Multimedia
"Was dem Netz ausgesetzt ist, kann geknackt werden"
Der Schweizer Polizei ging ein Hacker ins Netz. Bilder seines Computers zeigen: Er nutzte offenbar ein Postfinance-Gerät, um seine Konti zu verwalten.
Die Nachricht kam am späten Mittwochnachmittag: Bei einem international koordinierten Großeinsatz hatte die Kantonspolizei Waadt in Genf eine Person verhaftet, die Teil eines weltweiten Hacker-Netzwerks sein soll. Ein Bild, das die Kantonspolizei veröffentlicht hat, zeigt den Tatort. Zu sehen sind zwei große Rechner, ein Fotoapparat, ein Game-Controller – und ein gelbes Postfinance-Login-Gerät.
Das macht stutzig. Wieso nutzt ein Hacker, der offenbar mit der internationalen Filesharing-Szene in Verbindung steht, eine derart alte Technik? Eine Antwort darauf kennt Hernâni Marques, Vorstand der schweizerischen Hacker-Vereinigung Chaos Computer Club: "Das ist die sicherste Methode. Ich selbst nutze auch so ein Login-Gerät."
"Wichtige Infrastruktur sollte vom Internet getrennt laufen"
Er wisse zwar nicht, wie der Hacker in Genf das Gerät benutzt habe. Wichtig sei aber, dass ein solches nicht am Internet hänge. "Alles, was dem Netz ausgesetzt ist, kann auch geknackt werden", sagt Marques. SMS-Authentifizierungen aber auch Authentifizierungen über die Apps der Banken seien ständig in Gefahr.
"Eigentlich ist es ganz einfach: Wichtige Infrastruktur sollte vom Internet getrennt laufen", sagt Marques. Das gelte für Atomkraftwerke genauso wie für Wahlen oder eben für Bank-Logins. Das sei übrigens nicht nur seine eigene Meinung – ähnliches sei auch Dokumenten von US-Geheimdiensten zu entnehmen.
Besonders störe ihn auch die Möglichkeit, sich per Gesichtserkennung oder Stimmabdruck bei einer Bank einzuloggen. "Es ist viel zu einfach, Deep-Fakes von sowas zu erstellen. Unsere Gesichter und Stimmen lassen sich im Internet einfach finden und kopieren."
Wer ein Handy nutzen wolle, um sich einzuloggen, solle dieses ausschließlich fürs Login brauchen und ansonsten in der Schublade lassen. Sobald man aber andere Apps installiere – etwa Games – werde es gefährlich.
Die Postfinance, die neben dem gelben Gerät seit 2019 auch die Möglichkeit anbietet, sich per Gesichtserkennung einzuloggen, sieht das anders. "Der Zugang zu E-Finance wird mit Fingerprint und Face ID schneller und einfacher. Dank Verschlüsselung und Zweifaktorauthentifizierung erfüllt das Login via App die höchsten Sicherheitsansprüche", sagt Sprecher Johannes Möri. Welche Sicherheitsansprüche das seien, führt er aber nicht aus.