 |
# taz.de -- Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler" |
|
|
|
> Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der |
|
> IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der |
|
> Bewunderung für eine Zunft, die er eigentlich bekämpft. |
|
|
 |
Bild: Masken des Hacker-Kollektivs Anonymous: "Haben Lust daran, Systeme zu üb… |
|
|
|
taz: Herr Schönborn, was genau bringen Sie Ihren Klienten bei, damit sie |
|
zum Ethical Hacker werden? |
|
|
|
Michael Schönborn: Ich vermittle ihnen die Möglichkeiten zu hacken. Da |
|
schauen wir dann zum Beispiel, was es an öffentlich zugänglichen |
|
Informationen über eine Firma gibt und wie man diese für das Hacken gezielt |
|
nutzen könnte. Ich zeige auch, wie man Trojaner platziert oder Passwörter |
|
ausspäht. |
|
|
|
Geht es also nicht um die Abwehr von Cyber-Attacken? |
|
|
|
Doch, natürlich. Das ist wie bei der Kriegsführung: Man muss wissen, wie |
|
angegriffen wird, um sich ausreichend schützen zu können. Das Ganze spielt |
|
sich aber nicht nur virtuell ab. Wir schauen uns auch an, wie gut der |
|
Serverraum einer Firma gesichert ist und was für Schlösser verwendet |
|
werden. |
|
|
|
Ist es nicht leichtsinnig, so ein gefährliches Wissen einfach |
|
weiterzugeben? |
|
|
|
Das ist eine schwierige Frage. Das Wissen um diese Technik ist neutral. Es |
|
kommt darauf an wie man sie einsetzt. Man kann vielleicht die Frage |
|
stellen: Kann ich mir einen Staat ohne Armee erlauben, wenn er dadurch |
|
verwundbar würde? Mit dem Wissen, das ich anbiete, kann man auf jeden Fall |
|
viel Schaden anrichten, ähnlich wie ein Staat mit seiner Armee. Aber dieses |
|
Wissen ist auch unentbehrlich, um sich ausreichend schützen. |
|
|
|
Ist das Attribut "ethisch" dann nicht irreführend? |
|
|
|
Die Bezeichnung Ethical Hacker hört sich natürlich äußerst brisant an. Zwei |
|
gegensätzliche Begriffe, so ähnlich wie „schwarze Milch". „Ethisch" an |
|
meiner Arbeit ist, dass ich dasselbe Wissen eines Hackers habe, es aber im |
|
Positivem anwende. Ich selbst würde mich auch als ethischen Menschen |
|
bezeichnen. Ich würde nie einer Fliege etwas zuleide tun. |
|
|
|
Stellen Sie dann auch sicher, dass bei Ihnen nur ethisch einwandfreie |
|
Menschen geschult werden? |
|
|
|
Was mache ich denn mit einem Geschäft, das Messer verkauft? Das kann auch |
|
nicht jeden Käufer vorher überprüfen, ob er damit nichts Böses anstellen |
|
wird. Allerdings muss man dazusagen, dass der Kurs bei mir wahnsinnig teuer |
|
ist, was Privatpersonen ohnehin abschreckt. Die meisten werden von Firmen |
|
geschickt. Um Hacker zu werden, muss man auch nicht mein Training |
|
absolvieren. Dazu reicht ein Blick ins Netz. |
|
|
|
Wie sieht denn der "klassische" Hacker aus? |
|
|
|
Das lässt sich so einfach nicht sagen: Es gibt professionelle |
|
Industriehacker, die auf Firmen angesetzt werden, aber auch sogenannte |
|
"Skriptkiddies", die beim Hacken nur auf Zerstörung aus sind und daran Spaß |
|
haben. In Russland und der Ukraine, wo ich viel unterwegs bin, gibt es |
|
viele kriminelle Banden, die durch Hacken Millionäre geworden sind. Da |
|
werden Leute hoffnungslos ausgebeutet. Das ist furchtbar. Auf der anderen |
|
Seite gibt es aber auch Hacker, die nur Interesse daran haben, die Grenzen |
|
der Technik auszuloten und sie weiterzuentwickeln. |
|
|
|
Wie leicht ist es denn, Daten auszuspähen? |
|
|
|
