Er ist ein langer, schlanker Mann mit jugendlichem Gesicht und Witz in den Mundwinkeln. Als ich frage, wohin ich zum Interview kommen darf, schreibt er, er trifft mich an der Straße, vor dem Buchladen. Ich frage mich, ob der Ort so geheim ist, dass er nicht in einer unverschlüsselten Mail geschrieben werden soll. Er ist pünktlich, ich etwas zu spät, am Eingang zum Hinterhof steht kein Firmenname. Den Aufzug zum Dachgeschoss-Büro des Security Research Labs kann man nur mit einem Schlüssel bewegen. Ich lasse mich von Fabian nach oben fahren. Seine Brille rahmt helle, blaue Augen, 21 ist er, mit dem IT-Systems Engineering-Studium am Hasso-Plattner-Institut längst fertig. Er ist nur drei Jahre jünger als ich und trotzdem liegen Welten zwischen uns.
Während ich mit acht Jahren Latzhosen trug und verbotenerweise durch Rapsfelder tobte, programmierte Fabian seine ersten Frage-Antwort-Spiele. Während ich lernte, wie man möglichst viele Erdbeeren klaut, lernte er die Programmiersprache QBasic. Freiwillig, mithilfe des Internets. Es gibt Fotos von ihm, wie er in Windeln vor einem Bildschirm sitzt und Paint-Bilder malt. Von mir gibt es höchsten Fotos, auf denen ich in Windeln mit Fingerfarben schmeiße.
"Es gibt kein pauschales Eintrittsalter für Hacker," sagt Fabian, "der Übergang ist fließend. Und es kommt außerdem darauf an, wie man das Hackertum definiert. Hacker zu sein kann einfach bedeuten, ein Ding oder System, das einem bestimmten Zweck dient, in einen anderen Kontext zu setzen. Hackertum ist schief denken. Zum Beispiel Kaffeemaschinen zu Toastern umfunktionieren. Hacken bedeutet hinterfragen. Martin Haase - ein Professor für Sprachwissenschaften -- nimmt beispielsweise Politsprech kritisch auseinander und hackt damit Sprache. Ein Beispiel ist das Guttenberg-Passiv: Wenn der sagt 'Es wurde allerdings zu keinem Zeitpunkt bewusst getäuscht', deckt Haase das als rhetorisches Mittel auf. Das alles ist irgendwie Hacken. Den Schritt vom Spiele-Programmieren zu der Überlegung, in den Sourcecode einer Website zu gucken und zu versuchen, sie Dinge tun zu lassen, für die sie eigentlich nicht gedacht war, geht man oder geht man nicht."
Vor dem Interview habe ich einfach mal gegoogelt und bin auf eine Seite gestoßen, die den Lesern erklärt, wie man Hacker wird. Auf der Seite vom Chaos Computer Club Cologne e.V." steht zum Thema Hacker-"Einstellung":
"Die Welt ist voll von faszinierenden Problemen, die alle nur darauf warten, gelöst zu werden. Ein Hacker zu sein, bedeutet jede Menge Spaß, aber es ist eine Art von Spaß, die viel Anstrengung erfordert. Sich anzustrengen, setzt Motivation voraus. Erfolgreiche Athleten bekommen ihre Motivation aus einer Art körperlichen Hochgefühls, wenn sie ihre Körper trainieren oder wenn sie sich bis über ihre Leistungsgrenzen hinaus verausgaben. So ähnlich geht es dem Hacker, er muss eine grundlegende Erregung verspüren, wann immer er ein Problem lösen, seine Fähigkeiten erweitern oder seinen Geist trainieren konnte. Wenn du keine Person bist, die schon von Natur aus so fühlt, musst du eben eine werden, wenn du ein Hacker werden willst, denn sonst wirst du schnell bemerken, dass deine Hacker-Energie von Ablenkungen wie Sex, Geld oder sozialer Anerkennung verbraucht wird."
Ich frage Fabian, was er als erstes in seinem Leben gehackt hat.
