Stellen Sie sich vor, ein Dieb gibt sich als alter Bekannter aus und fragt Sie nach Geld oder Ihrem Hausschlüssel. Das geschieht zwar, ist aber doch häufig leicht zu durchschauen. Online geschieht das häufig subtiler. Eine Internetseite könnte seriös daherkommen, zum Beispiel als Seite der bayerischen Regierung. Die Nutzer schöpfen keinen Verdacht, während ihre Passwörter an die Server von Kriminellen abgesaugt werden. Phishing heißt diese Methode.
Eine Gruppe von Hackern aus Nürnberg mit dem Namen "0x90.space" hat eine Lücke bei einer Lernplattform des Kultusministeriums entdeckt, die eben das ermöglicht. Verbrecher hätten den Code der Website entsprechend ändern können, um Passwörter zu klauen. Weil die Nürnberger Hackergruppe auf den Fehler aufmerksam gemacht hat, konnten die Lücken geschlossen werden. Das zeigt, wie wohlmeinende Hacker vorgehen, um das Internet ein bisschen sicherer zu machen.
Die wichtigsten Begriffe beim Hacken
Black Hats: Kriminelle Hacker
Account: Online-Konto
Darknet: Eine Art anonymes Internet
Drive-by-Download: Ein Schadprogramm installiert sich automatisch auf einem Rechner, nachdem eine Homepage angesurft wurde.
EDV: Elektronische Datenverarbeitung
Hacker: Jemand, der ein (Computer-)System verändert.
IP-Adresse: Eine Art Personalausweis für einen Computer.
IT: Informationstechnolgie
Nerd: Computerfreak
Ransomware: Schadprogramme, die automatisiert Rechner angreifen und die darauf befindlichen Daten verschlüsseln. Damit werden Firmen und Verbraucher zu Lösegeldzahlungen genötigt.
Social Engineering: Analoges Ausspionieren von Menschen.
White Hats: Nichtkriminelle Hacker, auch gutwillige Hacker genannt.
Sicherheitslücken bei Lernplattform Mebis: Etwa eine Million Nutzer betroffen
"0x90.space" ist so eine Gruppe wohlmeinender Hacker. Sie geben zum Beispiel Workshops zu Themen der IT-Sicherheit. Den Fehler bei Mebis hat Martin Rey entdeckt. „Ich bin Azubi an der Berufsschule, dementsprechend verwenden wir auch dort Mebis. Und da bin ich zufällig auf die Sicherheitslücke gestoßen“, sagt er. Die Lernplattform Mebis des Bayerischen Kultusministeriums steht allen Schulen im Freistaat zur Online-Lehre und für den Austausch von Lehrern und Schülern zur Verfügung. Die Plattform hat nach eigenen Angaben eine Million Nutzer an rund 5500 Schulen.
Nachdem Rey erste Sicherheitsmängel aufgefallen waren, hat er zunächst andere Mitglieder der Gruppe informiert. „Dann haben wir weiter geschaut und haben noch ein paar Sachen mehr gefunden. Letztendlich habe ich den ersten Teil gesehen und dann wurde im Team gemeinsam nochmal weitergeschaut." Statt diese Lücken auszunutzen, machen sie darauf aufmerksam.
So halfen die Hacker, Sicherheitslücken bei Mebis zu schließen
So ist die Gruppe dabei vorgegangen:
20. Mai: Martin Rey und "0x90.space" melden die Lücken dem Mebis-Support. „Es ist üblich, wenn man Sicherheitslücken findet, dass man sie den Betreibern meldet“, sagt Rey. Die Gruppe handelt dabei nach dem Prinzip der „Responsible Disclosure“. Das besagt, dass man erst das Unternehmen privat kontaktiert und auf die Lücken aufmerksam macht. Die Hacker setzen dann eine Frist, in der das Problem behoben werden sollte. „Und wenn die Lücke geschlossen oder die Frist abgelaufen ist, veröffentlicht man einen Bericht dazu. Um die Öffentlichkeit zu informieren und Transparenz zu schaffen.“ In diesem Fall haben die Hacker eine Frist von 90 Tagen angesetzt. Da in der Corona-Krise viele Schulen auf Mebis setzten, sei es zeitlich besonders kritisch gewesen.
19. August: Die Frist von drei Monaten läuft ab. In der Zwischenzeit hat "0x90.space" das Ministerium und den Metis-Support auf das Ablaufen der Frist aufmerksam gemacht. Die Fehler wurden nicht behoben. "0x90.space" veröffentlicht einen entsprechenden Bericht über die Lücken auf ihrer Seite.
20. August: Der bayerische Landesbeauftragte für Datenschutz bestätigt grundsätzlich die Sicherheitslücken und setzt sich mit den verantwortlichen Stellen umgehend in Verbindung.
21. August: Ein erster Pressebericht taucht auf. Etwa zwei Stunden später wird der erste Fehler behoben.
Hacker Martin Rey sagt: „Wenn der mediale Druck sich langsam aufbaut und die Leute drüber reden, dann gibt es auch einen gewissen Druck, das zu reparieren.“ Der Bayerische Landesbeauftragte für den Datenschutz meldet der Gruppe, dass die XSS-Lücke geschlossen wurde. In den folgenden Tagen werden weitere Mängel behoben.
So schützt man sich vor Hackern
Updaten: Sorgen Sie dafür, dass Ihre Computerprogramme stets auf dem neuesten Stand sind. So werden programmimmanente Sicherheitslücken vom Hersteller geschlossen, sodass Sie besser gegen automatisierte Angriffe geschützt sind.
Nachdenken: Schalten Sie Ihren Verstand ein. Überlegen Sie, welche Apps sie wo kaufen und ob der Anbieter vertrauenswürdig ist. Klicken Sie nicht einfach Anhänge in Mails oder Links an. Geben Sie per Mail niemals Passwörter heraus.
Passwort: Verwenden Sie sichere Passwörter (Kombination aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen) und niemals dasselbe Passwort für verschiedene Accounts. Das senkt das Risiko für einen automatisierten Angriff. Schreiben Sie Passwörter nicht auf.
WLAN: Schicken Sie keine vertraulichen Daten über öffentliche, ungesicherte WLAN-Zugänge. Im WLAN-Modus ist ein Handy einfacher zu hacken.
Sichern: Wichtige Daten auf externen Festplatten sichern, die von einem Ransomware-Angriff, der Festplatten verschlüsselt, nicht tangiert sind. So sparen Sie sich eine womöglich drohende Lösegeldzahlung.
Inzwischen sind die Lücken, die "0x90.space" entdeckt hat, geschlossen. Dass das erst auf öffentlichen Druck hin passiert ist und nicht auf die erste Meldung der Hacker, stört die Gruppe. Martin Rey ist aber auch froh, dass die Verantwortlichen auf den Ratschlag eingegangen sind: „Ich bin dankbar, dass sie das so offen angenommen haben und akzeptiert haben, dass wir das aus gutem Willen gemacht haben. Das ist nicht selbstverständlich.“
Lesen Sie dazu auch:
- Mit diesen Maschen nutzen Betrüger die Corona-Krise aus
- Nach Twitter-Hack: 17-Jähriger in den USA festgenommen
- 8 Tipps damit Kinder im Internet sicher sind
Wir wollen wissen, was Sie denken: Die Augsburger Allgemeine arbeitet daher mit dem Meinungsforschungsinstitut Civey zusammen. Was es mit den repräsentativen Umfragen auf sich hat und warum Sie sich registrieren sollten, lesen Sie hier.