Gute Zeiten für Hacker?
Neuste Artikel

Gute Zeiten für Hacker?

Ein Anruf bei dem Mann, der sich als berühmtester Hacker der Welt bezeichnet. Wir erreichen ihn in seinem Büro in Las Vegas, wo er versucht, ein paar Fragen zu beantworten: «Hallo, Herr Mitnick, können Sie mich hören?» Die Verbindung bricht ab.

Mitnick ruft zurück. «Ist es jetzt besser?», möchte er wissen. «Nein, ich kann Sie kaum verstehen. Was ist denn bei Ihnen los?» Er möchte keine Details verraten, aber er habe Sicherheitsvorkehrungen getroffen, man wisse ja nie, wer mithöre. «Sie müssen davon ausgehen, dass jedes Telefongespräch belauscht wird. Wir haben gelernt, dass die NSA vor nichts haltmacht», sagt der Hacker, dessen Spezialität es einst war, Telefongespräche abzuhören. Im Festnetz oder mobil zu telefonieren, hält er für Wahnsinn. «Wenn Sie frei sprechen wollen, dann nur über eine Internetverbindung mit End-to-End-Verschlüsselung.»

Niemand kann Kevin Mitnick vorwerfen, paranoid zu sein, was die Sicherheit seiner Kommunikation angeht. Das FBI hatte ihn drei Jahre lang durch Amerika gejagt und schliesslich gefasst, bevor ihn ein Richter 1999 zu fünf Jahren Gefängnis verurteilte. Da hatte er bereits gut vier Jahre in Haft verbracht, für die letzten acht Monate schickte man ihn in Isolationshaft. «Der Staatsanwalt konnte die Justiz überzeugen, dass ich vom Gefängnis aus einen Atomkrieg auslösen könne – und zwar indem ich in ein Telefon pfeife», erzählt Mitnick. «War natürlich nicht wahr. Meine drakonische Strafe sollte ein Zeichen setzen.»

15 Jahre nach seiner Entlassung betreibt Mitnick die gemäss eigenen Angaben florierende Firma Mitnick Security, die Grossunternehmen und Behörden in Sicherheitsfragen berät. Seinem Terminplan nach zu urteilen, reist er nahezu pausenlos durch die Welt, um Vorträge und Schulungen abzuhalten; seine Facebook-Seite deutet darauf hin, dass er auf Reisen gerne exotische Cocktails probiert. Seine Bücher sind Bestseller und seine Hackerkarriere war Grundlage für einen Hollywood-Film («Takedown») sowie mehrere Dokumentationen.

Nicht mehr nur Kriminelle

Noch vor wenigen Jahren hätten die meisten Sicherheitschefs mit dem Finger an die Stirn getippt, wenn ihnen jemand geraten hätte, einen vorbestraften Hacker einzuladen, um ihre Computersysteme gegen Angriffe zu sichern. Doch Hacker – oder Sicherheitsrechercheure, wie sie sich lieber nennen – leben in einem goldenen Zeitalter. Sie profitieren davon, dass Soft- und Hardware-Hersteller angesichts von immer mehr und immer perfideren Angriffen dringend Schutzmechanismen suchen.

Merijn Terheggen, der CEO von HackerOne, einer Agentur, die die Dienste von Hackern an Unternehmen vermittelt, sagt: «Alle zwei Jahre verdoppelt sich die Leistung der Chips in unseren Geräten. Alle paar Monate verdoppelt sich die Komplexität der Anwendungen auf den Geräten. Aus dieser Kombination ergibt sich, dass die Zahl der Sicherheitslücken exponentiell steigt. Sie sind ganz einfach für niemanden mehr kontrollierbar.» Seine Schlussfolgerung: «In 18 bis 24 Monaten werden weltweit alle grösseren Unternehmen Programme betreiben, mit denen sie die Kreativität von Hackern für ihren Schutz nutzen.»