Man kann nicht einfach denken: Da gibt es ein Passwort und das muss ich nur |
|
knacken, schon bin ich drin. Hacker betätigen sich eher als Künstler. Dabei |
|
muss man oft um viele Ecken denken und kreativ sein. Das reicht von |
|
"Dumpster Diving", also das Wühlen im Müll, um an Daten einer Firma zu |
|
kommen, bis hin zu "Social Engineering", das Knüpfen von Kontakten zu |
|
frustrierten Angestellten. Beliebt sind auch "Phishing"-Attacken. Da lockt |
|
man User über einen Link auf eine Seite, wo sie Daten angeben, die dann |
|
ausgespäht werden. |
|
|
|
Und das fällt nicht auf? |
|
|
|
Über Umleitungen kann man das so aufbauen, dass die Person kaum merkt, dass |
|
sie gerade gehackt wurde. |
|
|
|
Klingt kompliziert... |
|
|
|
Hacken ist ja generell die Lust daran, Systeme zu überlisten. Das ist damit |
|
vergleichbar, sein Mofa zu frisieren, dass es schneller fährt. Im Prinzip |
|
also nichts Negatives. Die meisten Hacker sind keine üblen Menschen, wie es |
|
die Presse oftmals darstellt. Das sind einfach Menschen mit Neugier. Aber |
|
natürlich passiert es dann schnell, dass man auf die kriminelle Seite |
|
gerät. |
|
|
|
Ist Hacking in dieser massiven Form ein neues Phänomen? |
|
|
|
Das Problem ist, dass IT-Systeme heutzutage immer komplexer werden. Ein |
|
gutes Beispiel ist die Entwicklung, dass jeder vom Handy aus Zugriff auf |
|
seine Emails hat. Allein dadurch ist für Hacker ein komplett neues |
|
Betätigungsfeld entstanden. Das eigentliche Problem dabei ist aber, dass |
|
die Entwickler solcher Systeme nicht immer das Thema Sicherheit im |
|
Hinterkopf haben. Für sie steht eher die Funktionalität und die |
|
Nutzerfreundlichkeit im Vordergrund. Das können Hacker dann ausnutzen. |
|
|
|
Wie beim Abhörskandal in Großbritannien? |
|
|
|
Ja. Das war eigentlich ein ganz einfacher Hack. Den hätte jeder machen |
|
können. Um Mailboxnachrichten auszuspähen, genügt es schon, ein paar Codes |
|
durchzuprobieren. Die meisten haben simple Zahlenfolgen, die sich einfach |
|
knacken lassen. Viele verwenden auch gar keinen Sperrcode. Das System ist |
|
einfach nicht sicher. |
|
|
|
Gibt es also noch zu wenige von Ihrer Zunft? |
|
|
|
Ja, auf jeden Fall. Die meisten IT-Leute spezialisieren sich eben nur auf |
|
die Firewall, also dass der Zugang zum Internet geschützt ist. Wenn Firmen |
|
ihre IT-Experten dann zu mir schicken, sind die häufig total überrascht, |
|
was es für Hacking-Möglichkeiten gibt. Das ist vergleichbar mit jemandem, |
|
der eine einbruchsichere Haustür hat, aber nicht an das Toilettenfenster |
|
denkt. Viele Firmen wollen auch einfach nicht so viel Geld für die |
|
Sicherheit ausgeben, weil man davon keinen unmittelbaren Profit hat. |
|
|
|
Was halten Sie eigentlich von politisch motiviertem Hacking à la Anonymous? |
|
|
|
Wenn es destruktiv ist, ist es auf jeden Fall falsch. Ich bin Pluralist und |
|
Verfechter der freien Meinungsäußerung. Ich habe allerdings keine Sympathie |
|
dafür, wenn Systeme kaputt gefahren werden. Wenn eine Website gehackt wird, |
|
um dort eine politische Botschaft zu platzieren, dann ist das für mich wie |
|
Graffiti. Davon halte ich nicht viel. |
|
|
|
Würden Sie uns bei all den Cyber-Attacken empfehlen, lieber offline zu |
|
bleiben? |
|
|
|
So viele Bereiche sind heutzutage vom Internet abhängig. In England wird |
|
sogar die Steuererklärung online abgewickelt. Sich vom Netz zu |
