Berufshacker: Forscher, Künstler, Konstrukteure

Er sitzt im Dunklen, trägt einen Hoodie und lässt giftgrüne Zahlen über den Bildschirm flattern: der klischeehafte Hacker, bekannt aus Fernsehen und Symbolbildern. Sieht albern aus, ist es auch.

Echte Hacker sind keine Halunken. "Hacker bauen Dinge auf, Cracker zerstören sie", schreibt der Autor und Softwareentwickler Eric Raymond. Cracker? Das sind die Kriminellen, die Passwörter knacken und unerlaubt in Computer einbrechen. Doch über Hackerkreise hinaus fand die Bezeichnung keinen Anklang. Stattdessen grenzte man die guten von den bösen Hackern durch ein Symbol ab, das alten Western-Filmen entlehnt ist: Der Held trägt einen weissen Hut, der Schurke einen schwarzen. Und für die, die sich nicht festlegen wollen, gibt es einen grauen Hut.

Der richtige Umgang mit Schwachstellen

Black Hats dringen illegal in Systeme ein, um an Geld zu kommen, oder einfach nur um Schaden anzurichten. Grey Hats leben in der Grauzone: Sie verstossen teilweise gegen Gesetze, jedoch nicht aus Eigennutz, sondern weil sie – zumindest vorgeblich – höhere Ziele verfolgen. Und White Hats oder auch Ethical Hacker nennt man jene, die ausschliesslich im legalen Rahmen arbeiten, im Auftrag von Organisationen oder im Dienst der Allgemeinheit.

White Hats sehen sich selbst in der Pflicht, Sicherheitslücken in IT-Systemen aufzudecken. Was die Veröffentlichung dieser Schwachstellen betrifft, gilt allerdings eine Art Gentlemen’s Agreement. Es nennt sich Responsible Disclosure, auf Deutsch: verantwortungsvolle Offenlegung. Das bedeutet, dass ein Ethical Hacker eine gefundene Sicherheitslücke zuerst dem Softwarehersteller oder dem betroffenen Unternehmen meldet und erst später publik macht.

Die Idee dahinter: Der Hersteller oder der Betroffene bekommt Zeit, damit er die Lücke schliessen kann. Ein Grey Hat würde die Schwachstelle womöglich direkt offenlegen, um öffentlichen Druck auszuüben. Und ein Black Hat würde die Sicherheitslücke wohl verkaufen oder selbst ausnutzen.

In der Realität ist diese Einteilung in Gut und Böse nicht vorprogrammiert. Es gibt Hacker, welche die Seite wechseln. Doch es spricht einiges dafür, dass man so etwas nur einmal macht.

Von der Neugier getrieben

Patrick Brielmayer kennt die Welt der Black Hats. Er war früher selbst einer. Am Anfang war es pure Neugier, wie er sagt. Er war 15, trieb sich auf Hacker-Foren herum und kaufte sich dort ein Tool zum Verschlüsseln von Schadsoftware. Zwei Wochen später taugte es nicht mehr, weil es von den gängigen Antivirenprogrammen erkannt wurde. Deswegen fing er an, sich das Programmieren beizubringen. Ein Jahr darauf hatte er sein eigenes Tool, mit dem man Malware via Skype oder per Mail verschicken konnte – ohne dass die Antivirenprogramme Alarm schlugen. Später entwickelte er Trojaner, experimentierte mit Botnets und verdiente sein Geld im Darknet.

Was hat Brielmayer dazu getrieben? "Es war der Reiz des Verbotenen", sagt er. "Vielleicht hat es auch mit Macht zu tun: Man tut es, weil man es kann."

Im Studium wechselte er die Seite. "Ich war es leid, ständig über die Schulter zu schauen. Mir war klar: Irgendwann wird jeder geschnappt." Er ist allerdings davongekommen. "Ich war vorsichtig. Und ich habe früh genug damit aufgehört."

Patrick Brielmayer ist ein ehemaliger Black Hat, der heute als Ethical Hacker Unternehmen in Sicherheitsfragen berät. (Source: Netzmedien)

Heute sieht sich Brielmayer als Ethical Hacker. Er berät Firmen in Sicherheitsfragen, analysiert Malware und führt Penetration Tests durch, dringt also im Auftrag von Unternehmen in Systeme ein, um ihre Schwächen zu finden und zu beheben. Über seine Zeit als Black Hat spricht er offen, auch gegenüber den Kunden, wie er sagt. Wer auf die gute Seite gewechselt habe, sollte von seinen Erfahrungen berichten.

"Black Hat zu sein, ist nicht schwer", sagt er. "Man muss nur die Lücke finden und schuldet niemandem Rechenschaft. White Hats hingegen müssen die Lücke auch schliessen, möglichst sichere Systeme aufbauen, die Verantwortung dafür übernehmen und den Kriminellen einen Schritt voraus sein."