Kevin Mitnick ist 52 Jahre alt, also etwa 35 Jahre älter als der durchschnittliche Hacker, der irgendwo in Pakistan oder Bolivien am Bildschirm sitzt, um im Netz nach Sicherheitslücken zu stöbern. Mitnick geniesst das neue Zeitalter: «Der grösste Unterschied zu meiner Jugend ist, dass Hacker nicht mehr grundsätzlich als Kriminelle gesehen werden. Hätte es diese Möglichkeiten zu meiner Zeit gegeben, hätte ich meine Neugier und Experimentierlust legal ausleben können.»

Seine Karriere begann mit harmlosen Streichen als 13- oder 14-Jähriger. Später brach er in die Systeme aller grossen Telekommunikationskonzerne der USA ein, hörte Gespräche ab und klaute Sourcecodes, die digitale DNA der Firmen. Auch das FBI trickste er aus. Mitnick fand die Mobilnummern der Ermittler und entwickelte ein Alarmsystem, das ihn benachrichtigte, sobald ein Agent sich ihm näherte. Dieses Katz-und-Maus-Spiel trieb Mitnick fast drei Jahre lang – quer durch Nordamerika. Es half, dass die Natur ihn mit einem Gesicht ausstattete, an dem alles durchschnittlich ist: Brille, Haare, Stimme – in Mitnicks Erscheinung steckt nichts, woran man sich nach zwei Minuten noch erinnern kann.

Er besteht darauf, dass seine Verbrechen von den Behörden gnadenlos übertrieben wurden. Sein Lieblingshack: Als er beim lokalen McDonald’s-Drive-in die Gegensprechanlage enterte. «Ein Polizeiwagen fuhr vor, die Beamten wollten Essen bestellen. Ich rief durch die Lautsprecher: ‹Schmeiss das Koks weg! Schmeiss das Koks weg!› Bei den Angestellten brach Panik aus. Die Polizisten guckten verwirrt.» Mitnick lacht noch heute, wenn er Anekdoten aus seiner Jugend erzählt.

Damals konnte sich niemand eine Welt vorstellen, in der alles digital vernetzt ist, Geldverkehr, Waffenhandel, Partnersuche. Vor Kurzem feierte der Film «Hackers» sein 20-Jahre-Jubiläum, doch mit dem romantischen Image der Hacker von damals hat das heutige Geschäft nichts gemein. «Was wir immer mehr sehen, sind kleine Gruppen oder einzelne Kriminelle, die Fähigkeiten entwickeln, die früher nur staatlichen Institutionen zugänglich waren», sagt Michael V. Hayden, ehemaliger Direktor der National Security Agency. «Welche Probleme sich daraus ergeben, ist offensichtlich.»

Weltkrieg im Internet

Im Oktober berichtete die «Washington Post» von einem albanischen Hackerkollektiv namens Kosova Hacker’s Security (KHS). Es hatte über die Website eines amerikanischen Onlinehändlers die persönlichen Daten von 100’000 Kunden geklaut, darunter 1351 Angestellte des Militärs. Diese Daten verkaufte KHS meistbietend: an den IS. Junaid Hussain, ein britisch-pakistanisches IS-Mitglied, postete die Informationen inklusive Adressen und Telefonnummern auf Twitter, mit dem Hinweis: «Unsere Kämpfer werden eure Nacken in eurer Heimat zerschlagen.» Das FBI nahm den Anführer von KHS in Malaysia fest, während Hussain bei einem Drohnenangriff in Syrien getötet wurde.
Im Internet tobt ein Weltkrieg, dessen Schlachtfelder unsichtbar sind. Alle Systeme stehen unter Angriff, rund um die Uhr. Jedes Netzwerk wird ständig getestet. Nur bemerken die Opfer es meist erst, wenn es zu spät ist. Der Einzelhandelsgigant Target erfuhr von einem Programmierfehler in der Klimaanlage erst, als Hacker über diese Sicherheitslücke vierzig Millionen Kundendaten gestohlen hatten. Sony und das US-Verteidigungsministerium, die amerikanische Tochter der Deutschen Telekom oder Fiat Chrysler wurden Opfer spektakulärer Hacks.
 
