Was machen eine Ananas und ein Honigtopf in der digitalen Welt? Wie lässt sich ein Wasserkocher fernsteuern? Und wozu soll das überhaupt gut sein? An der FH Aachen gibt es ein neues Studierendenprojekt, das nicht nur auf diese, sondern auch auf viele weitere Fragen eine Antwort hat: das FH-Aachen IT-Security-Team.
"Eigentlich gibt es diese Gruppe schon seit zwei Jahren, es fehlte aber das Geld, um die zahlreichen Ideen zu verwirklichen", sagt Stefan Nagel, wissenschaftlicher Mitarbeiter am Fachbereich Elektrotechnik und Informationstechnik. Gemeinsam mit Prof. Dr. Marko Schuba und Hans-Wilhelm Hoefken betreut er die Studierenden, die sich nun zu einem studentischen Projekt zusammengeschlossen haben. "Am Anfang waren wir etwa sieben Leute, die sich regelmäßig mit dem Hacken beschäftigt haben", so der Informatikstudent Gregor Bonney, "mittlerweile sind wir über 20". Damit die Studierenden sich noch weiter in die Thematik vertiefen, Konferenzen besuchen und Materialien anschaffen können, haben sie einen Antrag auf Projektförderung durch die Hochschule gestellt – und waren erfolgreich. "Wir sind gerade dabei, die Infrastruktur zu schaffen. Einen Raum haben wir schon bekommen, jetzt schaffen wir die ganze Hardware an", sagt der Student.
"Für viele Untersuchungen, die wir durchführen wollen, ist ein eigenes Netzwerk nötig, da wir diese nicht über das FH-Netzwerk laufen lassen dürfen", erklärt Gregor, etwa wenn ein Honeypot zum Einsatz kommt. Dieser Server wird in einem Netzwerk installiert und simuliert das Verhalten eines Computersystems. Ein Angreifer, der einen in diesem Netzwerk befindlichen Rechner hacken möchte, kann nicht zwischen einem echten System und einem Honeypot unterscheiden. Greift der Hacker nun diesen Honeypot an, dann wird der Angriff protokolliert. "Wenn wir uns im Netzwerk und damit im Adressraum der FH Aachen befinden würden, merkt jeder gleich, dass es sich um ein Forschungsprojekt handelt", erklären die Studenten die Problematik.
Obwohl die Gründung noch sehr frisch ist, stehen für das Security-Team schon viele spannende Projekte an. "Sechs von uns nahmen erst kürzlich an einem "Capture the Flag"-Wettbewerb in Köln teil, bei dem es darum geht, verschiedene Angriffs- und Abwehrmöglichkeiten zu prüfen", sagt Sacha Hack, der gerade seinen Bachelor in Informatik macht. Etwa 25 Personen aus ganz Deutschland haben an dem Wettbewerb teilgenommen. Darunter Mitarbeiter aus öffentlichen Behörden, aber auch PEN-Tester (Penetrations-Tester) aus der freien Wirtschaft, das heißt Experten, die Websites und Netzwerke auf Schwachstellen hin überprüfen. "Jeder hat gegen jeden gespielt, doch wir alle konnten führende Plätze belegen", so Sacha. Im Fachbereich Elektrotechnik und Informationstechnik gibt es Zusatzkurse zu IT-Sicherheit und IT-Forensik, unter anderem den Kurs "Certified Ethical Hacker" oder "Computer Hacking Forensical Investigator". "Dieses Wissen praxisnah auf die Probe zu stellen, macht sehr viel Spaß", ist sich das Team einig.
In tausenden Metern Höhe Opfer eines Hackerangriffs zu werden und damit die Kontrolle über die Maschine zu verlieren, ist ein Horrorszenario für Piloten und Passagiere. Damit so etwas erst gar nicht vorkommt, ist der Hersteller einer Software für Flugzeugschulungen an das Team herangetreten. Ihre Aufgabe ist es nun, die Software auf Sicherheitslücken hin zu überprüfen, mögliche Angriffspunkte zu beseitigen und sie so zu modifizieren. Für dieses komplexe Projekt benötigt das Team erst eine Einführung vom Hersteller. Doch die Arbeit lohnt sich nicht nur auf Grund der spannenden Thematik, bezahlt werden sie außerdem mit Segelflügen.
Das Team kommt auf ganz unterschiedliche Weise zu seinen Projekten und Aufgaben: Auf dem letzten IT-Forensik-Workshop, der an der FH Aachen veranstaltet wurde, ist ein Mitarbeiter des Bundesministeriums für Verkehr und digitale Infrastruktur auf die Informatiker aufmerksam geworden. Da die Schleusen in der Binnenschifffahrt mittlerweile digital gesteuert werden, sind auch sie ein mögliches Angriffsziel für Hacker. Die FHler sollen die Geräte zur Steuerung genau unter die Lupe nehmen und die Sicherheit erhöhen.
Wenn das Security-Team nicht gerade damit beschäftigt ist, den Luft- und Wasserraum sicherer zu machen, basteln sie an "Spielereien", wie sie selbst sagen. Gregor hat ein ferngesteuertes Auto umgebaut und kann es jetzt per Bluetooth mit der selbst programmierten App steuern. In Sachas Hand liegt ein kleines Gerät, "Pineapple" heißt es. "Das Gerät kopiert ein vorhandenes W-LAN-Netzwerk und kann dann den gesamten Netzverkehr mitschneiden und damit auch die Daten der Benutzer", erklärt Sacha. Klingt illegal und ist es auch. Die Studenten führen "Pineapple" zu Demonstrationszwecken vor, damit warnen sie davor, sich mit einem offenen W-LAN-Netz zu verbinden. Wer jetzt ein schlechtes Gewissen bekommt, weil er sich über jedes freie Netzwerk freut, den beruhigen die Informatiker mit einer Anekdote: "Selbst auf einer Konferenz zur IT-Sicherheit haben die Experten sich mit dem offenen W-LAN-Netz verbunden. Sie sollten es wirklich besser wissen", sagt Sacha mit einem Grinsen.
Fast alles kann mittlerweile gehackt werden. "Wir wollten eigentlich untersuchen, inwiefern sich ein handygesteuerter Quadrokopter (Drohne) angreifen lässt. Doch darüber wurde erst kürzlich etwas veröffentlicht, damit ist es für uns schon zu langweilig geworden", sagt Gregor. Kühlschränke, Wasserkocher und viele weitere moderne Haushaltsgeräte lassen sich inzwischen per Handy-App steuern, wodurch sie angreifbar werden und sich so auch hacken lassen. Welchen Sinn macht es aber, einen Wasserkocher zu hacken? "Gar keinen", lacht Andrej Schwab, der im fünften Semester Informatik studiert, "aber an diesen Basteleien können wir das theoretische Wissen aus den Vorlesungen praktisch testen". Die Ergebnisse aller Projekte werden gesammelt, von dem Wissen und Know-how sollen alle anderen Studierenden auch profitieren.
Wer sich jetzt angesprochen fühlt und dem FH AC Security-Team beitreten möchte, ist dazu herzlich eingeladen. Gesucht werden neue Mitglieder, die eine Affinität zu Elektrotechnik haben und engagiert sind. Bei Interesse meldet euch einfach bei Gregor Bonney, Sacha Hack oder Benedikt Paffen.