Cyberkriminalität funktioniert auch im Laden: Die vernetzten Geräte im stationären Handel erweisen sich als Fundgrube für Angreifer. Ein Besuch bei einem "weißen Hacker".
Wer das für ein Hollywood-Szenario hält, der irrt. "Das ist für Hacker kein Problem, denn viele Unternehmen, die Videokameras im Außen- und Innenbereich installieren, kümmern sich kaum um deren Schutz", sagt Thomas Haase, Sicherheitsexperte bei T-Systems Multimedia Solutions am Standort Dresden. Und demonstriert auch gleich, wie leicht man an eine so genannte IP-Adresse einer Überwachungskamera kommt, die Nummer, über die die Geräte am das Netz angebunden werden und erreichbar sind.
Kunden im Laden sind gut zu erkennen
Haase hat keine Mühe, im Internet die Daten von Überwachungskameras in einem Supermarkt, eines Computerladens und Schuhgeschäfts zu finden und sich ins System zu schalten. Auf den Livebildern kann man die Kunden gut erkennen. "Alles, was ich zeige, ist legal", versichert Haase. Das wird er im Laufe der Demonstration über die Verwundbarkeit von technischen Systemen im stationären Handel noch oft tun. Denn er hört stets an der Stelle auf, an der die Illegalität beginnt. "Viele Läden sind wahre Hackerparadiese, und die meisten Händler sind sich dessen nicht bewusst."Passend zum Thema:
Die Crux: Viele technische Geräte im stationären Handel sind in puncto Sicherheit auf dem Stand von vor 15 Jahren. Das ist quasi digitale Steinzeit. Damals haben die Überwachungskameras die Bilder mit einer Standleitung an den Ladendetektiv und vielleicht noch den Chef gesendet, aber es blieb alles im Haus.
Heute hingegen sind die meisten elektronischen Geräte vernetzt, sei es aus Gründen der Wartung oder um Alarm zu schlagen, wenn Unbefugte sich daran zu schaffen machen. So praktisch und bequem der Fernzugriff ("Remote") auch für den Händler ist, so praktisch und bequem ist er auch für Menschen, die Böses im Schilde führen.
Sicherheitslücke Funketikett
Auf der virtuellen Hacker-Rundreise geht es weiter in einen Baumarkt: Dort sind an der Decke Geräte angebracht, die Etiketten der Funktechnologie RFID auslesen und so Waren identifizieren und lokalisieren. Kein Problem für Kriminelle, hier mit einem Störsender ("Jammer") den einwandfreien Empfang der Funknachrichten – im Übrigen auch von Mobilfunkgeräten oder dem Global Positioning System GPS – schwierig oder unmöglich zu machen.Der Störsender sendet dabei, genau wie der zu störende Sender, elektromagnetische Wellen aus und überlagert die ursprünglichen Wellen ganz oder teilweise. "Der Einsatz von Jammern im Mobilfunknetz ist in Deutschland verboten", sagt Haase und tippt bei Google das Wort Jammer ein. Prompt taucht eine Vielzahl von ausländischen Händlern auf, die die Störsender online verkaufen, natürlich auch nach Deutschland.
Dasselbe Passwort seit dem Jahr 1990
Auf zur Kasse. "Die Sicherheitslücken an den Kartenterminals sind die Passwörter", berichtet Haase. Kürzlich haben amerikanische Sicherheitsexperten aufgedeckt, dass das Standard-Passwort für alle Produkte von einem großen Anbieter, den sie nicht nennen wollen, 166816 oder Z66816 ist – und zwar seit dem Jahr 1990. "Kriminelle können sich somit einfach in das Terminal hacken, dort Schadsoftware platzieren und sich die Zahlungsdaten zuschicken", erläutert Haase. "Dabei ist es einfach, das Passwort zu ändern."Die Tour als virtueller Krimineller geht weiter zur echten Tür eines Händlers, die sich mit einer Chipkarte öffnen lässt. Haase hackt sich in das Lesegerät. "Hier sieht man schon an dem Schriftzug ‚Copyright 2006 bis 2009‘, dass die Wartung und die Updates nicht ordentlich durchgeführt werden", so der Sicherheitsexperte. "Hier könnte man jetzt neue Zugangsberechtigungen einrichten, die Funksignale abfangen oder einfach nur stören und die Tür blockieren."
Wenn wir schon in dem Bereich sind, der nur für Personal zugänglich ist, gehen wir mal ins Chefzimmer. "Hier sind unter anderem die Videokonferenzsysteme eine Schwachstelle", berichtet Haase. Denn für Hacker ist es überhaupt kein Problem, damit den Raum aus der Ferne zu überwachen und jedes Gespräch mitzuhören.
Mithören von Chefgeheimnissen
"Die Geräte stehen in aller Regel auf Standby. Deshalb leuchtet kein Lämpchen und der Nutzer denkt, dass die Kamera nicht aktiv ist. Aber das ist sie", sagt der IT-Experte. Den ein oder anderen Konkurrenten könnte es schon interessieren, was der Händler den lieben langen Tag so macht, genauso wie mögliche Erpresser.Um an die Daten der Bargeldbestände zu kommen, müssen Räuber aber nicht stundenlang den Raum überwachen. Denn die geben auch bereitwillig ihre Daten preis, wenn sie nicht abgesichert sind. Haase sucht abermals im Internet nach der IP-Adresse eines Tresors, findet sie und schaltet sich darauf: Knapp 20.000 Euro Bares lagert hier. "Neben den Füllständen sind hier auch die Protokolle öffentlich, wann wie viel Geld rein- und rausgenommen wurde", erläutert IT-Spezialist Haase. Leichtes Spiel also für Schurken, die den Händler überfallen wollen. Denn sie wissen nicht nur, wann es sich von der Summe her lohnt, dem Unternehmer aufzulauern, sondern auch, wann das Geld transportiert wird.
Marktplätze für illegale Daten im Netz
Wer sich die Hände nicht selbst schmutzig machen will, kann alle illegal beschafften Daten auch verkaufen. Dafür gibt es das Darknet, das "dunkle Internet", das im Prinzip beispielsweise mit Suchmaschinen und Marktplätzen wie das allen bekannte World Wide Web funktioniert, aber nur für diejenigen sichtbar ist, die wissen, wie man reinkommt. "Die meisten Sicherheitslücken, die ausgenutzt werden, sind relativ leicht zu vermeiden", weiß Haase. "Der Händler sollte sich fragen, wo er vernetzte Technologien anwendet und wie er auf die Daten aufpasst, die er sammelt."Dann ist Feierabend – bei unserer kleinen Hacker-Exkursion genauso wie bei den kriminellen Profis. Denn: "Hacker arbeiten nach dem Beamtenprinzip", hat Haase beobachtet und deutet auf ein Livebild aus der sogenannten Forensik, das die IT-Angreiferkurve des aktuellen Tages zeigt.
Und tatsächlich: Die Hacker vermutlich aus China und Russland haben um 4 Uhr früh mit ihren Attacken angefangen, um 12 Uhr eine kleine Mittagspause eingelegt und sich dann gegen 16 Uhr Mitteleuropäischer Zeit in den Feierabend verabschiedet.