Unternehmen befinden sich in einem permanenten Verteidigungsmodus – sie ahnen allerdings nicht, woher die Angriffe kommen und wie schwerwiegend sie sind. Der Telekommunikationskonzern Verizon analysierte 2122 Hacks des letzten Jahres und stellte fest: Bei fast zwei Dritteln dieser Attacken wurde innerhalb weniger Minuten Schaden angerichtet. Kommen die Angriffe aus Nordkorea oder von der NSA? Von der Konkurrenz oder einem Mitarbeiter? War es bloss ein Teenager in Südafrika? Der technische Fortschritt verhilft den Hackern anscheinend zu einem riesigen Vorsprung. Haben Unternehmen, die auf einen Internetanschluss nicht verzichten wollen, das Innovationsrennen von vornherein verloren?

18 Millionen aktive Hacker

Kevin Mitnick rät seinen Kunden, schon bei der Entwicklung der Software mit Hackern zusammenzuarbeiten, die im laufenden Prozess nach Schwachstellen forschen. «Viele Unternehmen, besonders im Tech-Sektor praktizieren das bereits», sagt er. Er fordert mehr digitales Sicherheitstraining für die Mitarbeiter.

Von den derzeit beliebten sogenannten Bug-Bounty-Programmen, mit denen Unternehmen Hacker für jeden gefundenen Fehler honorieren, hält Mitnick nicht viel. «In der Mehrheit der Fälle mag es funktionieren. Aber es besteht das Risiko, dass sich ein krimineller Angreifer unter die wohlgesinnten Hacker mischt und seinen Fund auf dem schwarzen Markt verkauft.»

18 Millionen Hacker sind laut HackerOne, die die Dienste von Hackern an Unternehmen vermittelt, weltweit aktiv. Wie soll man die kontrollieren? Auch Mitnick betreibt auf seiner Website einen Marktplatz für Zero-Day-Exploits, also Schwachstellen, die noch nicht behoben worden sind. Doch bei ihm darf nur teilnehmen, wer eingeladen wird.

Eine Sicherheitslücke zu entdecken und zu verkaufen, ist nicht illegal. Nur wer mit der Information Schaden anrichtet, macht sich strafbar. Die «Vulnerability Economy», wie der globale Handel mit Sicherheitslücken genannt wird, boomt.

Im defensiven Teil des Marktes operieren die Akteure, die Systemfehler kaufen, um sie den betroffenen Unternehmen anzubieten. Das können Broker sein, die im Auftrag von Firmen bestimmte Informationen vom Markt nehmen, auch Bug-Bounty-Programme gehören in diese Kategorie. Üblicherweise werden zwischen 500 und 20'000 Dollar pro Hack gezahlt. In Einzelfällen haben Microsoft und Facebook auch schon über 100'000 Dollar überwiesen.

Auf dem offensiven Markt handeln vor allem Staaten und das organisierte Verbrechen. Mitnick sagt, dass hier die Preise für einen Bug siebenstellig ausfallen könnten. Den Teilnehmern geht es darum, Systemfehler möglichst lange vom defensiven Markt fernzuhalten, um sie länger ausnutzen zu können.

Immer wieder werden spektakuläre Hacks bekannt – bei Behörden, Konzernen, Schulen. Kann sich Mitnick ein System vorstellen, das totale Sicherheit garantiert? «Natürlich», sagt er. «Man muss die wirklich wichtigen Daten hinter einem Air Gap verstecken.» Anders gesagt: Wer sich schützen will, dem bleibt nichts anderes übrig, als sich physikalisch vom Internet abzunabeln.