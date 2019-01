Eine Studentengruppe des Bachelorstudiengangs IT Security an der Hochschule Albstadt-Sigmaringen hat im Rahmen eines Projekts in einem Präsentationssystem eines österreichischen Herstellers teils erhebliche Sicherheitslücken aufgedeckt.

Das Hochschulprojekt unter der Leitung von Prof. Holger Morgenstern und Tobias Scheible wurde in Zusammenarbeit mit der Tübinger Firma Syss GmbH umgesetzt, die als Dienstleisterin im Bereich der IT-Security individuell und herstellerneutral Penetrationstests im In- und Ausland durchführt und den Studenten das entsprechende Gerät zur Verfügung stellte. Bei einem Penetrationstest wird die Perspektive eines Hackers eingenommen, um von außen angreifbare Stellen im System zu identifizieren. Das erklärt Leon Albers, Mitglied der siebenköpfigen Projektgruppe.

Hat das Gerät verwundbare Komponenten? Diese Kernfrage trieb die Studenten an. „Dann ging es schließlich darum, einen realen Angriff durchzuführen und die Kontrolle über das Gerät zu übernehmen“, sagt der Student Sebastian Buckel. „Und das ist uns dann auch gelungen.“ Dem Gerät gaukelte die Gruppe unter anderem ein manipuliertes Update vor, das dieses dann auch prompt übernahm. „Dadurch hatten wir Vollzugriff“, sagt Buckel. Durch weitere Schwachstellen wurde es den Studenten ermöglicht, Zugriff auf Netzwerklaufwerke und sensible Daten wie interne Passwörter zu erlangen. „Wir konnten Informationen mitlesen und manipulieren.“

Die aus solchen Sicherheitslecks resultierende Bedrohung ist dabei durchaus real: „So ein Präsentationssystem wird von Unternehmen häufig in professionellen Kontexten genutzt“, sagt Leon Albers. „Sich dazu einen Zugang zu verschaffen, kann dann schon in Richtung Industriespionage gehen.“ Neben den fast alltäglichen Funden von veralteten Softwarekomponenten und unsicheren Standardkonfigurationen seien auch unbekannte und selbst in der aktuellsten Version des Herstellers noch enthaltene kritische Schwachstellen gefunden worden, sagt Holger Morgenstern. Aus Sicherheitsgründen informierten die Studenten daher auch zunächst den Hersteller.

Hersteller vor Lücke gewarnt

Dieser sollte die Gelegenheit bekommen, die Sicherheitslücken zu schließen. „Man hat dort aufgeschlossen auf unseren Bericht reagiert“, sagt Leon Albers. „Die Firma will die Probleme beheben.“ Schwachstellen zu finden, die die Hersteller eigentlich vermeiden wollten: Auf Leon Albers, Sebastian Buckel und ihre Kommilitonen im Studiengang IT Security übt das einen großen Reiz aus – da wurde auch mal die ein oder andere Nachtschicht eingelegt. Beide sind sogar eigens für dieses Fach an die Hochschule: Sebastian Buckel stammt aus dem Kreis Ravensburg, Leon Albers kommt aus Nordrhein-Westfalen.