Loading

Das Experiment: Hacker-Angriff auf Unternehmen FH-Studierende dringen in Datennetze ein

Breaking News

Soeben wurde bekannt, dass Hacker planen, ins Datennetz der SOPTIM AG einzudringen. Dr. Heiner Halbach aus dem Soptim-Vorstand zeigt sich empört über diese Ankündigung, kündigt aber Gegenmaßnahmen an:

„Jedes über das Internet angebundene Device kann potentiell gehackt werden. Es kommt darauf an, mit dieser Tatsache zu rechnen und umgehen zu können.“

Die Mission

Angriffe auf IT-Systeme sind keine Fantasien von Science-Fiction-Romanautoren, sondern passieren hier und jetzt in unserer Gesellschaft. Das oben beschriebene Szenario ist zwar fiktiv, wird nun aber zu Demonstrationszwecken realisiert: Um auf das Thema Cyber-Sicherheit hinzuweisen, soll ein studentisches Team der FH Aachen ein Unternehmen angreifen und einen Blackout verursachen - natürlich in Absprache mit dem "Opfer".

Die FH-Studierenden lernen, wie sie IT-Systeme sicherer machen können. Jetzt schlüpfen sie selbst in die Rolle der Hacker.

Das konkrete Ziel: die Manipulation der Haussteuerung des Unternehmens. Über die Haussteuerung können Licht, Heizung, Schließ- und Alarmanlage eines Firmengebäudes gesteuert werden, und genau deshalb ist sie als Ziel für Angriffe interessant.

Die Firma SOPTIM AG hat sich als Angriffsziel zur Verfügung gestellt. Besondere Herausforderung für das Team: Die Haustechnik hängt nicht im Firmennetz, sondern ist isoliert. Der Auftrag: Findet einen Weg, das System trotzdem zu hacken! Das Vorgehen wird in den kommenden Wochen hier im Blog dokumentiert.

[ES FOLGEN DIE AKTUELLSTEN BLOG-EINTRÄGE]

Blog-Eintrag der Hacker*innen vom 12. Oktober 2017

Phase 1: Information Gathering

Phase 1 läuft. Wir kennen die Zielpersonen, und unser Ziel ist es jetzt, möglichst viele Informationen über sie und das Unternehmen zu bekommen.

Der erste Schritt: so viele Informationen über die Zielpersonen und das Unternehmen sammeln wie möglich!

In der letzten Woche haben wir die privaten Adressen und Telefonnummern der Zielpersonen herausgefunden. Außerdem haben wir Informationen über ihre Hobbys, Trainingszeiten und ihre Familien gesammelt. Wir wissen auch, an welchen Aktionen die Zielpersonen teilnehmen. Das erlaubt uns, auf bestimmte Verhaltensweisen zu schließen. Die Informationen benutzen wir, um mögliche Angriffspunkte zu analysieren und Angriffsstrategien zu entwickeln. Wir erstellen Schad-Mails, die auf die Zielpersonen zugeschnitten sind. Das erhöht die Wahrscheinlichkeit, dass sie die Mails öffnen und wir somit die Möglichkeit bekommen, auf das System zuzugreifen und es zu manipulieren...

Blog-Eintrag der SOPTIM AG vom 5. Oktober 2017

„… Wie verbreitet man die Nachricht, dass ein Computersystem ein Loch hat? Manche sagen gar nicht, weil sie fürchten, wenn man den Leuten sagt, wie man Sprengstoff herstellt, basteln sie Bomben. …“ Clifford Stoll, 1989 im Nachwort zu seinem Buch „Kuckucksei“.

Im Buch "Kuckucksei beschreibt Stoll, wie Hacker in das Datennetz des Pentagon eingedrungen sind und wie er anhand eines Abrechnungsfehlers von 75 Cent für in Anspruch genommene, aber nicht bezahlte Rechenzeit auf deren Spur stieß. Inzwischen sind 28 Jahre vergangen, und wir haben uns daran gewöhnt, dass regelmäßig Sicherheitsupdates für Betriebssysteme und Anwendungs¬programme veröffentlicht werden, um neue Löcher zu schließen. Das macht deutlich, dass das Thema Datensicherheit nach wie vor aktuell ist und die Einbrecher ihren Verfolgern regelmäßig um eine Nasenlänge voraus sind.

Nun ist die SOPTIM AG als Angriffsziel nicht mit dem Pentagon zu vergleichen, und wir stehen auch keiner weltweit organisierten Community gegenüber. Darüber hinaus geht es im Rahmen von Blackout@fh_aachen nicht darum, Informationen zu stehlen oder andere kriminelle Aktionen durchzuführen, sondern um die Möglichkeit, gezielt Haustechnik zu manipulieren und zu zeigen, dass dies mit relativ einfachen Mitteln machbar sein könnte.

Die SOPTIM AG hat sich als Angriffsziel für studentische Hacker zur Verfügung gestellt, um auf das Thema Datensicherheit aufmerksam zu machen.