"Im Sinne von digitalen Systemen? Das war wohl das Schulnetzwerk. Ein Freund und ich haben uns ins System gehackt und hätten damals viel zerstören oder Noten verändern können. Das wollten wir aber alles nicht, wir wollten nur aufzeigen, dass es möglich ist. Wir haben uns dann überlegt, wie wir das Problem der Schulleitung mitteilen und nebenbei ein bisschen Spaß haben können. Dann saßen wir im Informatik-Unterricht in der letzten Reihe und die Leute vor uns haben Spiele gespielt oder Videos geguckt, was man eben so macht in Informatik. Wir konnten in Autorenn-Spielen der anderen die Autos gegen die Wand fahren lassen oder die Lautstärke in den Videos hochstellen. Wir haben dann den Lehrercomputer im Nebenraum übernommen und für den Lehrer weiterprogrammiert. Der wusste dann natürlich sofort was los ist und hatte auch gleich uns im Visier, es gab nur zwei Optionen: Entweder der Freund oder ich.
Das kam dann aber nicht gut an. Die haben das nicht so verstanden wie wir: Dass wir eigentlich nur mitteilen wollten, dass wir das System geknackt haben. Für unsere Argumentationen waren sie nicht wirklich empfänglich. Stattdessen haben sie uns mit Verweisen und Schulverweis von allen bayerischen Schulen gedroht. Letztendlich haben wir dann ein halbes Jahr Computerverbot bekommen und einen Verweis und haben ihnen geholfen, die Sicherheitslücken zu schließen." sagt er, halb belustigt.
Hat das Hacken also etwas mit Rebellion zu tun?
"Damals mehr als heute, heute ist es mein Job. Mir geht es mehr um den Spaßfaktor dabei ein System zu Durchschauen und dann Lücken darin finden. Du musst ja wirklich Randfälle betrachten, Dinge, die der Programmierer nicht bedacht hat. Im Endeffekt gräbst du dich so tief ins Programm, dass du es in Teilen besser verstehst als der Programmierer selbst."
Wie kommt das dann bei den Anderen an? Wenn du als Hacker in eine Firma kommst und die Leute wissen, dass du das System knacken und im Endeffekt die Verantwortung für alle ihre Daten und Firmengeheimnisse hast? Haben die Angst? Oder Respekt?
"Die Firmen wissen, dass sie uns vertrauen können und werden natürlich lieber von uns gehackt als Kriminellen. Ich denke, viele sind auch neugierig und gespannt, was wir finden. Wir hatten auch schon mit der Finanzbranche zu tun, bei dem Research zu Payment Terminals, die haben uns jetzt nicht gerade mit offenen Armen empfangen. Ich bewege mich natürlich viel in Kreisen, in denen viele ITler sind, die verstehen selbstverständlich auf einem Grundlevel, was da passiert. Wenn man gute Arbeit leistet, dann bekommt man von diesen Leuten auch Respekt dafür. Angst entgegnet mir eher von den Menschen, die nicht wissen, dass das Hacken keine Zauberei sondern logisch und ein Handwerk ist.", meint Fabian, schaut in die Sonne über die Dächer von Berlin und grinst.
Das bringt mich auf einen Artikel, der vor einigen Stunden von der Welt veröffentlicht wurde. Ein deutscher Informatiker hackte das Programm "Gameover Zeus" eines russischen Super-Cyberkriminellen: Jewgenie Bogatschow. Der hatte über Jahre hinweg Daten und Konten von Unternehmen ausspioniert und einen Schaden von rund 100 Millionen Dollar verursacht, so schätzt das FBI. Die Anklage lautet: Schutzgelderpressung, Bankbetrug und den Verstoß gegen diverse Computergesetze. Bogatschow ist einer der meistgesuchten Cyberkriminellen der Welt. Christian Rossow, der deutsche Informatiker, stieß durch Zufall auf das Programm und startete zwei Gegenangriffe, um das System des Russen zu zerstören. "Es ist ein Spiel." wird er zitiert. Ist es das? Ein Spiel? Kaputzenpulli gegen Kaputzenpulli, Keller gegen Keller?
"Naja, das als Spiel zu bezeichnen, wenn es da um Millionen geht – das finde ich nicht angemessen. Ich will nicht generalisieren, aber diese russische Cybermafia beziehungsweise der Trojaner- und Virusmarkt ist einfach ein riesen Business. Ich verstehe, dass er das als -gefährliches- Spiel bezeichnet, diesen Virus zu nehmen, sich in den Programmierer reinzudenken und zu einem Gegenangriff blasen - das ist eine nette Sache. Aber kein Spiel, wenn es dabei um Milliarden Euro geht und sogar Leute umgebracht werden."
Aber das ist doch eine starke Frage der Moral und der Politik? Wenn man als einzelner Programmierer so viel Macht hat, muss man dann nicht auch verantwortungsvoll damit umgehen? Machen das alle Hacker?
