IT-Security im Fokus: Ein Hack-Twist oder "alles ausser der Wahrheit"

26. August 2022 um 10:14
image
Podiumsdiskussion zwischen Reto Vogt, Pascal Lamia,Jürg Stuker und Gunnar Porada (von links nach rechts). Alle Fotos: Kimberly Kläy

Rückblick auf den ersten Security-Event von inside-it.ch mit einem CDU-Hack, einem Fake-CEO-Betrug, einer kleinen Medienschelte und kurzen Hosen.

Die Anzeige vor dem Eingang zum Zürcher Kulturlokal Kosmos zeigt genau 30 Grad Celsius. Ein Schattenplatz am See oder Fluss dürfte manchen gelockt haben, den ersten Cybersecurity-Event von inside-it.ch zu schwänzen. Dafür ist die Zahl der sogenannten No-Shows aber überschaubar, wenn man von den nicht vergebenen Namensetiketten ausgeht.
Mit Popcorn und Mineralwasser bewaffnet geht es in den Kinosaal 6, die 160 Plätze sind angenehm gefüllt. Nach einer Einleitung von Chefredaktor Reto Vogt: "Wir machen coole Geschichten, steckt uns Infos", macht Pascal Lamia, operativer Leiter Cybersecurity des Nationalen Zentrums für Cybersicherheit (NCSC), den Start in den späten Nachmittag. Er zeigt an vielen Folien die Entwicklung des NCSC und der Meldungen, die das Zentrum bewältigen muss. Kurzfassung: Es zählt mittlerweile rund 50 Mitarbeitende, die Meldungen haben sich von 2020 auf 2021 verdoppelt und knacken dieses Jahr vermutlich die Marke von 30'000.
image
Pascal Lamia vom NCSC.
Eine kleine Schelte an die Medien kann sich Lamia nicht verkneifen: Sie sollten ihre Verantwortung in Sachen Sensibilisierung besser wahrnehmen, statt den Primeur zu suchen. Einen solchen findet man im Referat von Lamia nicht, aber es zeigt sich nochmals deutlich, wie sehr man sich im NCSC über Firmen ärgert, die nicht nur ihre Exchange-Server nicht patchen, sondern überhaupt nicht auf Warnungen reagieren – auch nicht auf eingeschriebene Briefe. Man werde die Energie künftig vor allem dort einsetzen, wo die Partner mitarbeiten, sagt Lamia.
image
IT-Security-Berater Gunnar Porada.
Der Folgeredner, Gunnar Porada, kontrastiert die Bundesfolien mit seinem Livehacking. Auch sein Vortragsstil fällt mehr in die Kategorie "anekdotisches Entertainment". Vor dem Publikum im Kinosaal dringt er live und mit relativ einfachen Mitteln – Auswertung einer IBAN-Nummer, SQL-Injection im Login-Script und Hash Cracking der Photo-Tan – in den Spendenaccount der CDU ein und überweist 4,4 Millionen Euro an ein Kinderhilfswerk… Manchem im Saal ist die justiziable Exkursion hinter die Passwort-Schranke sichtlich unangenehm. Natürlich zeigt Porada, dass das Schauspiel auf seinem eigenen Server stattgefunden hat. Twist: Damit demonstriert er auch, was dem unaufmerksamen Browser-User ziemlich sicher durch die Lappen geht und wie sich dieser damit angreifbar macht.
image
Der ehemalige Namics-CEO Jürg Stucker.
Nach Porada schildert der ehemalige Namics-Chef Jürg Stuker, wie er 2016 Opfer eines Fake-CEO-Betrugs wurde. Tipp: Immer telefonisch nachfragen, wenn man eilige Überweisungsanweisungen per Mail erhält. Sein Vortrag geht ins Podiumsgespräch inklusive weiteren Anekdoten von Porada und kleinen Reibereien über. Schliesslich ist man sich auf dem Podium aber über eines einig: In der Security und der Kommunikation von Angriffen braucht es einen Kulturwandel. Dass dabei auch die Medien eine wichtige Rolle spielen können, sagt Lamia am Rande des Events.
Pünktlich um 18 Uhr wird der Saal geräumt, schliesslich soll man dort im Anschluss "alles über Martin Suter" erfahren, "ausser der Wahrheit". So lautet zumindest der etwas breitspurige Titel des Films. Die Zuschauerschar des Security-Events verzieht sich in die Bar des Kosmos, wo Häppchen und Getränke serviert werden. Abschliessende Beobachtung: Trotz der 30 Grad ist die Anzahl kurzer Hosen sehr gering. Tief ist ebenfalls die Anzahl der anwesenden Frauen, auch wenn sie für einen IT-Event über dem Schnitt liegen dürfte. Vielleicht sieht man nächstes Mal sogar eine Speakerin auf der Bühne.

Loading

Mehr erfahren

Mehr zum Thema

image

Behörden schalten grosses Hacker-Forum aus

Auf Breachforums wurden zuletzt die Datensätze von Dell und Europol verkauft. Beteiligt an der internationalen Aktion war auch die Kantonspolizei Zürich. In der Schweiz wurden Server sichergestellt.

publiziert am 16.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024