Kommt eine Rückkehr auf die dunkle Seite infrage? "Auf keinen Fall. Wer sich ein Standing als Ethical Hacker erarbeitet hat, will das nicht verlieren."

Vertrauen ist schwer verdientes Kapital

Black Hats, die auf die gute Seite wechseln – früher kam das öfter vor. Das wohl berühmteste Beispiel ist Kevin Mitnick, der in den 1980er und 1990er Jahren unter anderem in die Netzwerke des Pentagons und der NSA eindrang, fünf Jahre im Gefängnis sass und heute seine eigene Sicherheitsfirma leitet.

Doch inzwischen rümpft man in der IT-Sicherheitsbranche die Nase über Hacker mit einer zwielichtigen Vergangenheit. Wohl auch deswegen, weil Black Hats in der Belegschaft ein Risiko darstellen könnten, vor allem für den eigenen Ruf.

In IT-Sicherheitsfirmen findet man heutzutage kaum noch ehemalige Black Hats, wie Luca Cappiello sagt. Er leitet ein Team von Penetration-Testern bei Infoguard. Integrität ist für ihn ein hohes Gut. "Für einen White Hat ist Vertrauen das wichtigste Kapital. Das muss man sich erarbeiten. Keiner, der das geschafft hat, setzt es leichtfertig aufs Spiel."

Zudem gibt es mittlerweile genug Möglichkeiten, ganz legal ins Hacken einzusteigen. Besonders beliebt sind Capture-the-Flag-Wettbewerbe. Da können angehende Hacker auf spielerische Weise lernen, IT-Umgebungen zu analysieren, ihre Schwächen zu finden, sie auszunutzen und Systeme abzusichern. Solche Wettbewerbe bieten auch eine Plattform, um Talente zu finden.

Gesucht: hartnäckige Tüftler, die gut mit Worten umgehen können

Theoretisches Wissen ist wichtig: Software- und Webentwicklung, Kryptographie und Netzwerktechnik sind nur einige Fachgebiete, mit denen Hacker sich auskennen sollten. Luca Cappiello achtet aber vor allem auf charakterliche Stärken.

"Die wichtigsten Skills für einen Penetration Tester sind Neugier und Ausdauer", sagt er. Denn die Jagd auf Schwachstellen kann mühsam sein. Wer es richtig machen will, kann sich nicht nur auf technische Hilfsmittel wie Software für die automatische Analyse von Netzwerken verlassen. Es braucht Zeit und Erfahrung, um zwischen Code-Zeilen Muster zu erkennen, Sicherheitslücken umfassend aufzudecken, sie zu beurteilen und zu beheben.

Luca Cappiello leitet ein Team von Penetration-Testern bei der IT-Sicherheitsfirma Infoguard. (Source: Netzmedien)

Auch auf zwischenmenschliche Fähigkeiten kommt es an. Zum einen arbeiten Pentester meistens in Teams, wobei jeder sein Spezialgebiet hat. Zum anderen gehört es zum Job, Befunde zu präsentieren, Berichte zu schreiben und Strategien zu besprechen. "Dabei muss man seine Sprache und Schreibweise anpassen können", sagt Cappiello, "je nachdem, ob man die Belegschaft eines Unternehmens, das Management oder IT-Sicherheitsleiter ansprechen will."

Ausspähen, Aushecken, Ködern

Die Kernaufgabe bleibt jedoch das Hacken. Dabei sitzen Pentester nicht nur am Rechner und überprüfen Anwendungen wie Onlineshops. Sie dringen auch in Gebäude ein, um zu testen, ob der Serverraum, das Archiv oder der Tresor tatsächlich sicher vor Zugriffen sind. Ob nun aber die physische oder die digitale Sicherheit auf dem Prüfstand steht, das Vorgehen bleibt gleich: Erst kommt die Recherche, dann kommt der Coup.

Hacken erfordert einen detektivischen Spürsinn. Denn zunächst geht es darum, möglichst viel über das Ziel zu erfahren: Wer arbeitet dort? Wer geht ein und aus? Welche Sicherheitsvorkehrungen gibt es? Je mehr Informationen zusammenkommen, desto leichter fällt es, Schwachpunkte zu finden.

Anschliessend folgt der kreative Teil: Ideen aushecken, Angriffe modellieren und durchziehen. Als Einfallstor dient häufig ein simpler, aber effektiver Trick namens Phishing. Das funktioniert etwa so: Ein täuschend echt gestaltetes E-Mail fordert den Leser dazu auf, einen Link anzuklicken, um sich einzuloggen. Womöglich unter dem Vorwand, dass seine Zugangsdaten nicht mehr sicher seien und deswegen erneuert werden müssten. Der Leser klickt, loggt sich ein, und schon hat er seine Daten dem Angreifer preisgegeben.

