Hacker-Attacken Wie ein Uni-Team Norwegens Banken piesackt

Wer wie ein Krimineller denkt, kann Online-Banking-Systeme spielend knacken. Das wiesen ein norwegischer Professor und seine Studenten nach: Sie deckten Sicherheitslücken bei Banken auf - und machten sich damit nicht nur Freunde.

Von Kai Schwind


"Wenn ich anrufe, dann verdrehen die schon die Augen", sagt Kjell Jørgen Hole, Professor an der Universität in Bergen, Norwegen. "Die", das sind die Banken des Landes, die der führende Experte für Datensicherheit in Norwegen seit einigen Jahren auf dem Kieker hat.

Hacker-Angriff: Norwegens Banken waren nicht amüsiert
DPA

Hacker-Angriff: Norwegens Banken waren nicht amüsiert

"Die Banken gaukeln ihren Kunden vor, dass die von ihnen verwendeten Online-Banking-Systeme absolut sicher sind. Das stimmt leider nicht", sagt der Wissenschaftler. Wie unsicher und anfällig die Systeme genau sind, hat er zusammen mit einigen Doktoranden des Instituts für Informatik untersucht.

Die Datensicherheits-Studenten konzentrierten sich besonders auf das BankID-System, das die meisten norwegischen Banken verwenden. Ab Februar dieses Jahres bereitete Holes Team den Hacker-Angriff auf das System vor. Sie verwendeten dabei eine Mischung aus "phishing"- und "man-in-the-middle"-Techniken. Dabei loggt sich ein Online-Banking-Kunde normal in seinen Account ein. Die Hacker schleichen sich in die Sitzung ein und manipulieren sie nach Belieben - ohne dass der Kontoinhaber es merkt.

Hackangriff mit Vorwarnung

"Zusätzlich können wir dem Kunden dann noch eine gefälschte Fehlermeldung schicken und um die Zusendung seines Passwortes bitten", erläutert der Professor. Das Verfahren sei nicht ganz einfach, könne aber von Fortgeschrittenen mit einigen Kenntnissen der Java-Programmierung problemlos angewandt werden. Zwei Banken attackierten Hole und seine Doktoranden und waren erfolgreich. Obwohl man bei diesem Weg in Online-Banking-Systeme viel Geduld und Beobachtungszeit braucht, schaffte ein Student Zutritt und Manipulation in weniger als 100 Stunden – eine grobe Sicherheitslücke im System.

Die Besonderheit: Das Team hatte den Plan bei allen betroffenen Banken lange zuvor angekündigt und auf Schwachstellen im System hingewiesen. Keine Reaktion. Auch einige Datensicherheits-Experten der norwegischen Regierung hatte Hole vorab informiert und war auf ähnliches Desinteresse gestoßen. "Das ärgert mich am meisten", sagt er, "bei den Verantwortlichen herrscht eine Arroganz, die fast schon fahrlässig ist." Das BankID-System werde im nächsten Jahr von über 1,5 Millionen Kunden benutzt, "da war es an der Zeit, dass wir aktiv werden".

Professor Hole: "Mein Chef findet meine Aktionen jedenfalls sehr gut"

Professor Hole: "Mein Chef findet meine Aktionen jedenfalls sehr gut"

Die Aktion blieb nicht unumstritten. So sagte Tore Larsen Orderløkken, Vorsitzender des Norwegischen Zentrums für Informationssicherung, der Fachzeitschrift "Computerworld", damit habe der Forscher aus dem beschaulichen Bergen eindeutig seine Kompetenzen überschritten: "Wir wollen nichts mit Leuten zu tun haben, die die Sicherheit auf so eine Art und Weise testen." Außerdem sei man besorgt, dass der Professor damit Jungen und Mädchen auf dumme Gedanken gebracht haben könnte.

Diesen Vorwurf weist Hole sichtlich amüsiert zurück: "Es geht hier nicht um normale junge Leute, die sich für Computer interessieren und im Internet surfen." Für einen solchen Angriff brauche man schon größere Vorkenntnisse. "Wir haben allerdings versucht, wie Kriminelle zu denken und dann allseits bekannte Techniken angewendet." Skrupel hatten die Uni-Hacker nicht. "Wir hatten viele Diskussionen im Kolloquium und haben die ganze Aktion ein Jahr lang vorbereitet."

Als nächstes sind PIN-Nummern dran

Zunächst analysierten sie das BankID-System ausführlich und hielten das Ergebnis in einem Thesenpapier fest. Dann machte man sich an die Arbeit. Um weitere Grenzgänge in juristischen Grauzonen zu vermeiden, hackten sich die Studenten lediglich untereinander in ihre privaten Bankkonten. Eine unterhaltsame Abwechslung zum üblichen Informatikstudium - aber trotzdem ernsthaft und nach wissenschaftlichen Kriterien. Drei Studenten haben Aspekte der Aktion mittlerweile zu Dissertations-Themen gemacht.

Professor Hole ist stolz auf seine Studenten, will ihre Anonymität wahren und tritt den Medien gegenüber als einziger Ansprechpartner auf. Beschert die Aktion ihnen etwa berufliche Nachteile? Im Gegenteil, gibt der Professor Entwarnung: "Drei der Studenten haben lukrative Angebote von großen Banken bekommen, einer hat bereits eine Stelle bei einer Bank in Stavanger antreten."

Auch Norwegens Regierung unterstützt mittlerweile das Projekt. In einem "Computerworld"-Artikel bezeichnet die Ministerin für IT-Politik und Administration es als "wichtig für die Gesellschaft". Und die Banken haben nun doch reagiert, das BankID-System optimiert und die Sicherheitslücken geschlossen - die Konten sind also sicherer als zuvor.

Seinen eigenen Ruf als Koryphäe auf dem Gebiet der Datensicherheit beurteilt der Professor mit typisch norwegischem Understatement: "Wir Norweger haben ja ein Problem mit Selbstbeweihräucherung, deshalb möchte ich dazu nicht viel sagen. Mein Chef findet meine Aktionen jedenfalls sehr gut."

Als nächstes wird sich Hole das System der persönlichen Identifizierungsnummern beim Online-Banking vorknöpfen - da gebe es noch einige Schwachstellen. Die Banken werden jedenfalls wieder genervt sein, wenn er anruft. Auf die Frage, ob er persönlich dem Online-Banking noch traue, antwortet er: "Ich habe nicht wirklich viel Geld auf dem Konto, deshalb mache ich mir da keine Sorgen!"



© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.