Der 10-Millionen-Raub

Wieder mal nicht zu fassen. Die alte Masche.

Es gab doch gerade diesen Wahnsinnseinbruch in Berlin, wo sie – nur als Beifang, das war nicht mal das Ziel – 1000 Luxusuhren im Wert von 10 Millionen Euro geklaut haben und die Frage aufkam, wie sie eigentlich durch die Tresortür gekommen sind.

Die BZ zeigt nun Fahndungsfotos und ein Video der Täter. Sie haben zwar die Überwachungskameras kaputt gemacht und Corona-Masken getragen (neulich hat mich auf Twitter noch jemand als blöd und rechts hingestellt, weil ich bei einer Polizeifahndung nach maskierten Räubern fragte, ob Corona-Masken gemeint sind, ach, ja, das da:

Nicht nur bisher schon viele Räuber, sondern eben auch die hier hatten Corona-Masken auf. Merke: Auch Rothaarige können unfassbar blond sein.

Und wie sind sie da rein gekommen?

Aus Sicherheitskreisen verlautete, dass sich die Täter am Tag vor dem Bruch bei der Bank als neue Mitarbeiter einer Sicherheitsfirma ausgegeben hatten und so in den Besitz der notwendigen Sicherheitscodes gekommen waren.

Der älteste Trick von allen?

Habe ich bei Sicherheitsuntersuchungen schon – vor Zeugen – vorgeführt, dass ich Leuten das Passwort ziehe wie Zahnäzte Zähne. Schon dreimal geschafft, dass Leute mir ihr Passwort sagten. Ich verrate hier nur nicht wie. Schon in der Anfangszeit meiner Tätigkeit ging so eine Legende herum, dass irgendwo in den USA ein Sicherheitsexperte mal innerhalb von einer Minute irgendeinen gewaltigen Geldbetracht – weiß nicht mehr, halbe Million oder sowas – verdient habe, weil er in eine Firma zu deren Chef für eine Untersuchung kam, und deren arroganter Chef großspurig meinte, bei ihnen gäbe es keine Sicherheitsklöcher, und er gebe ihm den Betrag x (500.000 oder was es eben war), wenn er eines finde. Sicherheitsexperte steht auf, macht die Tür auf, und ruft laut über den Gang „Wie war noch mal das Root-Passwort?“ und aus irgendeinem Zimmer kam die Antwort.

Seither weiß ich, und das hat sich oft bewahrheitet, dass social engineering erstaunlich gut wirkt, und einfacher als die ausgefeilteste abgefahrene Hackertechnik noch immer ist, einfach höflich zu fragen und eine gute Legende zu haben. Ihr glaubt nicht, was man alles erfährt, wenn man nur richtig fragt.

Und dass da einfach welche kommen und sich als neue Mitarbeiter einer Sicherheitsfirma ausgeben können, ist ein so uralter, aber immmer wieder funktionierender Trick, dass man sich schon wundern muss, dass jemand darauf reinfällt. Und natürlich, dass das überhaupt so gesichert ist, dass man da mit dem Wissen weitergesagter Codes schon reinkommt.

Aber was soll ich noch groß über (IT-)Sicherheit sagen?