Das Perfide am Phishing: Die Angreifer nutzen die Gutgläubigkeit ihrer Opfer aus. Nach demselben Prinzip funktionieren viele weitere Methoden, die zum Repertoire eines Social Engineers gehören.

Die Kunst, Menschen zu manipulieren

"In Banken einzubrechen, ist kein Problem", sagt Ivano Somaini. Er schaffte es mehrfach. Niemand hat ihn erwischt. Er war allerdings nicht kriminell, sondern Pentester, spezialisiert auf Social Engineering. Heute leitet er die Zürcher Filiale von Compass Security Schweiz.

Ivano Somaini hat sich auf Social Engineering spezialisiert und leitet die Zürcher Filiale von Compass Security Schweiz. (Source: Netzmedien)

Ein Social Engineer bringt Menschen dazu, etwas freiwillig zu tun, was sie eigentlich nicht tun sollten oder nicht tun wollen. Das muss nicht zwingend schaden. "Kindererziehung ist manchmal auch Social Engineering", sagt Somaini. Doch Hacker wollen meistens Menschen dazu verleiten, etwas Falsches anzuklicken, sensible Informationen zu verraten oder jemanden hereinzubitten, der nicht hineindürfte.

Wie bricht man in eine Bank ein? Jedenfalls nicht mit der Brechstange. "Manchmal verkleiden wir uns, etwa als Mitarbeiter oder als Techniker, geben uns freundlich und unbeholfen. Teilweise reicht das schon, um reinzukommen."

Aber es geht auch ohne Kostüm: Man platziere einen USB-Stick auf einen Schreibtisch, klebe einen Post-it-Zettel drauf, auf dem "vertraulich" steht. Wer den Stick in einen Rechner steckt, findet beispielsweise eine Excel-Datei mit dem Titel "Löhne 2021". Ein Klick zu viel – und auf dem Rechner läuft ein Trojaner, der dem Hacker Tür und Tor öffnet.

Social Engineers haben viele solcher Kniffe auf Lager. Es geht immer darum, die Hilfsbereitschaft, die Neugier oder die Angst von Menschen auszunutzen.

Wer aufklären will, braucht Feingefühl

"Das Wichtigste für einen guten Social Engineer ist Empathie", sagt Somaini. Man muss sich in sein Gegenüber einfühlen und behutsam vorgehen. Denn Menschen zu täuschen, mit Emotionen zu spielen – "das kann heftige Reaktionen auslösen".

Ausserdem dürfen solche Angriffe nicht zu raffiniert sein. "Wir machen es so, dass die Mitarbeiter die Möglichkeit haben, uns zu erwischen. Zum Beispiel, indem wir uns mit der Zeit immer etwas auffälliger verhalten."

Warum? Weil Ethical Hacker in erster Linie für Risiken sensibilisieren wollen. "Das Ziel ist, Awareness zu schaffen." Das funktioniert nur, wenn die Leute erkennen, worauf sie achten sollen. Beim Phishing beispielsweise gilt es, die URL, also die Adresse einer Website, genau zu prüfen. Dies, weil Phishing-Websites oftmals eine sehr ähnliche, aber nicht genau dieselbe URL verwenden wie die Original-Website.

Makellos gestaltete Phishing-Mails und -Websites, aber auch perfekt ausgeklügelte Einbrüche – das alles wäre für einen guten Hacker zwar problemlos machbar, sagt Somaini. Aber wenn White Hats einen auf Ocean’s Eleven machen, dann ist der Lerneffekt gleich Null. Denn die Mitarbeiter hätten keine Chance, etwas zu merken.

Unter Social Engineers fällt oft das Sprichwort: There is no patch for human stupidity. Soll heissen: Als Hacker kann man sich immer auf die menschliche Dummheit verlassen – die lässt sich nicht beheben. "Dieser Satz macht mich wütend", sagt Somaini. "Menschen sind nicht dumm. Klar, sie machen Fehler. Auf den falschen Link zu klicken, kann jedem passieren. Auch mir." Doch der Punkt ist: Aus Fehlern kann man lernen. "Die Voraussetzungen dafür zu schaffen, gehört zu unserem Job."

In Gebäude einzubrechen und Dinge zu tun, die man sonst nicht darf – das hat schon seinen Reiz, wie Somaini sagt. Was ihn aber antreibt, ist die Gewissheit, etwas Konstruktives zu machen. "Wir helfen Menschen dabei, in Sicherheitsfragen voranzukommen. Das gibt mir ein gutes Gefühl."

Er sitzt in einem hellen Büro, trägt ein Hemd und spricht über Gefahren, über Angriffsszenarien sowie darüber, warum IT-Sicherheit uns alle angeht: der gute Hacker, der für seinen Beruf brennt. Sieht freundlich aus, ist es auch.