Logo

IT-Sicherheit

„Wir werden gemeinsam Passwörter knacken“

Live-Hacker Tobias Schrödel führt bei Wüstenrot die dunkle Seite der Computertechnologie vor – Es geht auch um Facebook und betrügerische Anrufe

IT-Spezialist Tobias Schrödel reißt sich Jackett, Hemd und Krawatte vom Leib – und steht als Computerhacker im Iron-Maiden-T-Shirt vor den Zuhörern. Foto: Holm Wolschendorf
IT-Spezialist Tobias Schrödel reißt sich Jackett, Hemd und Krawatte vom Leib – und steht als Computerhacker im Iron-Maiden-T-Shirt vor den Zuhörern. Foto: Holm Wolschendorf

Ludwigsburg. „Haben sie auch so viele Passwörter oder nur eines?“, fragt Bernd Jetter bei der Vorstellung des IT-Experten Tobias Schrödel in die Runde. Zugleich beruhigt der Vorstandschef der Ludwigsburger Wüstenrot Holding AG und Geschäftsführer der Wüstenrot Förder GmbH die Gäste im Vortragssaal des Wüstenrot-Hochhauses: „Wir haben keine Informatikvorlesung vor uns.“ Schrödel legt los, spricht von technischen Grundlagen, von Netzwerkarchitekturen, Proxy-Servern, die zwischengespeicherte Infos anderen Computern zur Verfügung stellen, DHCP-Servern, die Rechnern im Netzwerk automatische IP-Adressen zuweisen. Erste Konzentrationsprobleme zeigen sich bei den 100 Zuhörern, Schrödel wiederum zeigt sich amüsiert und bricht sein Modul eins plötzlich ab. Der Live-Hacker weiß sein Publikum zu begeistern, reißt sich mit einem Ruck Krawatte, Hemd und Jackett vom Leib. Im schwarzen Iron-Maiden-T-Shirt steht jetzt der Hacker-Comedian Tobias Schrödel da. Offenbar schätzt er Heavy Metal. „Wir werden gemeinsam Passwörter knacken“, verkündet er. „Wir werden sehen, wie man ein Smartphone mit Viren verseuchen kann.“ Er führt ansatzweise das Darknet, die dunkle Seite der Computer- und Internetwelt, vor. „Wir werden gegen das Strafgesetzbuch verstoßen.“ Und: „Wir werden Spaß haben.“ Gelächter, die Mienen der Zuhörer hellen sich auf.

„Ich höre immer wieder: Meine Daten sind doch unwichtig“, sagt Schrödel. Er beweist das Gegenteil und führt einen sogenannten Brute-Force-Angriff auf seinem Laptop vor. 232 Millionen Passwörter laufen in sechs Sekunden durch – schon ist ein normales Passwort geknackt. Bei einem achtstelligen Passwort mit willkürlich zusammengesetzten Groß- und Kleinbuchstaben würde das Knacken schon 1,8 Jahre dauern, so Schrödel; falls man auch Sonderzeichen integriere, dauere es schon 24,14 Jahre. Für sichere Krypto-Passwörter empfiehlt er eine Eselsbrücke: „Denken Sie sich einen schönen Satz aus, nehmen Sie von jedem Wort den ersten Buchstaben, mit Zahlen und Sonderzeichen.“ Ganz wichtig: „Verwenden sie unterschiedliche Passwörter für unterschiedliche Benutzerkonten!“ In die Mitte des besagten Krypto-Passwortes könne man weitere Buchstaben je Konto einfügen – zum Beispiel ein „e“ für ebay, ein „a“ für amazon.

