taz.de/1/!5115886 - Gopher HTTP proxy

# taz.de -- Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler"

> Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der
> IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der
> Bewunderung für eine Zunft, die er eigentlich bekämpft.

IMG Bild: Masken des Hacker-Kollektivs Anonymous: "Haben Lust daran, Systeme zu überlisten."

taz: Herr Schönborn, was genau bringen Sie Ihren Klienten bei, damit sie
zum Ethical Hacker werden?

Michael Schönborn: Ich vermittle ihnen die Möglichkeiten zu hacken. Da
schauen wir dann zum Beispiel, was es an öffentlich zugänglichen
Informationen über eine Firma gibt und wie man diese für das Hacken gezielt
nutzen könnte. Ich zeige auch, wie man Trojaner platziert oder Passwörter
ausspäht.

Geht es also nicht um die Abwehr von Cyber-Attacken?

Doch, natürlich. Das ist wie bei der Kriegsführung: Man muss wissen, wie
angegriffen wird, um sich ausreichend schützen zu können. Das Ganze spielt
sich aber nicht nur virtuell ab. Wir schauen uns auch an, wie gut der
Serverraum einer Firma gesichert ist und was für Schlösser verwendet
werden.

Ist es nicht leichtsinnig, so ein gefährliches Wissen einfach
weiterzugeben?

Das ist eine schwierige Frage. Das Wissen um diese Technik ist neutral. Es
kommt darauf an wie man sie einsetzt. Man kann vielleicht die Frage
stellen: Kann ich mir einen Staat ohne Armee erlauben, wenn er dadurch
verwundbar würde? Mit dem Wissen, das ich anbiete, kann man auf jeden Fall
viel Schaden anrichten, ähnlich wie ein Staat mit seiner Armee. Aber dieses
Wissen ist auch unentbehrlich, um sich ausreichend schützen.

Ist das Attribut "ethisch" dann nicht irreführend?

Die Bezeichnung Ethical Hacker hört sich natürlich äußerst brisant an. Zwei
gegensätzliche Begriffe, so ähnlich wie „schwarze Milch". „Ethisch" an
meiner Arbeit ist, dass ich dasselbe Wissen eines Hackers habe, es aber im
Positivem anwende. Ich selbst würde mich auch als ethischen Menschen
bezeichnen. Ich würde nie einer Fliege etwas zuleide tun.

Stellen Sie dann auch sicher, dass bei Ihnen nur ethisch einwandfreie
Menschen geschult werden?

Was mache ich denn mit einem Geschäft, das Messer verkauft? Das kann auch
nicht jeden Käufer vorher überprüfen, ob er damit nichts Böses anstellen
wird. Allerdings muss man dazusagen, dass der Kurs bei mir wahnsinnig teuer
ist, was Privatpersonen ohnehin abschreckt. Die meisten werden von Firmen
geschickt. Um Hacker zu werden, muss man auch nicht mein Training
absolvieren. Dazu reicht ein Blick ins Netz.

Wie sieht denn der "klassische" Hacker aus?

Das lässt sich so einfach nicht sagen: Es gibt professionelle
Industriehacker, die auf Firmen angesetzt werden, aber auch sogenannte
"Skriptkiddies", die beim Hacken nur auf Zerstörung aus sind und daran Spaß
haben. In Russland und der Ukraine, wo ich viel unterwegs bin, gibt es
viele kriminelle Banden, die durch Hacken Millionäre geworden sind. Da
werden Leute hoffnungslos ausgebeutet. Das ist furchtbar. Auf der anderen
Seite gibt es aber auch Hacker, die nur Interesse daran haben, die Grenzen
der Technik auszuloten und sie weiterzuentwickeln.

Wie leicht ist es denn, Daten auszuspähen?

Man kann nicht einfach denken: Da gibt es ein Passwort und das muss ich nur
knacken, schon bin ich drin. Hacker betätigen sich eher als Künstler. Dabei
muss man oft um viele Ecken denken und kreativ sein. Das reicht von
"Dumpster Diving", also das Wühlen im Müll, um an Daten einer Firma zu
kommen, bis hin zu "Social Engineering", das Knüpfen von Kontakten zu
frustrierten Angestellten. Beliebt sind auch "Phishing"-Attacken. Da lockt
man User über einen Link auf eine Seite, wo sie Daten angeben, die dann
ausgespäht werden.

Und das fällt nicht auf?

Über Umleitungen kann man das so aufbauen, dass die Person kaum merkt, dass
sie gerade gehackt wurde.

Klingt kompliziert...

Hacken ist ja generell die Lust daran, Systeme zu überlisten. Das ist damit
vergleichbar, sein Mofa zu frisieren, dass es schneller fährt. Im Prinzip
also nichts Negatives. Die meisten Hacker sind keine üblen Menschen, wie es
die Presse oftmals darstellt. Das sind einfach Menschen mit Neugier. Aber
natürlich passiert es dann schnell, dass man auf die kriminelle Seite
gerät.

Ist Hacking in dieser massiven Form ein neues Phänomen?

Das Problem ist, dass IT-Systeme heutzutage immer komplexer werden. Ein
gutes Beispiel ist die Entwicklung, dass jeder vom Handy aus Zugriff auf
seine Emails hat. Allein dadurch ist für Hacker ein komplett neues
Betätigungsfeld entstanden. Das eigentliche Problem dabei ist aber, dass
die Entwickler solcher Systeme nicht immer das Thema Sicherheit im
Hinterkopf haben. Für sie steht eher die Funktionalität und die
Nutzerfreundlichkeit im Vordergrund. Das können Hacker dann ausnutzen.

Wie beim Abhörskandal in Großbritannien?