|
verabschieden, dafür ist es zu spät. Ein paar Tipps gibt es schon, um sich |
|
zu schützen: Bei Kreditkarten sollte man ein relativ niedriges Limit haben, |
|
falls mal was passiert. Und man sollte sich immer dessen bewusst sein, dass |
|
der eigene PC ausgespäht werden könnte. Auch Virenprogramme sind nur zu 90 |
|
Prozent sicher. |
|
|
|
22 Jul 2011 |
|
|
|
## AUTOREN |
|
|
 |
Marcus Goossens |
|
|
|
## TAGS |
|
|
|
Staatstrojaner |
|
Hackerangriff |
|
Hacker |
|
Cyberkriminalität |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Spionagebehörde Zitis in Deutschland: Backdoor im Gesetz |
|
|
|
Eine neue Spitzelbehörde soll für die Regierung Trojaner entwickeln und |
|
Schutzlücken kaufen. Am Donnerstag kommt sie – durch die Hintertür. |
|
|
|
Digitale Sicherheit der Bundesregierung: Virtuell abgeschaltet |
|
|
|
Ein Angriff hat die Internetseiten von Angela Merkel und dem Bundestag |
|
stundenlang lahmgelegt. Eine prorussische Hackergruppe bekannte sich zu der |
|
Aktion. |
|
|
|
Sicherheitsberater über Spähsoftware: „Fressen oder Moral“ |
|
|
|
Simon hat eine digitale Waffe gebaut. Das Tool wurde an die Diktatoren in |
|
Oman und Turkmenistan verkauft. Ein Gespräch über das Debakel des |
|
Waffenschmieds. |
|
|
|
Kriminelles Netzwerk lahmgelegt: FBI jagt Cyber-Gangster |
|
|
|
Über gehackte Computer hat ein weltweit agierendes Netztwerk über 500 |
|
Millionen Dollar erbeutet. Das FBI und Microsoft kamen den Tätern auf die |
|
Spur. |
|
|
|
Staatstrojaner gegen Drogendealer: Heimlicher Einbruch bei Dieben |
|
|
|
Bayerns LKA bricht auch mal heimlich in ein Firmenbüro ein, um |
|
Schnüffelsoftware zu installieren. Bisher haben Staatstrojaner mehr als |
|
160.000 Screenshots angefertigt. |
|
|
|
Hacker outen Blut-und-Ehre-Anhänger: "Operation Blitzkrieg" gegen Neonazis |
|
|
|
Die Hackergruppe "Anonymous" hat persönliche Daten mutmaßlicher Neonazis |
|
veröffentlicht. Diese sind Mitglieder des verbotenen "Blood & |
|
Honour"-Netzwerks. |
|
|
|
Der Hacker, eine Typologie: Alarm! Eindringlinge! Alarm! |
|
|
|
Nato, Sony und Blood & Honour: Regelmäßig dringen Computertüftler in fremde |
|
Datennetze ein. Warum machen die das? Der Versuch einer Einordnung. |
|
|
|
"Anonymous" in Österreich: Hacker-Angriff auf Parteien |
|
|
|
Website geknackt und Daten geklaut - In Österreich haben es die |
|
Anonymous-Hacker auf die Parteien abgesehen. Auf der FPÖ-Seite war |
|
stundenlang nur ein blaues Pony. |
|
|
|
Kommentar Cyberkrieg: Theoretisch bin ich Bundeskanzlerin |
|
|
|
Kaum wurden ein paar Internetseiten gehijackt und ein paar Dateien von |
|
schlecht geschützten Servern kopiert, ist das Geschrei wieder groß. Das |
|
muss doch nicht sein! |
|
|
|
Kleine Wortkunde: Hacker |
|
|
|
Neuerdings haben Neckermann, das Pentagon und Sony etwas gemeinsam: Sie |
|
alle wurden in den letzten Wochen Ziel von Hackerangriffen. Aber wer ist |
|
das? |
|
|
|
Abhörskandal "News of the World": Ein bisschen Sorry |
|
|
|
Premierminister Cameron bedauert, den früheren Chefredakteur Coulson |
|
eingestellt zu haben. Der ehemalige Generalstaatsanwalt belastet indes die |
|
Polizei. |
|
|
|
Gruppe Anonymous: FBI nimmt Paypal-Hacker fest |
|
|
|
Das FBI geht massiv gegen Hacker vor. Mehrere Mitglieder von Anonymous |
|
wurden festgenommen. Sie hatten den Bezahldienst Paypal gehackt. Weil diese |
|
Wikileaks das Konto gekündigt hatten. |
