben

(Dies ist ein Beitrag von Peter Onneken, "Plusminus")

Achillesferse WLAN-Hotspot | Bild: HR

Ein offener Hotspot am Flughafen Stuttgart. Große Gedanken über meine Sicherheit mache ich mir nicht. Wer interessiert sich schon dafür, was ich da bei eBay ersteigere. Sebastian Schreiber ist IT-Sicherheitsexperte.

Sonst berät er die großen deutschen Unternehmen, doch heute demonstriert er uns welche Gefahren im mobilen Internet lauern. Er wird mir zeigen, dass mein naives Surf-Verhalten richtig teuer werden kann: "Ich habe vor, in Ihrem Namen Produkte einzukaufen und Ihr Konto leer zu räumen, zu diesem Zweck habe ich ihr WLAN umgeleitet auf mein eigenes WLAN und mit habe jetzt die Möglichkeit unter Anwendung eines kleinen Tricks sämtliche Kommunikation von Ihnen auszuspionieren, selbst dann wenn diese eigentlich verschlüsselt sein sollte."

Wenige Tage später zurück im Heim: Ein Anruf von Sebastian Schreiber: "Ich melde mich bei Ihnen, um Ihnen mitzuteilen, dass ich Sie bestohlen habe. Ich habe Ihnen 1.000 Euro abgenommen und auf mein Konto überwiesen. Das ist aber nicht alles,
ich habe zusätzlich in Ihrem Namen ein Navigationssystem bestellt, das liegt mir hier
auch vor und Sie müssen es bezahlen." Tatsächlich. Dieses Navigationssystem soll ich bezahlen. Und geliefert wird es an Sebastian Schreiber. Auch das noch: 1.000 Euro - einfach weg. Von meinem Paypal-Konto. Und das nur weil ich an einem Hotspot surfte.

Aktives Passwort-Sniffing

Das Schlimme: Der Angriff ist denkbar einfach. Sebastian Schreiber simuliert die Attacke in seinem Büro in Tübingen. Seine Mitarbeiterin surft bei eBay.de. Irgendwann loggt sie sich ein. Das bedeutet, sie gibt ihren Nutzernamen und ihr Passwort preis. Das Erschreckende ist, es dauert keine Sekunde, und schon sind die Daten auf Schreibers Rechner: "Na perfekt, das Passwort habe ich schon. Das Passwort lautet 23Maerz2012."

Schreiber erzählt: Ich habe die gesamten Daten des Laptops unseres Opfers
umgeleitet auf mein Laptop, so dass ich die Möglichkeit habe, die gesamten Daten hier einzusehen und am dem Bildschirm anzuzeigen. Aktives Password-Sniffing nennt sich diese Attacke, und funktioniert, wenn sich sowohl Täter als auch Opfer in ein Netzwerk einloggen. Das kann zum Beispiel im WLAN eines Cafés sein.

Alle Internet-Seiten die sie aufruft kann der Täter jetzt sehen und viel schlimmer, er kann sie umleiten. Jetzt laufen alle Seiten über den Rechner des Angreifers. Diese eBay-Seite stammt nicht vom eBay-Server, sondern vom Täter. Genau so erhält er die Login-Daten. Der Angriff klappt nicht nur bei eBay, sondern auch bei Amazon und anderen Seiten. Und er ist technisch auch noch simpel: "Auch der Laie ist in der Lage unter Anwendung der Angriffstools, die wir hier eingesetzt haben, den Angriff durchzuführen ohne ihn programmieren zu können. Also ich gehe davon aus, dass der Angriff auch deswegen an Relevanz gewinnen wird, weil er doch relativ einfach durchzuführen ist", erklärt Schreiber.

"Täter werden Angriffsmodelle entwickeln"

Und Hotspots gibt es überall: Das WLAN in der Bahn, im Cafe, ja in vielen Kneipen. Experten rechnen damit, dass sich in Deutschland innerhalb von nur fünf Jahren der mobile Datenverkehr mehr als verzwanzigfachen wird. Wir sind ständig online, ob mit Laptop oder Smartphone. Und Gratis-Internet nehmen viele gerne mit.

Genau das beobachtet auch André Dornbusch. Er ist Kriminaloberkommissar in der
Cybercrime Abteilung des Bundeskriminalamts. Er weiß: Unser Versuch ist nicht bloße Theorie, solche Fälle gibt es schon. Und er befürchtet, je relevanter mobiles Internet wird, umso häufiger werden solche Straftaten: Nun kann man davon ausgehen, dass, wenn vom Seiten der Provider mehr Services im Bereich mobiles Internet angeboten werden, die Geschwindigkeiten weiter ansteigen werden, und eben auch mehr Leute mobiles Internet in der Art und Weisenutzen, auch an Hotspots nutzen. So kann man davon ausgehen, dass Täter auch entsprechende Angriffsmodelle entwickeln werden."

Genau deshalb müssen wir Nutzer darauf achten, Passwörter nur über sichere Verbindungen zu übermitteln. Doch viele wissen gar nicht, dass die sicheren Seiten mit https beginnen, anders als die gewöhnlichen unsicheren http-Seiten. Denn nur die verschlüsselten Verbindungen bieten Schutz. https kann Schreiber nämlich nicht so einfach auslesen. Das Problem: die Firmen sind nicht konsequent.

Wer kennt schon die neuesten Hacks?

Beispiel eBay: Das Angebot wechselt ständig zwischen unsicheren http und sicheren https-Seiten. Deshalb ist unserem Opfer auch nicht aufgefallen, dass sie ihr Passwort völlig unverschlüsselt gesendet hat. Wir sind in Berlin beim Bundesbeauftragten für Datenschutz. Die Unternehmen müssen konsequent verschlüsseln, fordert Peter Schaar.

Denn auch wenig geübte Internetnutzer müssen die Möglichkeit haben sicher zu surfen: "Man kann nicht von dem Normalsurfer erwarten, dass er über sie über die aktuelle Situation auf dem Sicherheitsfeld - die neuesten Hacks und so weiter - Bescheid wissen
kann. Um so wichtiger ist es, dass die Unternehmen selbst für ein hohes
Sicherheitsniveau sorgen, das ist eine Bringschuld und wenn sie die Bringschuld nicht erbringen, müssen sie auch für die Schäden aufkommen."

Immerhin eBay verspricht: "Wird uns der Missbrauch eines Mitgliedskontos bekannt, leiten wir unverzüglich Gegenmaßnahmen ein... und unterstützen den Betroffenen bei der Rückabwicklung. "Wir sind kontinuierlich dabei, die Nutzung von https auf unseren Seiten auszuweiten."

Für uns Nutzer wäre es das Beste, wenn alle Seiten im Internet auf sichere https-
Verbindungen umstellen würden. Denn eigentlich geht es ja niemanden etwas an, wo ich da gerade surfe.