Es gibt Menschen die fürs Hacken und Einbrechen bezahlt werden. Sogenannte Penetrations-Tests – kurz Pen-Test – sollen mögliche Lücken in einem System aufdecken, bevor sie von Kriminellen gefunden und ausgenützt werden können. Normalerweise sind Pen-Tester erfahrene Hacker und haben etliche abgesprochene Einbrüche, erfolgreich oder nicht, hinter sich. 2014 erhielt John Strands Sicherheitsfirma Black Hills einen Auftrag für ein Gefängnis in South Dakota. Damals brach weder er noch seine Kollegen in das Gefängnis ein, sondern seine 58 jährige Mutter Rita Strand, wie "Wired" berichtete.

Auf Wunsch der Mutter

"Eines Tages kam sie auf mich zu und sagte, dass sie gerne wo einbrechen würde… es war meine Mutter, was hätte ich sagen sollen?" erzählte John Strand bei einer RSA Cybersecurity-Konferenz, die diese Woche stattfand. Er schilderte einen Pen-Test-Auftrag, den seine Firma 2014 für ein Gefängnis in South Dakota erhielt.

Rita Strand arbeitete knapp 30 Jahre in der Gastronomie, bevor sie Finanzchefin von Black Hills wurde. Ihre jahrelange Erfahrung gab ihr das nötige Selbstbewusstsein sich als Gesundheitsinspektorin auszugeben. Black Hills bewaffnete die Dame mit einem gefälschten Ausweis und einer Manager-Visitenkarte, auf der die Kontaktinformationen von John Strand angegeben waren. Da sie selbst über keine Hacking-Fähigkeiten verfügte, bekam sie USB-Sticks mit schadhafter Software. Ihr Auftrag: Fotos machen und die Sticks an jeden für sie erreichbaren Computer anstecken. Dadurch hätten die Kollegen von Black Hills Zutritt zu den IT-Systemen erhalten sollen.

"Viele fühlen sich unwohl bei den ersten paar Versuchen, aber sie war bereit. Gefängnis-Cybersecurity ist essenziell. Wenn jemand einbrechen und die Kontrolle über die Systeme erhalten könnte, wäre es nicht schwer jemanden aus dem Gefängnis zu befreien." sagte John Strand.

In einem Café in der Nähe des Gefängnisses errichtete Black Hills ihre Basis für den Auftrag. Neben Kaffee und Kuchen bauten sie ihre Laptops, mobile Hot-Spots und andere Hack-Gadgets auf. Dann schickten sie Rita Strand los.

Keinerlei Widerstände

Ein Pen-Test sollte so schnell wie möglich durchgeführt werden, um kaum Aufmerksamkeit zu erregen. "Nach einer Stunde hatte ich Panik" erzählte John Strand. Plötzlich leuchteten die Laptops auf, Black Hills hatte Zugriff auf die Gefängnis-Systeme.

Im Gefängnis soll es keinerlei Widerstände gegeben haben: Sie gab an eine Überraschungs-Gesundheitsinspektion zu machen. Man gewährte ihr Zutritt, das Handy durfte sie behalten. Sie konnte ihre gesamte Operation aufzeichnen: Temperaturmessungen der Kühlschränke, vorgetäuschte Bakteriensuche an Böden und Theken und nach abgelaufenen Zutaten hatte sie gesucht. Sie gab auch an die Bedienstetenräume untersuchen zu wollen. Es gab keine Einwände. Sogar den Server-Raum durfte sie inspizieren.

Am Ende der Durchsuchung bestellte der Gefängnisdirektor die vermeintliche Gesundheitsinspektorin in sein Büro. Er bat um Tipps zur Verbesserung des Essens-Services. Rita Strand überreichte ihm einen speziell präparierten USB-Stick. Darauf befand sich eine Checkliste für künftige Inspektionen, sie erwähnte aber natürlich nicht die Schadsoftware. Nach einem Klick auf die Checkliste war Black Hills in ihren Systemen.

Pen-Test zeigte wesentliche Lücke

"Es war ein überwältigender Erfolg… Selbst wenn jemand behaupte, er wäre Liftinspektor, Gesundheitsinspektor oder was auch immer, wir müssen besser darin werden, die Leute auszufragen. Nicht einfach blind annehmen.

Rita Strand starb im Jahr 2016 an Bauchspeicheldrüsenkrebs. Einen weiteren Pen-Test konnte sie nicht machen. John Strand verriet nicht, um welches Gefängnis es sichhandelte, nur dass es mittlerweile geschlossen wurde. Aber ihr Auftrag soll Früchte getragen haben: "Die Sicherheit im Gefängnis wurde nach dem Pen-Test hochgeschraubt. Ich glaube auch dass sich ihr Gesundheitsprogramm verbesserte" sagte John Strand. (emko, 28.02.2020)