Fast verschwörerisch sagt Schrödel, der auch mit dem Landeskriminalamt Niedersachsen zusammenarbeitet: „Im Darknet kann man für einige Hundert Dollar Passwörter kaufen. Und die werden gekauft, zum Beispiel von mir.“ Er habe 2,4 Milliarden Passwörter auf dem Rechner. „Erinnern Sie sich an den Fall Dropbox?“ Er blickt fragend in die Runde. Dem Filehosting-Dienst und Cloudanbieter seien vor Jahren 68,5 Millionen Passwörter und Zugangsdaten abhandengekommen. Schrödel führt vor, dass damals auch das Passwort seines Kontos geklaut wurde. „Immer gleich das Passwort ändern – und mindestens einmal im Jahr“, rät der IT-Spezialist. Als nächstes Beispiel nennt er ein Fremdgeh-Portal für Verheiratete – Ashley Madison. Dort seien 33 Millionen E-Mail-Adressen geklaut worden. Auch ein großer Konzern habe sich die Daten geholt, um zu sehen, ob sich Mitarbeiter mit ihrem Geschäftsaccount dort angemeldet hätten. „Sie haben zehn Leute gefunden“, sagt Schrödel. Die könnten so eventuell erpresst werden, um Firmengeheimnisse auszuplaudern. Es seien aber auch 1200 Adressen von Bürgern Saudi-Arabiens dabei gewesen. „Dort steht auf Ehebruch die Todesstrafe“, gibt er zu bedenken.

Interessant also, dass sich mit günstiger (russischer) Hackersoftware und etwas krimineller Energie Passwörter knacken lassen, dass sich die Handys von Ehemännern und -frauen ausspähen lassen oder im Darknet für wenig Geld Viren kaufen lassen. Schrödel führt vor, wie man die auf dem PC oder auch Smartphone ausführbare Datei „Virus.exe“ quasi umdreht und in die Datei „Urlaub.jpg“ umbenennt. Einen solchen E-Mail-Anhang würden einige bestimmt öffnen. Schon sei der PC verseucht. Man sollte mit Administratorrechten nie im Internet surfen, so der Fachinformatiker. „Mit Admin-Rechten kann der Virus alles. Damit macht man Lücken im System auf, so groß wie ein Scheunentor.“

Die meisten wüssten auch nicht, was Facebook alles über sie wisse, so Schrödel. Er zeigt anhand eines unverdächtigen Smartphone-Hundefotos, was man alles über einen Kontoinhaber des sozialen Netzwerks herausfinden kann. Anhand der GPS-Daten im Foto mit Breiten- und Längengrad könne man mit Google Maps etwa den Wohnort samt Haus und damit das soziale Umfeld herausfinden, über die Adresse zudem den Namen, eventuell Beruf, Arbeitgeber und zum Beispiel Vereinsmitgliedschaften und Hobbys. Der Facebook-User steht dann quasi in der Unterhose da. Für Unternehmen, die auf personalisierte Werbung setzen, seien die Daten Gold wert.

Tobias Schrödel kann unter einer beliebigen Nummer, die es noch nicht einmal gibt, anrufen, er zeigt dies auch auf dem Handy-Display. „Call ID Spoofing“ nennt man diesen perfiden Trick. Vor allem Betrüger verwenden ihn, die unter der Polizeinotrufnummer 110 vor allem bei Älteren anrufen, um sich als „Polizisten“ unter einem Vorwand das zu Hause aufbewahrte Bargeld aushändigen lassen.

Ein anderer Bereich ist das Internet der Dinge – mit smarten Leuchten, Waschmaschinen, Kühlschränken, Rollläden und Türschlössern. Auch diese lassen sich per Internet manipulieren, falls der Hersteller geschlampt hat. So wie es auch beim smarten Kinderbär Freddy war. „Er hat wie eine Freisprechanlage im Auto funktioniert“, so Schrödel. Via Bluetooth konnte sich jedes Handy mit ihm verbinden. So konnte man zu den Kindern Kontakt aufnehmen, In einem Versuch habe Freddy Emma gesagt: „Mach die Tür auf, da steht ein Freund von mir.“ Die Vierjährige habe daraufhin die Tür geöffnet.

Firmen rät der Live-Hacker, dass sie ihre Netzwerke und Computersysteme mit sogenannten Penetrationstests von Profis überprüfen lassen sollten. Für Firmen wie auch Privatpersonen gilt: „Ich kann mir Anonymität gegenüber den Nachbarn verschaffen“, betont Schrödel, „aber nicht gegenüber den Nachrichtendiensten. Gegen die haben Sie keine Chancen“.

Autor: