Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler"

Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung für eine Zunft, die er eigentlich bekämpft.

Masken des Hacker-Kollektivs Anonymous: "Haben Lust daran, Systeme zu überlisten." Bild: dapd

taz: Herr Schönborn, was genau bringen Sie Ihren Klienten bei, damit sie zum Ethical Hacker werden?

Michael Schönborn: Ich vermittle ihnen die Möglichkeiten zu hacken. Da schauen wir dann zum Beispiel, was es an öffentlich zugänglichen Informationen über eine Firma gibt und wie man diese für das Hacken gezielt nutzen könnte. Ich zeige auch, wie man Trojaner platziert oder Passwörter ausspäht.

Geht es also nicht um die Abwehr von Cyber-Attacken?

Doch, natürlich. Das ist wie bei der Kriegsführung: Man muss wissen, wie angegriffen wird, um sich ausreichend schützen zu können. Das Ganze spielt sich aber nicht nur virtuell ab. Wir schauen uns auch an, wie gut der Serverraum einer Firma gesichert ist und was für Schlösser verwendet werden.

ist seit vielen Jahren Trainer für Ethical Hacking bei Global Knowledge. Als Ethical Hacker testet man das Netzwerk eines Unternehmens durch gezielte Hacking-Attacken, um Schwachstellen aufzudecken. Der Berufszweig existiert schon so lange wie der IT-Bereich selbst, rangierte nur vorher unter der Bezeichnung Sicherheitsbeauftragter.

Ist es nicht leichtsinnig, so ein gefährliches Wissen einfach weiterzugeben?

Das ist eine schwierige Frage. Das Wissen um diese Technik ist neutral. Es kommt darauf an wie man sie einsetzt. Man kann vielleicht die Frage stellen: Kann ich mir einen Staat ohne Armee erlauben, wenn er dadurch verwundbar würde? Mit dem Wissen, das ich anbiete, kann man auf jeden Fall viel Schaden anrichten, ähnlich wie ein Staat mit seiner Armee. Aber dieses Wissen ist auch unentbehrlich, um sich ausreichend schützen.

Ist das Attribut "ethisch" dann nicht irreführend?

Die Bezeichnung Ethical Hacker hört sich natürlich äußerst brisant an. Zwei gegensätzliche Begriffe, so ähnlich wie „schwarze Milch". „Ethisch" an meiner Arbeit ist, dass ich dasselbe Wissen eines Hackers habe, es aber im Positivem anwende. Ich selbst würde mich auch als ethischen Menschen bezeichnen. Ich würde nie einer Fliege etwas zuleide tun.

Stellen Sie dann auch sicher, dass bei Ihnen nur ethisch einwandfreie Menschen geschult werden?

Was mache ich denn mit einem Geschäft, das Messer verkauft? Das kann auch nicht jeden Käufer vorher überprüfen, ob er damit nichts Böses anstellen wird. Allerdings muss man dazusagen, dass der Kurs bei mir wahnsinnig teuer ist, was Privatpersonen ohnehin abschreckt. Die meisten werden von Firmen geschickt. Um Hacker zu werden, muss man auch nicht mein Training absolvieren. Dazu reicht ein Blick ins Netz.

Wie sieht denn der "klassische" Hacker aus?

Das lässt sich so einfach nicht sagen: Es gibt professionelle Industriehacker, die auf Firmen angesetzt werden, aber auch sogenannte "Skriptkiddies", die beim Hacken nur auf Zerstörung aus sind und daran Spaß haben. In Russland und der Ukraine, wo ich viel unterwegs bin, gibt es viele kriminelle Banden, die durch Hacken Millionäre geworden sind. Da werden Leute hoffnungslos ausgebeutet. Das ist furchtbar. Auf der anderen Seite gibt es aber auch Hacker, die nur Interesse daran haben, die Grenzen der Technik auszuloten und sie weiterzuentwickeln.

Wie leicht ist es denn, Daten auszuspähen?