Wie bedenklich ist das eigentlich, wenn allerorten Smart-Home-Lösungen propagiert und in Betrieb genommen werden? Welche Mechanismen entwickeln wir, um möglichst schnell festzustellen, dass die Technik manipuliert wird? – Zugegeben: Jeder Einzelne stellt vermutlich kein lohnendes Ziel für einen Angreifer dar, aber wenn gleichzeitig eine große Zahl von Einzelsystemen betroffen sein sollte…

Unser Leben wird smart - aber wie sicher ist das?
„Awareness“ heißt das Stichwort, unter dem dieser Blog steht – Wir wollen herausfinden ob wir bereit sind, dem Risiko von Eindringlingen in unser Netzwerk mit geeigneten Gegenmaßnahmen zu begegnen, wenn wir schon nicht in der Lage sein sollten, den Angriff von vornherein zu verhindern.

Wir werden in den nächsten Tagen und Wochen über das, was geschieht, berichten und sind gespannt, welche Wege das studentische Team wählen wird, um am Ende unsere Haustechnik zu steuern und welche Erkenntnisse wir gemeinsam aus diesem Projekt gewinnen werden.

Hintergrundinfos Vol I: Die Vorgeschichte

Gewonnen!!! Hallte es im Februar 2017 durch die Hallen der FH Aachen. Die Hochschule hatte sich erfolgreich für die Aktion "Eine Uni - ein Buch" von der Klaus Tschira Stiftung und der Wochenzeitung DIE ZEIT beworben. Mit "Eine Uni – ein Buch" haben die Initiatoren deutsche Hochschulen dazu aufgerufen, sich für ein Buch zu entscheiden, das ein Semester lang Grundlage für Aktionen und Events ist. Das Ziel: möglichst viele Mitglieder der Hochschule über alle Hierarchiegrenzen hinweg ins Gespräch bringen und sie für ein gemeinsames Thema begeistern.

Das Bewerbungsvideo der FH Aachen:

Die FH Aachen hatte sich für „Blackout – Morgen ist es zu spät“ von Marc Elsberg entschieden und lud Hochschul-Angehörige, Unternehmen, Journalisten und alle Aachener ein:

"Lesen Sie diesen spannenden Techno-Thriller, und verfolgen Sie die katastrophalen Auswirkungen eines großflächigen, von Hackern verursachten Stromausfalls in Europa. Kommen Sie zu unseren Veranstaltungen, und tauchen Sie ein in Themen wie Energie und IT-Sicherheit. Highlight der Veranstaltungsreihe wird übrigens ein Hackerangriff auf die Stromversorgung eines Unternehmens in Aachen sein…"

Hintergrundinfos Vol II: Die Protagonisten des Hackerangriffs

Das Unternehmen: SOPTIM AG

"Energie ist unsere Leidenschaft! Mit dem Fokus „Digitalisierung“ entwickeln wir gemeinsam mit unseren Kunden innovative IT- Lösungen für die Zukunft – partnerschaftlich und von „Mensch-zu-Mensch“. Für uns ist Digitalisierung deutlich mehr als nur Technologie und deren Einsatz, denn wir halten das richtige Zusammenspiel von Business, Technologie und Kultur als essentiell für den Erfolg."
"SOPTIM ist Partner für innovative IT-Lösungen und Dienstleistungen in der Energiewirtschaft. Wir interpretieren uns als „Digital Transformer“, der seinen Kunden neue Geschäftsmodelle ermöglicht und somit entscheidende Wettbewerbsvorteile verschafft. Seit der Firmengründung 1971 ist SOPTIM in Aachen ansässig. 1991 wurde die Niederlassung Essen gegründet."

Die Hochschule: FH Aachen - University of Applied Sciences

Mit über 13.500 Studierenden, jährlich fast 2000 Absolventinnen und Absolventen, zehn Fachbereichen, über 70 Studiengängen, neun In- und drei An-Instituten sowie vier Kompetenzplattformen gehört die FH Aachen mit den beiden Standorten Aachen und Jülich zu den größten und wichtigsten Fachhochschulen Deutschlands.

Am Fachbereich Elektrotechnik und Informationstechnik lehrt Prof. Dr. Marko Schuba IT-Sicherheit und IT-Forensik mit dem Ziel, Unternehmen und Organisationen widerstandsfähiger gegen Cyberangriffe zu machen. Dazu bildet er auch sogenannte "ethische Hacker" aus, also Cybersicherheits-Experten, die genau wissen, wie die Angriffe von Cyberkriminellen funktionieren und deshalb in der Lage sind, geeignete Schutzmaßnahmen zu ergreifen. Dieses Wissen ist heißbegehrt und hilft Strafverfolgungsbehörden, Banken, Unternehmen und anderen Einrichtungen, ihre IT-Systeme sicherer zu machen. Im Rahmen ihres Bachelorstudiums können Informatik-Studierende an der FH Aachen nicht nur "ethische Hacker" werden, sondern IT-Sicherheit als ganzen Studien-Schwerpunkt wählen.

Credits:

Created with images by Free For Commercial Use (FFC) - "Hacker" • geralt - "hacker attack mask" • HypnoArt - "hacker cyber crime banner"; Gruppenfotos Hacker: FH Aachen/ René Heß; Fotos SOPTIM AG: SOPTIM AG

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a Copyright Violation, please follow Section 17 in the Terms of Use.