Live-Hacking zeigt oft nur die halbe Wahrheit
Seit etlichen Jahren gehören Sicherheitsvorführungen zu den Publikumsmagneten auf Messen und Veranstaltungen. Doch vielen Referenten ist der Show-Effekt wichtiger als eine realistische Gefahrendarstellung.
Auch auf der diesjährigen CeBIT wird es wieder etliche Sicherheitsvorführungen geben. Kritische Sicherheitsexperten monieren jedoch, dass es unter den Referenten "schwarze Schafe" gibt, die auf den Show-Effekt setzen und die für einen erfolgreichen Angriff erforderlichen Rahmenbedingungen schon mal unter den Tisch fallen lassen.
Die Angstmacherei fällt in der Regel auf fruchtbaren Boden, denn im Publikum sitzen häufig technische Laien. Ihnen wird gezeigt, wie vermeintlich einfach es ist, eine TK-Anlage oder ein iPad zu hacken, doch das ist nur die halbe Wahrheit: Dass man – wie im Fall der TK-Anlage – dazu Insiderwissen in Form der Administrationszugangsdaten benötigt oder ein bei einer Messe gezeigter iPad-Hack nur bei einem kaum noch verbreiteten Betriebssystem funktioniert, erwähnten die Referenten nicht.
Haben die verunsicherten Zuschauer dann noch Entscheidungspositionen in Unternehmen inne, können die Reaktionen durchaus überzogen ausfallen. So holte ein Geschäftsführer nach einem Live-Hacking völlig panisch einen professionellen Penetrationstester ins Haus und beauftragte ihn, den Hack an seinen Geräten zu wiederholen – erwartungsgemäß ohne Erfolg, da in der Firma alle Geräte mit aktuellen Betriebssystemen ausgestattet waren. Der IT-Verantwortliche hatte Mühe, den Geschäftsführer von sinnvolleren Sicherheitstests als dem nicht funktionierenden Hack zu überzeugen.
Als Zuschauer sollte man bei Live-Hackings kritisch bleiben und den Referenten gegebenenfalls fragen, wie häufig die demonstrierten Fälle auftreten oder welche speziellen Faktoren einen gezeigten Angriff erfolgreich sein lassen.
Welche Beobachtungen ein Sicherheitsberater bei diversen Live-Hackings machte und wie sich die von ihm auf ihre "Halbwahrheiten" angesprochenen Referenten äußerten, berichtet er in der aktuellen iX, die ab heute im gut sortierten Zeitschriftenhandel erhältlich ist und versandkostenfrei online bestellt werden kann. (ur)