Thomas Trimborn arbeitet zusammen mit René Julian Neff in der Abteilung für Cybersecurity des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE am Thema Anomalieerkennung mit Schwerpunkt Internet-Routing. Bei mehreren Hochschultagen vertraten sie ihre Abteilung und stellten Studierenden des ersten Semesters verschiedener Universitäten IT-Themen am Fraunhofer FKIE vor. Sie leiteten einen Workshop im Rahmen der »Online-Bootcamps«, welche von der BG 3000 Service GmbH im Rahmen der BG 3000 IT-Modellregion organisiert und in Kooperation mit der Konrad-Adenauer-Stiftung durchgeführt wurden. Die Bootcamps fanden vom 15.-18. Und 22.-25. Juni 2015 mit Schülerinnen der Gertrud-Bäumer-Realschule, mit Schülerinnen und Schülern des Friedrich-List Berufskollegs und der Johannes-Gutenberg-Realschule statt.

Nachfolgend beantwortet Herr Trimborn uns einige Fragen zu den Bootcamps und deren Inhalten: 

Hallo Herr Trimborn. Was können Sie mir über die größere Idee hinter den »Online-Bootcamps« sagen?

Die Veranstaltung wurde ins Leben gerufen, da man festgestellt hatte, dass bei Jugendlichen ein dringender Schulungsbedarf im Umgang mit Medien besteht. Hierbei geht es vor allem darum, ein gewisses Bewusstsein für Themen wie das Verhalten im Internet und den Umgang mit den eigenen Daten zu entwickeln.

Das betrifft bei Jugendlichen schon grundlegende Fragen wie »Was poste ich bei Facebook oder einem anderen sozialen Netzwerk?«, aber auch weiterführende, z.B. »Lasse ich den GPS-Empfänger auf meinem Smartphone eingeschaltet?« oder »Mache ich Sicherheitsupdates auf meinem PC Zuhause?« Das ist allerdings ein großes Gebiet, von dem wir in den Bootcamps nur einen kleinen Bereich abdecken konnten.

Während der »Online-Bootcamps« fanden mehrere Workshops v.a. zu dem Umgang mit Social Media statt – es gab aber auch Jobbörsen zu »IT-Berufen der Zukunft« und eine Filmvorführung.

Wie haben Sie und Herr Neff sich als Forscher des Fraunhofer FKIE bei der Veranstaltung eingebracht bzw. was für eine Art von Workshop haben Sie geleitet?

Unser Workshop trug den Titel »Meine Daten verschenke ich nicht«. Konkret ging es um den Bereich »Sicherheit Zuhause«, d.h. wie geht man mit Sicherheitsupdates um? Wer macht das? Wann finden diese statt, werden sie überhaupt durchgeführt und wissen die Jugendlichen darüber Bescheid?

Sie haben im Workshop eine Art »Live Hacking« durchgeführt. Wie sah dieser Prozess genau aus?

Wir haben dafür einen WLAN-Router auf eine ältere Software zurückgesetzt und uns die benötigte virtuelle Infrastruktur geschaffen: Zum einen bereiteten wir den »Angreifer« vor, zum anderen den angegriffenen Computer, d.h. den Heim-PC mit einer Windowsinstallation. Von der Windowsoberfläche haben wir eine vorbereitete Webseite aufgerufen. Diese führte zu einer Cross-Site-Request-Forgery oder CSRF-Attacke, worüber wir Zugriff auf den Router bekamen und eine entsprechende Manipulation vornehmen konnten.

 Was waren die Konsequenzen?

Wir als Nutzer auf dem Heim-PC haben dann irgendeine URL im Browser eingegeben und sind automatisch bei einer leicht manipulierten Variante von Facebook gelandet. Diese hat einen Flash-Exploit (Ausnutzen einer Sicherheitslücke bei Flash) ausgeführt, worüber wir eine Remote-Desktop-Verbindung öffnen konnten. Darüber lässt sich der angegriffene PC gegebenenfalls direkt übernehmen, d.h. es lassen sich private Bilder abrufen, Passwörter mitlesen und Trojaner abspeichern, um den Fremdzugriff zu automatisieren.

Das war ein relativ einfacher Angriff, aber er reichte aus, um den Jugendlichen klarzumachen: Ich gehe auf eine falsche Webseite und schon besteht die Gefahr, dass mein Rechner übernommen wird.

Inwiefern war der Zugriff auf den Router wegen der veralteten Software überhaupt möglich? Wo bestand die Sicherheitslücke?

Das ist möglich, wenn ich mich als Nutzer bereits auf dem Router eingeloggt habe, um beispielsweise eine Änderung vorzunehmen – es reicht auch schon sein Passwort im Browser gespeichert zu haben – und dann auf solch eine manipulierte Webseite komme. Diese enthält einen Code, der dem Browser vorgaukelt, ein Bild nachzuladen. Tatsächlich ruft er jedoch eine Adresse, die den Befehl an den Router enthält, den Zugriff von außen – also aus dem Internet – zuzulassen. Gleichzeitig wird das Passwort geändert. Das ist v.a. möglich, da Zuhause in den meisten Fällen die Standard-IP-Adresse nicht geändert wird und der Router direkt am Netz angeschlossen, d.h. keine Firewall o.ä. dazwischen geschaltet ist. Somit kommen solche Attacken bzw. Zugriffe relativ häufig vor. Die Jugendlichen waren sehr davon überrascht, dass so ein Gerät auch Sicherheitslücken haben kann. In diesem Sinne führten wir auch an, wie wichtig es ist, seine Software ständig auf dem aktuellsten Stand zu halten.

