IT-Security im Fokus: Ein Hack-Twist oder "alles ausser der Wahrheit"

26. August 2022 um 10:14
image
Podiumsdiskussion zwischen Reto Vogt, Pascal Lamia,Jürg Stuker und Gunnar Porada (von links nach rechts). Alle Fotos: Kimberly Kläy

Rückblick auf den ersten Security-Event von inside-it.ch mit einem CDU-Hack, einem Fake-CEO-Betrug, einer kleinen Medienschelte und kurzen Hosen.

Die Anzeige vor dem Eingang zum Zürcher Kulturlokal Kosmos zeigt genau 30 Grad Celsius. Ein Schattenplatz am See oder Fluss dürfte manchen gelockt haben, den ersten Cybersecurity-Event von inside-it.ch zu schwänzen. Dafür ist die Zahl der sogenannten No-Shows aber überschaubar, wenn man von den nicht vergebenen Namensetiketten ausgeht.
Mit Popcorn und Mineralwasser bewaffnet geht es in den Kinosaal 6, die 160 Plätze sind angenehm gefüllt. Nach einer Einleitung von Chefredaktor Reto Vogt: "Wir machen coole Geschichten, steckt uns Infos", macht Pascal Lamia, operativer Leiter Cybersecurity des Nationalen Zentrums für Cybersicherheit (NCSC), den Start in den späten Nachmittag. Er zeigt an vielen Folien die Entwicklung des NCSC und der Meldungen, die das Zentrum bewältigen muss. Kurzfassung: Es zählt mittlerweile rund 50 Mitarbeitende, die Meldungen haben sich von 2020 auf 2021 verdoppelt und knacken dieses Jahr vermutlich die Marke von 30'000.
image
Pascal Lamia vom NCSC.
Eine kleine Schelte an die Medien kann sich Lamia nicht verkneifen: Sie sollten ihre Verantwortung in Sachen Sensibilisierung besser wahrnehmen, statt den Primeur zu suchen. Einen solchen findet man im Referat von Lamia nicht, aber es zeigt sich nochmals deutlich, wie sehr man sich im NCSC über Firmen ärgert, die nicht nur ihre Exchange-Server nicht patchen, sondern überhaupt nicht auf Warnungen reagieren – auch nicht auf eingeschriebene Briefe. Man werde die Energie künftig vor allem dort einsetzen, wo die Partner mitarbeiten, sagt Lamia.
image
IT-Security-Berater Gunnar Porada.
Der Folgeredner, Gunnar Porada, kontrastiert die Bundesfolien mit seinem Livehacking. Auch sein Vortragsstil fällt mehr in die Kategorie "anekdotisches Entertainment". Vor dem Publikum im Kinosaal dringt er live und mit relativ einfachen Mitteln – Auswertung einer IBAN-Nummer, SQL-Injection im Login-Script und Hash Cracking der Photo-Tan – in den Spendenaccount der CDU ein und überweist 4,4 Millionen Euro an ein Kinderhilfswerk… Manchem im Saal ist die justiziable Exkursion hinter die Passwort-Schranke sichtlich unangenehm. Natürlich zeigt Porada, dass das Schauspiel auf seinem eigenen Server stattgefunden hat. Twist: Damit demonstriert er auch, was dem unaufmerksamen Browser-User ziemlich sicher durch die Lappen geht und wie sich dieser damit angreifbar macht.
image
Der ehemalige Namics-CEO Jürg Stucker.
Nach Porada schildert der ehemalige Namics-Chef Jürg Stuker, wie er 2016 Opfer eines Fake-CEO-Betrugs wurde. Tipp: Immer telefonisch nachfragen, wenn man eilige Überweisungsanweisungen per Mail erhält. Sein Vortrag geht ins Podiumsgespräch inklusive weiteren Anekdoten von Porada und kleinen Reibereien über. Schliesslich ist man sich auf dem Podium aber über eines einig: In der Security und der Kommunikation von Angriffen braucht es einen Kulturwandel. Dass dabei auch die Medien eine wichtige Rolle spielen können, sagt Lamia am Rande des Events.
Pünktlich um 18 Uhr wird der Saal geräumt, schliesslich soll man dort im Anschluss "alles über Martin Suter" erfahren, "ausser der Wahrheit". So lautet zumindest der etwas breitspurige Titel des Films. Die Zuschauerschar des Security-Events verzieht sich in die Bar des Kosmos, wo Häppchen und Getränke serviert werden. Abschliessende Beobachtung: Trotz der 30 Grad ist die Anzahl kurzer Hosen sehr gering. Tief ist ebenfalls die Anzahl der anwesenden Frauen, auch wenn sie für einen IT-Event über dem Schnitt liegen dürfte. Vielleicht sieht man nächstes Mal sogar eine Speakerin auf der Bühne.

Loading

Mehr zum Thema

image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

Servicenow meldet Sicherheitsproblem

Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.

publiziert am 10.6.2026
image

Anthropic lanciert Claude Fable 5 für alle Nutzer

Parallel dazu startet mit Claude Mythos 5 eine Variante mit erweiterten Cybersecurity-Fähigkeiten, die zunächst nur ausgewählten Organisationen zugänglich ist.

publiziert am 10.6.2026