DeepSec: IT-Sicherheit bei Online-Banking und Automobilen unzureichend
Unternehmen stellen sich nur widerwillig der Herausforderung
Wien (pts005/25.11.2011/08:05) Cyberangriffe, Verschlüsselungstechniken von Terroristen sowie Hacking von Autos, Online-Bankkonten und mobilen Endgeräten waren die Hauptthemen der fünften internationalen Sicherheitskonferenz DeepSec, die vom 15. bis 18. November 2011 in Wien stattfand. Mehr als 160 Teilnehmer aus den Bereichen Network-Security und Hacking diskutierten mit 40 hochkarätigen Referenten über neue Spionagegefahren und geeignete Abwehrstrategien und tauschten Wissen in 33 Vorträgen und vier mehrtägigen Workshops aus.
"Die diesjährige DeepSec war ein voller Erfolg, brandaktuelle Erkenntnisse, die den Großteil der Bevölkerung betreffen, konnten vermittelt und diskutiert werden", freut sich René Pfeiffer, Organisator der DeepSec. "Während bei Politik und Militär die Bedeutung der IT-Sicherheit und IT-Spionage stark zugenommen hat - etwa bei der Militärdoktrin für konventionelle Gegenschläge und den Einzug von Trojanern bei den Ermittlungsbehörden - tun sich Unternehmen wie Banken oder Automobilhersteller nach wie vor schwer mit dem Thema IT-Sicherheit. Statt der Leistungen anbietender Unternehmen muss sich der Nutzer selbst beim täglichen Einsatz der IT um die Sicherheit seiner Daten kümmern, egal ob er Online-Banking macht oder nur surft. Viele Unternehmen werden so ihrer Verantwortung gegenüber ihren Kunden nicht gerecht", meint Pfeiffer.
"Basierend auf dem guten und detaillierten Feedback von Teilnehmern und Referenten beginnen wir in Kürze mit der Planung der nächsten DeepSec-Sicherheitskonferenz 2012", kündigt Pfeiffer an. Das Ziel der jährlichen, internationalen Sicherheitskonferenz DeepSec ist es, als neutrale Plattform den Gedanken- und Erfahrungsaustausch zwischen IT- und Security-Unternehmen, Anwendern, Hacker-Communities, Behördenvertretern und Forschern zu fördern.
Highlights: Verschlüsselungstechniken von Terroristen, Sicherheitslücken beim Online-Banking und Hacking von Autos
Starkes Interesse der DeepSec-Teilnehmer erregte der Keynote-Vortrag "How Terrorists Encrypt" des investigativen Journalisten und Computer-Forensikers Duncan Campbell. Er kam zu dem Schluss, dass moderne Terroristen nach 9/11 herkömmliche Kanäle wie E-Mail über öffentliche Provider zur Kommunikation nutzen - meist ohne besondere Verschlüsselungstechniken. Techniken wie PGP oder Truecrypt kommen nur sporadisch zum Einsatz. Generell misstrauen Terroristen den Techniken und setzen auf eigene, sehr unzureichende Lösungen der Kryptografie.
"Das bedeutet aber nicht, dass trotz dieses Defizits keine Gefahr von ihnen ausgeht. Sollte das von Hackern angegriffene US-Wasserkraftwerk tatsächlich nur ein Passwort aus drei Stellen gehabt haben, so ist das selbst für nichtverschlüsselnde Terroristen ein leichtes Ziel", folgert Sicherheitsexperte Pfeiffer.
Penetration-Tester Mitja Kolsek zeigte in seinem Vortrag "How To Rob An Online Bank And Get Away With It" Sicherheitslücken im Online-Banking. Durch Manipulationen lässt sich Geld aus dem Nichts erzeugen. Durch Rundungsfehler können ebenfalls Beträge generiert oder negative Beträge "verschenkt" werden. Ebenso sind Zugriffe auf die Accounts anderer Bankkunden über eine einfache URL-Manipulation möglich - Lücken, die einige Banken in Europa nicht immer geschlossen haben. Hier ist das Ziel der Hacker das Geld der Bankkunden, nicht ihre Daten.
Auch unsere Autos sind nicht sicher - dies ist eine weitere Erkenntnis der DeepSec. Durch ihre Technologie, die moderne Auto-Sensoren mit den internen Diagnosesystemen, Bremsen, Amaturenanzeigen, Lichtanlage, Motor und Navigation verbindet, werden sie mehr zu einem Computer als zu einem reinen Fahrzeug. Im Vortrag "Patching Vehicle Insecurity" gingen Constantinos Patsakis und Kleanthis Dellios von der Universität Piraeus auf die Gefahren ein, die modernen Automobilen durch Hacker drohen. "Die Automobilindustrie muss zügig handeln und die bekannten und nachgewiesenen Schwachstellen schnell und zielgerichtet beheben. Wer will schon Autos fahren, deren Bremsen gezielt blockiert oder Anzeigen durch Angreifer mutwillig manipuliert werden können?", fragt DeepSec-Organisator Pfeiffer.
Sicherheit ist unternehmenskritisch
Alle diese Beispiele zeigen: Die Teilnehmer der DeepSec machen gravierende Probleme der mangelhaften IT-Sicherheit auf Unternehmensebene aus. Damit sind direkt auch die deren Kunden betroffen. Pfeiffer kommentiert: "Während wir letztes Jahr die proaktive IT-Sicherheit in Deutschland und auch auf internationalen Unternehmensebenen angemahnt haben, möchten wir heute auf die oft mangelhaften Sicherheitsvorkehrungen im Sinne der Endkonsumenten verweisen. Allerdings gilt hier offenbar Sicherheit auch als ein schwer zu verkaufendes und zu vermittelndes Gut. Sichere Endgeräte zum Beispiel werden vom Kunden nicht nachgefragt; hier zählen hingegen nach wie vor Features und Leistung - bis das böse Erwachen kommt. Allein aus den eigenen Unternehmensinteressen darf die Sicherheit nicht vernachlässigt werden - der Imageschaden ist heute einfach zu hoch."
Gedankenaustausch von Experten und Aufklärungsarbeit weiterhin notwendig
Die DeepSec bringt als neutrale Plattform Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Die Konferenz will aber auch dem verbreiteten Vorurteil entgegenwirken, dass Hacker zwangsläufig Kriminelle sind. "Ganz im Gegenteil. Vielen sogenannten Hackern geht es eher darum, Sicherheitslücken aufzuzeigen und bekannt zu machen. Man kann nur Gefahren beseitigen, die man kennt und die erforscht sind, ganz so wie in anderen Bereichen", so Pfeiffer. Zu den Sponsoren der DeepSec 2011 gehören Google, Microsoft, McAfee, Research in Motion (RIM), SEC Consult und die Fachhochschule Hagenberg.
Das Programm der DeepSec 2011 finden Sie hier: http://deepsec.net/schedule.html
Weitere Informationen zur DeepSec: http://deepsec.net/
Besuchen Sie auch den DeepSec Blog: http://blog.deepsec.net/
| Aussender: | wildcard communications |
| Ansprechpartner: | Carsten Otte |
| Tel.: | +49 - (0) 2151 - 65 35 444 |
| E-Mail: | deepsec@wildcard-communications.de |
| Website: | deepsec.net/ |
