Am Montag, den 23. Januar 2012, besuchte uns Herr Rubenschuh von der Abteilung „IT-Security & Compliance“ der Deutschen Post im Informatik-Unterricht.

Im Informatik-Grundkurs von Herrn van den Boom hatten wir uns im Vorfeld mit den Themen „SQL“ und „Datenbanken“ auseinander gesetzt. Von daher wussten wir, wie man mit „SQL“, Informationen aus verschiedenen Datenbanken abrufen kann. Wir waren sehr interessiert, dies auch auf den Bereich „IT-Security“ anzuwenden.

Nach einer kurzen persönlichen Vorstellung, berichtete Herr Rubenschuh zunächst äußerst informativ über die Themenfelder der IT-Sicherheit der Deutschen Post im Unternehmensbereich BRIEF.

Er erzählte uns von der Vielzahl der täglichen Angriffe auf die Firewalls und von den Einschätzungen hinsichtlich deren Gefährlichkeit. Dabei wurde uns klar, dass zwischen vielen leicht abwehrbaren Angriffen auch wenige wirklich gefährliche sein können.

Im zweiten Teil seines Vortrags informierte er uns über die verschiedenen Bereiche, die in der „IT-Security“ zusammenwirken.

Einer der drei Teilbereiche sind die Menschen. Zu diesem Bereich zählen die Hacker. Hacker versuchen, „Löcher“ oder offene „Türen“ bei der Sicherheit der Internetangebote zu finden, um z.B. an Kundendaten oder andere vertrauliche Daten zu kommen.

Ein zweiter Teilbereich sind die Prozesse. Hierzu zählen die verschiedenen Prozesse, die sich um eine ausreichende Sicherheit bemühen.

Der letzte Teilbereich ist die Technik. Dieser beschäftigt sich insbesondere mit Viren, Trojanern und anderen Angriffsmethoden auf die „IT-Sicherheit“.

Herr Rubenschuh verdeutlichte uns diese drei Bereiche an verschiedenen Beispielen.

Dazu erstellte er eine „fake“ (=falsche) DHL-Seite. In diese Seite baute er verschiedene Sicherheitslücken ein.

Das erste Beispiel bezog sich auf „SQL“. Mit einem einfachen Befehl, spuckte die „fake“ DHL-Seite alle vertraulichen Kundendaten aus ihrer Datenbank aus. Dieses Beispiel bezog sich auf den Teilbereich „Mensch“. Ein Hacker würde die Kundendaten nutzen, um beispielsweise an vertrauliche Bankdaten heranzukommen. Durch so eine Sicherheitslücke entstünden dem Unternehmen Geld- und Ansehensverluste.

Das zweite Beispiel bezog sich auf die Technik. Herr Rubenschuh demonstrierte an seinem Laptop, wie dieser zu einem „Zombie“ gemacht werden kann. Dies bedeutet, dass der Computer über eine Hackerplattform gesteuert und bedient werden kann. So kann eine unauffällige E-Mail einen zu bestätigenden Link beinhalten, der in Wahrheit einen unsichtbaren Virus enthält und den PC dadurch „vergiftet“. Ein echter Hacker könnte so einen PC nun aus der Ferne steuern, zerstören oder alle vertraulichen Daten für seine Zwecke nutzen.

Das letzte Beispiel war zum Thema „Betrug“. Herr Rubenschuh zeigte uns, wie man durch die Änderung von Parametern von einem Webshop Geld bekommt anstatt zu zahlen.

Durch einen Fehler auf der „fake“ DHL Seite konnte Herr Rubenschuh die Preise so ändern, dass kein Geld gezahlt werden musste, sondern welches zurück kam. Durch eine kleine Parameteränderung im URL (Adressierung bzw. Lokalisierung einer Internetdomain im Netz) setzte er den zu bezahlenden Betrag einfach ins Minus. Wäre dies ein echtes Internet-Angebot gewesen, wären die Kosten nun nicht mehr bei uns, sondern auf  Seiten der Deutschen Post angefallen.

Insgesamt war der Vortag von Herrn Rubenschuh sehr interessant, lebendig und lehrreich, so dass wir die verschiedenen Hackerangriffe gut nachvollziehen konnten. Zum Nachmachen bei echten Internetangeboten sind sie trotzdem nicht zu empfehlen, da wir auch sehen konnten,  mit welchen spezialisierten Werkzeugen die Post solche illegalen Angriffe aufdecken und zurückverfolgen kann. Da die Internetangebote von Unternehmen heute ein fester Bestandteil des Geschäftsmodells sind, ist es verständlich, dass echte Angriffe als Bedrohung gesehen werden. Auch, wenn es verlockend erscheint aus dubiosen Quellen erhaltene „Hacker-Tools“ selbst zu testen oder eigene Angriffsversuche zu starten, wäre es falsch dies bei Unternehmen zu versuchen. Dafür eignen sich Testsysteme besser bei denen kein Schaden für andere entstehen kann.

[Celina Illies, Informatik Grundkurs Q1/12]


Neuigkeiten

Go to top