IT-Security im Fokus: Ein Hack-Twist oder "alles ausser der Wahrheit"

26. August 2022, 10:14
image
Podiumsdiskussion zwischen Reto Vogt, Pascal Lamia,Jürg Stuker und Gunnar Porada (von links nach rechts). Alle Fotos: Kimberly Kläy

Rückblick auf den ersten Security-Event von inside-it.ch mit einem CDU-Hack, einem Fake-CEO-Betrug, einer kleinen Medienschelte und kurzen Hosen.

Die Anzeige vor dem Eingang zum Zürcher Kulturlokal Kosmos zeigt genau 30 Grad Celsius. Ein Schattenplatz am See oder Fluss dürfte manchen gelockt haben, den ersten Cybersecurity-Event von inside-it.ch zu schwänzen. Dafür ist die Zahl der sogenannten No-Shows aber überschaubar, wenn man von den nicht vergebenen Namensetiketten ausgeht.
Mit Popcorn und Mineralwasser bewaffnet geht es in den Kinosaal 6, die 160 Plätze sind angenehm gefüllt. Nach einer Einleitung von Chefredaktor Reto Vogt: "Wir machen coole Geschichten, steckt uns Infos", macht Pascal Lamia, operativer Leiter Cybersecurity des Nationalen Zentrums für Cybersicherheit (NCSC), den Start in den späten Nachmittag. Er zeigt an vielen Folien die Entwicklung des NCSC und der Meldungen, die das Zentrum bewältigen muss. Kurzfassung: Es zählt mittlerweile rund 50 Mitarbeitende, die Meldungen haben sich von 2020 auf 2021 verdoppelt und knacken dieses Jahr vermutlich die Marke von 30'000.
image
Pascal Lamia vom NCSC.
Eine kleine Schelte an die Medien kann sich Lamia nicht verkneifen: Sie sollten ihre Verantwortung in Sachen Sensibilisierung besser wahrnehmen, statt den Primeur zu suchen. Einen solchen findet man im Referat von Lamia nicht, aber es zeigt sich nochmals deutlich, wie sehr man sich im NCSC über Firmen ärgert, die nicht nur ihre Exchange-Server nicht patchen, sondern überhaupt nicht auf Warnungen reagieren – auch nicht auf eingeschriebene Briefe. Man werde die Energie künftig vor allem dort einsetzen, wo die Partner mitarbeiten, sagt Lamia.
image
IT-Security-Berater Gunnar Porada.
Der Folgeredner, Gunnar Porada, kontrastiert die Bundesfolien mit seinem Livehacking. Auch sein Vortragsstil fällt mehr in die Kategorie "anekdotisches Entertainment". Vor dem Publikum im Kinosaal dringt er live und mit relativ einfachen Mitteln – Auswertung einer IBAN-Nummer, SQL-Injection im Login-Script und Hash Cracking der Photo-Tan – in den Spendenaccount der CDU ein und überweist 4,4 Millionen Euro an ein Kinderhilfswerk… Manchem im Saal ist die justiziable Exkursion hinter die Passwort-Schranke sichtlich unangenehm. Natürlich zeigt Porada, dass das Schauspiel auf seinem eigenen Server stattgefunden hat. Twist: Damit demonstriert er auch, was dem unaufmerksamen Browser-User ziemlich sicher durch die Lappen geht und wie sich dieser damit angreifbar macht.
image
Der ehemalige Namics-CEO Jürg Stucker.
Nach Porada schildert der ehemalige Namics-Chef Jürg Stuker, wie er 2016 Opfer eines Fake-CEO-Betrugs wurde. Tipp: Immer telefonisch nachfragen, wenn man eilige Überweisungsanweisungen per Mail erhält. Sein Vortrag geht ins Podiumsgespräch inklusive weiteren Anekdoten von Porada und kleinen Reibereien über. Schliesslich ist man sich auf dem Podium aber über eines einig: In der Security und der Kommunikation von Angriffen braucht es einen Kulturwandel. Dass dabei auch die Medien eine wichtige Rolle spielen können, sagt Lamia am Rande des Events.
Pünktlich um 18 Uhr wird der Saal geräumt, schliesslich soll man dort im Anschluss "alles über Martin Suter" erfahren, "ausser der Wahrheit". So lautet zumindest der etwas breitspurige Titel des Films. Die Zuschauerschar des Security-Events verzieht sich in die Bar des Kosmos, wo Häppchen und Getränke serviert werden. Abschliessende Beobachtung: Trotz der 30 Grad ist die Anzahl kurzer Hosen sehr gering. Tief ist ebenfalls die Anzahl der anwesenden Frauen, auch wenn sie für einen IT-Event über dem Schnitt liegen dürfte. Vielleicht sieht man nächstes Mal sogar eine Speakerin auf der Bühne.

Loading

Mehr zum Thema

image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023