Wurden noch weitere Themen im Workshop besprochen?

Wir haben außerdem generell darüber informiert, wie Routing funktioniert, d.h. was ein WLAN-Router überhaupt macht.

Nach der anderthalbstündigen Vorführung hatten wir noch Zeit, um mit den Jugendlichen ins Gespräch zu kommen. Die Unterhaltung führte aber bei beiden Workshops immer wieder vom eigentlichen Thema »Sicherheit Zuhause« weg und kam auf das Thema »Umgang mit dem Smartphone« zurück. Es stellte sich dann heraus, dass bei den Mädchengruppen fast durchgängig Sicherheitslücken auf den Smartphones bestanden.

Können Sie dazu ein Beispiel geben?

Konkret hatten fast alle die gleichen unsicheren Apps installiert – z.B. »WhatsApp«, »Facebook«, »Snapchat«. Bei einer App bestand außerdem das Problem, dass sich plötzlich der Browser öffnete und Werbung anzeigte. Das lag vor allem daran – es handelte sich um »WhatsApp Plus« – dass die Anwendung nicht aus einem offiziellen Online-Store stammte und manipuliert worden war. Im Nachhinein stellte sich heraus, dass diese Version auch Daten der Nutzer ausspäht.

Welche Betriebssoftware war davon besonders betroffen?

Bei diesem konkreten Fall waren es alles Android-Handys. Diese Probleme gibt es allerdings auch beim iOS-Betriebssystem von Apple. Natürlich treten solche Sicherheitslücken vor allem bei gerooteten Handys (Die Nutzungseinschränkungen des Herstellers werden dabei entfernt.) auf, was bei Android einfach häufiger vorkommt.

Wie reagierten die Jugendlichen darauf – waren ihnen beispielsweise sicherere Kommunikationsalternativen bekannt?

Sie waren sehr überrascht, dass es diese Sicherheitslücken überhaupt gibt und dass darüber andere Leute auf ihre Daten zugreifen können. Das ist vor allem bei Mädchen gefährlich, wenn z.B. von außen über die Kamera Fotos gemacht oder private Bilder vom Handy heruntergeladen werden. Einige haben dann auch gleich ihre Internetverbindung getrennt. Die Jungs waren allerdings weniger besorgt und eher daran interessiert, wie der Prozess genau funktioniert. Auch sichere Messenger, wie »Threema«, die mit Verschlüsselungstechnologien arbeiten, wurden überhaupt nicht verwendet – dass es eine kostenlose Alternative wie »Telegram« gibt, war ebenfalls nicht bekannt. Nach der Veranstaltung kamen jedoch mehrere Nachfragen zu den Apps.

Das Thema »Sicherheit auf dem Smartphone« ist auf jeden Fall ein Bereich, der die Jugendlichen sehr interessiert und über den gerne diskutiert wird.

Gab es auch berufsorientierte Rückfragen zum IT-Bereich an Sie?

Die gab es allerdings – bei den Mädchen war es zwar nur eine, was aber wahrscheinlich an dem jungen Alter – sie war zu dem Zeitpunkt 15 Jahre alt – lag. Die Jungs vom Berufskolleg stellten mehrere Rückfragen und sie waren vor allem an Informationen über den Berufsweg »Fachinformatiker« interessiert.

Welche persönlichen bzw. beruflichen Rückschlüsse ziehen Sie als Forscher aus der Zusammenarbeit mit den Jugendlichen?

Beim FKIE haben wir die Erkenntnis gewonnen, dass noch viel mehr Aufklärungsarbeit bei ihnen geleistet werden muss, was eigentlich Aufgabe der Schule ist. Jugendliche können nicht so gut, wie wir bisher angenommen hatten, mit Medien umgehen, sondern konsumieren meist relativ ahnungslos. Wir waren persönlich auch davon überrascht, wie einfach es ist, einen erfolgreichen Angriff durchzuführen, da wir uns eher mit dem globalen Routing im Internet und allgemeinen Angriffe darauf beschäftigen – weniger mit Attacken auf Einzelrechner.

Gibt es Pläne, in Zukunft weitere »Online-Bootcamps« oder ähnliche Veranstaltungen durchzuführen?

Da wiederum festgestellt wurde, dass eine starke Notwendigkeit besteht, Jugendliche im Umgang mit solchen Sicherheitsthemen zu schulen, wollen die BG3000 und das FKIE eine solche Veranstaltung wiederholen. Interesse wurde auch seitens der Konrad-Adenauer-Stiftung bekundet. Anzumerken ist auch, dass einige der Mädchen als »Medienscouts« agiert haben und dazu angehalten waren, ihre Mitschüler zu informieren. Also bleibt zu hoffen, dass dadurch ebenfalls das Interesse an Sicherheitsthemen steigen wird.

Vielen Dank für das Gespräch. (mal)