"Du hast Recht, als einzelne Person kann man in der IT und vor allem IT-Security relativ viel bewirken. Als Leitbild kann man z.B. die Hacker-Ethik des Chaos Computer Clubs (CCC) hernehmen. Einer der Punkte ist 'Öffentliche Daten nutzen, private Daten schützen'. Hacker hinterfragen grundsätzlich Autoritäten, im Allgemeinen ist die Hacker-Szene eher links-anarchistisch geprägt: Sie glauben an Informationsfreiheit und freiwillige gegenseitige Hilfe. Das Teilen von Wissen spielt eine zentrale Rolle. Die Meisten halten sich an die Ethik.
Aber klar, manchmal ist die Frage nach der Moral nicht eindeutig. Ein Freund hat zum Beispiel früh angefangen, Cheats für Computerspiele zu programmieren [Cheats sind Schummlereien in Computerspielen, wie plötzliches Verschwinden oder unbegrenzt Geld zur Verfügung haben, Anm.d. Red.]. Das war sein Spiel: Cheats programmieren. Auch das ist moralisch fragwürdig: Man macht damit nicht viel kaputt, aber unter Umständen den Spielspaß der Anderen. Als White Hat-Hacker versuche ich zumindest ethisch einwandfrei zu bleiben - wenn Firmen uns beauftragen, sie zu hacken, ist das ja auch kein Problem."
Du hackst EC-Kartenlesegeräte. Bist du wirklich ethisch einwandfrei?
"Das Projekt war eine Forschungsarbeit. Das ist ja das was wir hier machen: Neue Angriffsmöglichkeiten erforschen und mit den Betroffenen zusammen die Sicherheitslücken schließen. Wenn du im Supermarkt mit Karte zahlst, kannst du entweder eine Unterschrift leisten oder die PIN eingeben. Das Problem ist folgendes: Wenn ein Krimineller mit deiner gestohlenen Karte zahlt und dabei deine Unterschrift fälscht, kannst du die Transaktion innerhalb von acht Wochen rückgängig machen. Wenn er aber mit deiner PIN bezahlt hat, ist das nicht möglich. Die Banken behaupten, dass das Bezahlen mit Chip&PIN sicher ist, die Schuld also bei dir liegen muss indem du z.B. die PIN im Geldbeutel aufbewahrt hast.
Du bleibst also auf den Kosten sitzen. Wir wollten da eine Art Liability Shift (Wechseln in der Verantwortung) erreichen, indem wir mehr Wege aufzeigen, wie es möglich ist, die Karte und die PIN doch zu knacken."
Ich hatte Fabian dabei schon beobachtet, eine Live-Präsentation auf der Bühne, keine 10 Minuten hatte er dafür gebraucht. Ich hatte von alledem nicht viel verstanden, ein paar grüne Zahlen und Konfigurationen - abstrakt für mich. Wie knackst man EC-Karten-Lesegeräte? Und Fabian legt los:
"Wir haben 3 Angriffe vorgestellt:
1. Wenn man im lokalen Netz des Supermarkts ist, kann man, indem man einen Sicherheitsmechanismus umgeht und eine halb vergessene exotische Zusatzfunktion nutzt, an die Daten, die auf dem Magnetstreifen und Chip gespeichert sind, und die PIN des Kunden kommen. Der Kunde im Obi zahlt dann also ohne etwas zu merken und ich speichere die Daten mit. Damit kann man dann eine leere Karte bedrucken, weiter einkaufen oder im Ausland Geld abheben. Ich hab solche Karten auch da. Wenn man das nicht selbst machen will, verkauft man die Daten auf dem Schwarzmarkt.
2. Ich muss wieder im lokalen Netz sein. Das klappt zum Beispiel weil das Kassensystem im Hotel nicht vom Gäste-WLAN getrennt ist. Oder wenn das interne WLAN einen schwachen Verschlüsselungsalgorithmus verwendet, kann das Passwort noch so sicher sein, in 2 Minuten ist man drin. Wir haben einen Weg gefunden, das Bezahl-Terminal dann über Funk so umzukonfigurieren, dass alle Bezahlungen, die getätigt werden, direkt zu uns gehen. Der Händler kriegt davon nix mit, es ändert sich eine einzige Zahl auf dem Beleg, die keinen interessiert, und dann hat man halt kassiert.
