IT-Sicherheit: Die Profi-Hacker von der RUB

Mit der Entwicklung von Computer-Programmen und Internet-Communities kann man eine Menge Geld verdienen. Mit dem Aufspüren ihrer Fehler aber auch: Eine Gruppe der Bochumer Ruhr-Universität hat sich den E-Postbrief mal ganz genau angeschaut. Und dafür mehrere tausend Euro Belohnung bekommen.

Mario Heiderich und seine Kollegen wühlen sich auf der Suche nach Sicherheitslücken durch kryptische Internetcodes. Foto: gusmolina/sxc.hu

Hacker dringen in Computersysteme ein, knacken Internetcodes - manchmal auch für eine gute Sache. Foto: gusmolina/sxc.hu

Im Leben von Mario Heiderich dreht sich alles um Sicherheit. Im beruflichen Leben. Heiderich ist wissenschaftlicher Mitarbeiter an der Ruhr-Universität Bochum. Am Lehrstuhl für Netz- und Datensicherheit hat er eine halbe Stelle und widmet der Sicherheit im Internet seine Zeit: Der 29-Jährige sucht nach Sicherheitslücken von Webseiten und Browsern, testet Netz-Applikationen auf Sicherheitsrisiken. „Wir wollen sie gegen Angriffe von außen absichern – und damit auch die User“, sagt er.

Sicherheits-Check für die Post

Zuletzt schaute sich Heiderich mit acht Kollegen den E-Postbrief der Deutschen Post genauer an. Das Unternehmen initiierte den „Deutsche Post Security Cup“ und versprach bis zu 5000 Euro Belohnung pro aufgespürten Programmierfehler. „Ein ziemlich hohes Preisgeld für eine Challenge“, sagt Heiderich. Selbst große Internet-Firmen wie Google oder Mozilla würden nicht derartige Beträge in Aussicht stellen.

Mario Heiderich testet im Namen der RUB Webseiten und Browser auf Programmierfehler. Foto: Timo Derstappen

Mario Heiderich testet im Namen der Ruhr-Universität Bochum Webseiten und Browser auf Programmierfehler. Foto: Timo Derstappen

„Eine solche Investition lohnt sich aber dennoch für das Unternehmen“, sagt Thorsten Holz. Er ist Junior-Professor für Elektro- und Informationstechnik an der RUB und saß in der vierköpfigen Jury des Wettbewerbs. Die Post wolle schließlich ein System schaffen, dem die Leute vertrauen, so Holz. Da müsse auf jeden Fall verhindert werden, dass jemand den Inhalt der Nachrichten mitlesen könne. Schließlich verspricht die Post in der Werbung, dass man sich mit ihrem kostenpflichtigen E-Mail-Dienst, dem E-Postbrief, „auf der sicheren Seite“ befinde. Und das ist wichtig: vor allem bei vertraulichen Dokumenten oder beim Schriftwechsel mit Behörden. Um die versprochene Sicherheit auch gewährleisten zu können, schrieb die Post den Hacker-Wettbewerb aus und ließ sich das einiges kosten.

Aus der Sicht des Angreifers

Die Security-Szene jedenfalls war entzückt von der Ausschreibung: 106 Teams aus der ganzen Welt meldeten sich für den sechswöchigen Wettbewerb an, 14 durften am Ende teilnehmen. Eines davon: das Team der RUB um Mario Heiderich.

Zusammen mit zwei Doktoranden und sechs Studenten der Ruhr-Universität wühlte Mario Heiderich sich durch die Codes des E-Post-Services – alle Team-Mitglieder zusammengerechnet grob 300 Stunden lang. „Wir machten Verhaltensanalysen und stellten uns die Frage: Wie reagiert die Applikation in welchen Situationen?“, so Heiderich. Die Gruppe operierte dabei aus der Sicht des Angreifers, hatte also das Ziel, E-Mails mit schädlichen Inhalten durch das System zu boxen. „So wollten wir den Empfänger-Account übernehmen oder zumindest das Passwort stehlen“, erzählt Heiderich.

Die Teilnehmer der RUB operierten aus der Sicht des Angreifers: Sie wollten Passwörter stehlen und fremde Accounts übernehmen. Foto: rolve/sxc.hu

Die Teilnehmer der RUB operierten aus der Sicht des Angreifers: Sie wollten Passwörter stehlen und fremde Accounts übernehmen. Foto: rolve/sxc.hu

Tausende Euro für sechs Wochen Arbeit

Im Team der RUB hatte man sich darauf geeinigt, dass jeder, der einem Sicherheitsrisiko des E-Postbriefes auf die Spur kam, es auch alleine aufdecken durfte. „Derjenige, der einen Programmierfehler fand, bekam dann auch die gesamte Belohnung“, so Heiderich.
Schon nach wenigen Tagen stieß das RUB-Team auf die ersten kleineren Probleme im System. Immer wenn auch die Jury sie als wirkliche Bedrohungen anerkannte, gab es dann jeweils 1000 Euro Prämie. „Nach zwei, drei Wochen kannten wir die Applikation besser. Da haben wir dann auch größere Sicherheitsrisiken entdeckt“, sagt Heiderich – und für die gab es jeweils die versprochenen 5000 Euro.

Nach sechs Wochen hatte die Mannschaft aus Bochum neun neue Angriffswege auf die Applikation ausfindig gemacht. Keines der 13 anderen Teams war erfolgreicher, der „Deutsche Post Security Cup“ ging damit ins Ruhrgebiet. Und Mario Heiderich bekam ein Preisgeld im zweistelligen Tausenderbereich: Er hatte alle vier großen Programmierfehler gefunden, machte drei kleinere Sicherheitslücken alleine und zwei zusammen mit der Gruppe ausfindig.

Normalerweise für Xing und Microsoft auf Fehlersuche

Dabei war es für Heiderich „die erste Teilnahme an einem Event mit solch sportlichem Charakter“. Normalerweise arbeitet er direkt für Unternehmen. Unter anderem sucht er im Auftrag der Betreiber der Internet-Community Xing nach Sicherheitsrisiken auf deren Webseite. Im Januar diesen Jahres nahm ihn Microsoft unter Vertrag. Für den Computer-Riesen aus den USA testet Heiderich an drei bis vier Tagen in der Woche den neuen Internet Explorer. Sein Hauptaugenmerk liegt dabei – wie sollte es anders sein – auf der Sicherheit des Browsers.

1 Comment

  • Christian S. sagt:

    Das ist ein sehr gelungener Artikel, der auch mich als Nicht-IT`ler sehr interessiert hat!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.