Ja. Das war eigentlich ein ganz einfacher Hack. Den hätte jeder machen
können. Um Mailboxnachrichten auszuspähen, genügt es schon, ein paar Codes
durchzuprobieren. Die meisten haben simple Zahlenfolgen, die sich einfach
knacken lassen. Viele verwenden auch gar keinen Sperrcode. Das System ist
einfach nicht sicher.

Gibt es also noch zu wenige von Ihrer Zunft?

Ja, auf jeden Fall. Die meisten IT-Leute spezialisieren sich eben nur auf
die Firewall, also dass der Zugang zum Internet geschützt ist. Wenn Firmen
ihre IT-Experten dann zu mir schicken, sind die häufig total überrascht,
was es für Hacking-Möglichkeiten gibt. Das ist vergleichbar mit jemandem,
der eine einbruchsichere Haustür hat, aber nicht an das Toilettenfenster
denkt. Viele Firmen wollen auch einfach nicht so viel Geld für die
Sicherheit ausgeben, weil man davon keinen unmittelbaren Profit hat.

Was halten Sie eigentlich von politisch motiviertem Hacking à la Anonymous?

Wenn es destruktiv ist, ist es auf jeden Fall falsch. Ich bin Pluralist und
Verfechter der freien Meinungsäußerung. Ich habe allerdings keine Sympathie
dafür, wenn Systeme kaputt gefahren werden. Wenn eine Website gehackt wird,
um dort eine politische Botschaft zu platzieren, dann ist das für mich wie
Graffiti. Davon halte ich nicht viel.

Würden Sie uns bei all den Cyber-Attacken empfehlen, lieber offline zu
bleiben?

So viele Bereiche sind heutzutage vom Internet abhängig. In England wird
sogar die Steuererklärung online abgewickelt. Sich vom Netz zu
verabschieden, dafür ist es zu spät. Ein paar Tipps gibt es schon, um sich
zu schützen: Bei Kreditkarten sollte man ein relativ niedriges Limit haben,
falls mal was passiert. Und man sollte sich immer dessen bewusst sein, dass
der eigene PC ausgespäht werden könnte. Auch Virenprogramme sind nur zu 90
Prozent sicher.

22 Jul 2011

## AUTOREN

DIR Marcus Goossens

## TAGS

DIR Staatstrojaner
DIR Hackerangriff
DIR Hacker
DIR Cyberkriminalität
DIR Schwerpunkt Überwachung

## ARTIKEL ZUM THEMA

DIR Spionagebehörde Zitis in Deutschland: Backdoor im Gesetz

Eine neue Spitzelbehörde soll für die Regierung Trojaner entwickeln und
Schutzlücken kaufen. Am Donnerstag kommt sie – durch die Hintertür.

DIR Digitale Sicherheit der Bundesregierung: Virtuell abgeschaltet

Ein Angriff hat die Internetseiten von Angela Merkel und dem Bundestag
stundenlang lahmgelegt. Eine prorussische Hackergruppe bekannte sich zu der
Aktion.

DIR Sicherheitsberater über Spähsoftware: „Fressen oder Moral“

Simon hat eine digitale Waffe gebaut. Das Tool wurde an die Diktatoren in
Oman und Turkmenistan verkauft. Ein Gespräch über das Debakel des
Waffenschmieds.

DIR Kriminelles Netzwerk lahmgelegt: FBI jagt Cyber-Gangster

Über gehackte Computer hat ein weltweit agierendes Netztwerk über 500
Millionen Dollar erbeutet. Das FBI und Microsoft kamen den Tätern auf die
Spur.

DIR Staatstrojaner gegen Drogendealer: Heimlicher Einbruch bei Dieben

Bayerns LKA bricht auch mal heimlich in ein Firmenbüro ein, um
Schnüffelsoftware zu installieren. Bisher haben Staatstrojaner mehr als
160.000 Screenshots angefertigt.

DIR Hacker outen Blut-und-Ehre-Anhänger: "Operation Blitzkrieg" gegen Neonazis

Die Hackergruppe "Anonymous" hat persönliche Daten mutmaßlicher Neonazis
veröffentlicht. Diese sind Mitglieder des verbotenen "Blood &
Honour"-Netzwerks.

DIR Der Hacker, eine Typologie: Alarm! Eindringlinge! Alarm!

Nato, Sony und Blood & Honour: Regelmäßig dringen Computertüftler in fremde
Datennetze ein. Warum machen die das? Der Versuch einer Einordnung.

DIR "Anonymous" in Österreich: Hacker-Angriff auf Parteien

Website geknackt und Daten geklaut - In Österreich haben es die
Anonymous-Hacker auf die Parteien abgesehen. Auf der FPÖ-Seite war
stundenlang nur ein blaues Pony.

DIR Kommentar Cyberkrieg: Theoretisch bin ich Bundeskanzlerin

Kaum wurden ein paar Internetseiten gehijackt und ein paar Dateien von
schlecht geschützten Servern kopiert, ist das Geschrei wieder groß. Das
muss doch nicht sein!

DIR Kleine Wortkunde: Hacker

Neuerdings haben Neckermann, das Pentagon und Sony etwas gemeinsam: Sie
alle wurden in den letzten Wochen Ziel von Hackerangriffen. Aber wer ist
das?

DIR Abhörskandal "News of the World": Ein bisschen Sorry

Premierminister Cameron bedauert, den früheren Chefredakteur Coulson
eingestellt zu haben. Der ehemalige Generalstaatsanwalt belastet indes die
Polizei.

DIR Gruppe Anonymous: FBI nimmt Paypal-Hacker fest

Das FBI geht massiv gegen Hacker vor. Mehrere Mitglieder von Anonymous
wurden festgenommen. Sie hatten den Bezahldienst Paypal gehackt. Weil diese
Wikileaks das Konto gekündigt hatten.