Vor dem alljährlichen Hacker-Wettbewerb „Pwn2Own“ ist niemand sicher. Alle Betriebssysteme und die meisten Browser sind angreifbar.

2 min.

Jedes Jahr findet im Rahmen der kanadischen Sicherheitskonferenz „CanSecWest“ ein berühmter Hacker-Wettbewerb namens „Pwn2Own“ statt. Die Initiatoren fordern die Teilnehmer jedes Jahr aufs Neue heraus. Ziel ist es, ein Gerät durch verschiedene Sicherheitslücken vollständig zu hacken und dadurch unter Kontrolle zu bekommen. Die alarmierende Bilanz: Alle Betriebssysteme, einige Browser und verbreitete Standprogramme sind konkret angreifbar.
Das sollten Sie wissen, um sich zu schützen.

Der (Hacker-) Wettbewerb

Die Aufgabenstellung klingt erst einmal nicht leicht. Es stehen unterschiedliche Geräte mit verschiedenen Betriebssystemen – wie Windows, mac OS oder Linux – bereit. Die teilnehmenden Hacker müssen sich von außen Zugriff und die vollständige Kontrolle über das Gerät verschaffen. Hierfür setzen die Hacker nicht auf Zauberei, auch wenn es den Anschein erweckt, sondern sie nutzen Sicherheitslücken innerhalb der Betriebsysteme und/oder verschiedener Standardprogramme. Zu diesen üblichen Programmen zählen beispielsweise Adobe Flash oder der Acrobat Reader – diese Programme sind extrem verbreitet und finden sich daher sehr häufig auf der Festplatte, insbesondere auf Computern mit dem Windows-Betriebssystem.
Manche der Sicherheitslücken sind bekannt und noch nicht behoben, die meisten Lücken werden jedoch durch die Wettbewerber entdeckt und ausgenutzt. Lösen die Teilnehmer diese Aufgabenstellung, können sie einerseits das gekaperte Gerät behalten und sich über ein stattliches Preisgeld freuen. In diesem Jahr liegt über eine Million US-Doller im Preisgeld-Topf. Die Belohnungen steigern sich je nach Schwierigkeit des Hackings. Am Ende wird aber erst einmal der Deckmantel der Verschwiegenheit über die entdeckten Sicherheitsprobleme gedeckt. Die Softwarehersteller bekommen die Ergebnisse übermittelt und erhalten dadurch die Möglichkeit, ihre Software oder ihr Betriebsystem entsprechend zu verbessern. Im Ergebnis erhalten die Kunden dann ein Update für das entsprechende Betriebssystem, welches die Lücken schließen soll.

Nichts scheint mehr sicher – wir sind alle betroffen

Der diesjährige Contest zeigt eindrucksvoll, dass alle Betriebsysteme angreifbar sind. Konkret schafften es die Hacker unberechtigten Zugriff auf Geräte mit dem neuen Edge-Browser von Microsoft, aber auch auf das Pendant von Apple – Safari – unter dem aktuelles Betriebssystem mac OS zu erlangen. Ein System mit der Linux-Variante Ubuntu war ebenso wenig sicher vor den Teilnehmern. Gerade Linux- und Mac-Systeme sind für eine höhere Sicherheit im Vergleich zur Windows-Konkurrenz bekannt. Deswegen sind diese Ergebnisse besonders brisant.

Fazit – ein Plädoyer für ständige Updates

Zusammenfassend muss festgestellt werden, dass auch bei vermeintlich sicheren Systemen keine absolute Sicherheit zu gewährleisten ist. Überall zeigten sich gefährliche Sicherheitslücken. Eine pauschale Faustformel nach der man mit Mac- und Linux-Systemen per se sicherer unterwegs ist, wurde durch diesen Wettbewerb dahingehend relativiert, dass auch diese Systeme angreifbar sind.
Am Ende kristallisiert sich also heraus, dass nicht nur Windows-Systeme gravierenden Lücken bezüglich der Sicherheit aufweisen; es sind praktisch alle Betriebssysteme betroffen und es gibt nur eine Möglichkeit, wie Sie sich davor schützen können: Führen Sie regelmäßig sicherheitsrelevante Updates durch, die Ihnen Ihr Betriebssystem bereitstellt. Wir empfinden die wiederkehrende Update-Meldungen von Flash, Windows & Co nicht selten als nervig – jedenfalls geht es mir damit so; oftmals sind auch noch ein Neustart und weitere zeitraubende Installationen erforderlich. Dieser Wettbewerb verdeutlich aber ganz plastisch, warum wir unsere Systeme stets auf dem neusten Stand halten sollten.

Machen Sie also regelmäßige Updates für Ihre Sicherheit, den Schutz Ihrer persönlichen Daten und zur Abwehr vor Cyberkriminalität.

Welche Updates führen Sie regelmäßig durch und welche Aktualisierungen nerven Sie?

Schreiben Sie es mir in die Kommentare!

__

Titelbild (CCO Public Domain)

__

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.