Die dritte Methode ist eigentlich die Coolste, weil die übers Internet funktioniert, also komplett anonym ist. Man kann das auch über TOR (ein Anonymisierungsdienst) machen, das wird nie jemand rausfinden. Da ist die Idee, dass man irgendwo ein Terminal angreift und sich das digital in sein Büro klont. Dann kannst du dir selbst Geld überweisen - der Netzbetreiber, der dein Terminal verwaltet, kann nicht unterscheiden, dass du das gerade bist und nicht der echte Händler. Da muss man dann zwar überlegen: Wie kriege ich das anonym ausbezahlt? Kann das auf ein anonymes Konto überwiesen oder ins Ausland verschifft werden? Kriminelle finden da aber Wege. Man kann sich auch Prepaid-Guthaben ausdrucken. Ganz witzig, wir haben also ein Terminal über ebay gekauft, das dann etwas umkonfiguriert, was echt super einfach ist, wenn man weiß wie es geht, und dann druckst du dir Prepaid-Guthaben aus, gibst das in dein Handy ein und hast 50 € mehr. Das funktioniert! Das ist schon ganz cool! Auch, wenn es wahrscheinlich noch immer funktioniert."
Ich muss ein wenig schlucken. Er ist ganz tief drin, in der Rolle des potenziellen Verbrechers. Wie ein Profiler, der sich in die Rolle des Psychopathen hineinversetzt. Seine Stimme schwankt zwischen Begeisterung und Zurückhaltung. Ich salutiere vor so viel Expertise und gratuliere auch gern der Erkenntnis aber nun? Kann ich überhaupt je wieder zum Edeka gehen und guten Gewissens meine EC-Karte zücken? Was kann der Verbraucher tun, angesichts der Tatsache, dass es Menschen wie Fabian gibt, die jederzeit Zugriff haben können, wenn sie wollen? Meine Bankdaten, meine Accounts und Passwörter, meine Adresse, Geburtsdatum, Sozialversicherungsnummer. Gibt es Dinge, die ich tun kann, um mich zu schützen?
"Es gibt ein paar grundsätzliche Sachen, die jeder der einen Laptop und ein Smartphone hat, beachten sollte.
Tip eins: Einen Passwort-Manager installieren. Passwörter sind ein leidiges Thema und das verstehe ich. Ein sicheres Passwort darf nicht im Wörterbuch vorkommen, sollte Zahlen enthalten und so weiter, deshalb benutzen viele für alles ein Passwort. Aber. Wenn ich zum Beispiel das gleiche Passwort für Google Mail und knuddels.de oder einen noch kleineren Anbieter verwende, und der kleine Anbieter wird gehackt, dann hat der Angreifer unter Umständen auch das Klartext-Passwort für den Mail-Account und kann damit praktisch meine ganze Identität stehlen. Ein Passwort-Manager verwaltet alle Passwörter. Dann kann man verschiedene, komplexe Passwörter verwenden und muss sich nur ein einziges merken um darauf zuzugreifen.
Tip zwei: Die 2-Faktoren-Authentifizierung nutzen. Das gibt es inzwischen bei vielen Diensten, wenn du dich von einem Gerät anmeldest, von dem du dich noch nie angemeldet hast, dann bekommst du zum Beispiel eine SMS mit einem Code, den du dann noch mal eingeben musst. Es geht nicht nur darum, dass du das Passwort weißt, sondern auch noch ein Gerät zusätzlich besitzt. Jemand der dein Passwort knackt, kann sich dann trotzdem nicht unter deinem Account anmelden, weil er noch dein Handy bräuchte.
Tip drei: Software-Updates installieren: Meistens klickt man auf 'Jetzt nicht' oder 'später' aber das ist eigentlich der falsche Weg. Die Updates dienen meist dazu, Sicherheitslücken zu schließen, also sollte man das machen.
Tip vier: Beim Onlinebanking nicht mit dem gleichen Gerät im Konto sein und die TAN empfangen. Dann wäre nämlich diese 2-Faktoren-Authentifizierung hinfällig und mein Konto kann mithilfe des Smartphones leichter gehackt werden."
Vielen Dank für das lebendige Bild eines echten Hackers, lieber Fabian! Ich habe mir gerade einen Passwort-Manager heruntergeladen.
Das Kommentieren ist nur für registrierte Companisten möglich. Bitte melden Sie sich an, um kommentieren zu können.
Du möchtest auch in innovative Unternehmen investieren?