Man kann nicht einfach denken: Da gibt es ein Passwort und das muss ich nur knacken, schon bin ich drin. Hacker betätigen sich eher als Künstler. Dabei muss man oft um viele Ecken denken und kreativ sein. Das reicht von "Dumpster Diving", also das Wühlen im Müll, um an Daten einer Firma zu kommen, bis hin zu "Social Engineering", das Knüpfen von Kontakten zu frustrierten Angestellten. Beliebt sind auch "Phishing"-Attacken. Da lockt man User über einen Link auf eine Seite, wo sie Daten angeben, die dann ausgespäht werden.

Und das fällt nicht auf?

Über Umleitungen kann man das so aufbauen, dass die Person kaum merkt, dass sie gerade gehackt wurde.

Klingt kompliziert...

Hacken ist ja generell die Lust daran, Systeme zu überlisten. Das ist damit vergleichbar, sein Mofa zu frisieren, dass es schneller fährt. Im Prinzip also nichts Negatives. Die meisten Hacker sind keine üblen Menschen, wie es die Presse oftmals darstellt. Das sind einfach Menschen mit Neugier. Aber natürlich passiert es dann schnell, dass man auf die kriminelle Seite gerät.

Ist Hacking in dieser massiven Form ein neues Phänomen?

Das Problem ist, dass IT-Systeme heutzutage immer komplexer werden. Ein gutes Beispiel ist die Entwicklung, dass jeder vom Handy aus Zugriff auf seine Emails hat. Allein dadurch ist für Hacker ein komplett neues Betätigungsfeld entstanden. Das eigentliche Problem dabei ist aber, dass die Entwickler solcher Systeme nicht immer das Thema Sicherheit im Hinterkopf haben. Für sie steht eher die Funktionalität und die Nutzerfreundlichkeit im Vordergrund. Das können Hacker dann ausnutzen.

Wie beim Abhörskandal in Großbritannien?

Ja. Das war eigentlich ein ganz einfacher Hack. Den hätte jeder machen können. Um Mailboxnachrichten auszuspähen, genügt es schon, ein paar Codes durchzuprobieren. Die meisten haben simple Zahlenfolgen, die sich einfach knacken lassen. Viele verwenden auch gar keinen Sperrcode. Das System ist einfach nicht sicher.

Gibt es also noch zu wenige von Ihrer Zunft?

Ja, auf jeden Fall. Die meisten IT-Leute spezialisieren sich eben nur auf die Firewall, also dass der Zugang zum Internet geschützt ist. Wenn Firmen ihre IT-Experten dann zu mir schicken, sind die häufig total überrascht, was es für Hacking-Möglichkeiten gibt. Das ist vergleichbar mit jemandem, der eine einbruchsichere Haustür hat, aber nicht an das Toilettenfenster denkt. Viele Firmen wollen auch einfach nicht so viel Geld für die Sicherheit ausgeben, weil man davon keinen unmittelbaren Profit hat.

Was halten Sie eigentlich von politisch motiviertem Hacking à la Anonymous?

Wenn es destruktiv ist, ist es auf jeden Fall falsch. Ich bin Pluralist und Verfechter der freien Meinungsäußerung. Ich habe allerdings keine Sympathie dafür, wenn Systeme kaputt gefahren werden. Wenn eine Website gehackt wird, um dort eine politische Botschaft zu platzieren, dann ist das für mich wie Graffiti. Davon halte ich nicht viel.

Würden Sie uns bei all den Cyber-Attacken empfehlen, lieber offline zu bleiben?

So viele Bereiche sind heutzutage vom Internet abhängig. In England wird sogar die Steuererklärung online abgewickelt. Sich vom Netz zu verabschieden, dafür ist es zu spät. Ein paar Tipps gibt es schon, um sich zu schützen: Bei Kreditkarten sollte man ein relativ niedriges Limit haben, falls mal was passiert. Und man sollte sich immer dessen bewusst sein, dass der eigene PC ausgespäht werden könnte. Auch Virenprogramme sind nur zu 90 Prozent sicher.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.