Kriminalität

Die Hacker und die Wirtschaft

Laptop, Computer, IT, Hände
Cyber-Angriffe werden für Unternehmen immer gefährlicher. © dpa / picture alliance
Von Johannes Nichelmann · 24.06.2014
Dem Klischee nach sitzen Hacker zwischen leeren Pizzaschachteln in schlecht gelüfteten Kammern. In der Realität sind sie oft hoch bezahlt und werden inzwischen von Unternehmen eingesetzt - zum Schutz vor der bösen Konkurrenz, aber auch zur Spionage.
Der Gedanke daran, dass jemand in meine Wohnung einbricht, macht mich nervös. Habe ich die Tür wirklich abgeschlossen? Sind alle Fenster zu? Ich habe von Leuten gehört, die nicht mehr richtig schlafen können, seitdem Einbrecher bei ihnen die Schränke durchwühlt und den Familienschmuck geklaut haben. Fast 30 Prozent der Betroffenen leiden unter Angstzuständen.
Doch was ist, wenn geklaut wird, ohne dass die Einbrecher offensichtliche Spuren hinterlassen? Ein Problem, mit dem vor allem die deutsche Wirtschaft zu kämpfen hat. Über Internet-Netzwerke stehlen Hacker Bauanleitungen, sensible Informationen und Forschungsergebnisse. Außerdem vielleicht meine Bankdaten und Kreditkartennummern, Passwörter und Gesundheitsdaten. Welche Unternehmenschefin, welcher Abteilungsleiter kann bei diesem Gedanken noch ruhig schlafen? Ich will herausfinden, ob und wie sich die Wirtschaft gegen Cyberangriffe wehrt.
"Das ist ein großer Skandal! Weil man sich um IT-Sicherheit noch nie groß bemüht hat."
Marc Tenbieg ist der Geschäftsführende Vorstand des Deutschen Mittelstandsbundes, DMB. Und ihn macht das alles schon ein bisschen nervös. Viele Unternehmen in Deutschland stellen Qualitätsprodukte her, die weltweit unheimlich gefragt sind. Ingenieurskunst – zuverlässig und für besonders interessierte "Kunden" mit ein paar Klicks von außen abrufbar.
"Viele mittelständische Unternehmen sind in Deutschland angesiedelt, die als 'Hidden Champions' gelten. Das heißt, sie sind weltweit anerkannt mit ihren Erfindungen oder mit ihren Produktionstechniken und letztendlich konzentriert sich eine Denker- und Ingenieurnation, wie sie sie in Deutschland doch so häufig wieder anzutreffen ist, immer wieder auf die Entwicklung von neuen Technologien, kümmert sich aber nicht darum, diese Technologien auch zu schützen. Und das ist ein großes Problem."
Woran denken Sie denn, wenn Sie an Hacker denken?
"Da denke ich immer an einen, der eine schwarze Maske hat und mit einer Taschenlampe loszieht. Aber grundsätzlich ist es natürlich so, Hacker sind schon recht intelligente Leute, die sehr wohl wissen, wo Lücken zu finden sind und dieses Wissen entweder kriminell nutzen oder es nutzen, um entsprechende Aufklärungsarbeit zu leisten. Es gibt ja auch gute Hacker in Deutschland, beziehungsweise in der Welt."
Marc Tenbieg kritisiert, dass in Europa die Förderung der IT-Branche lange vernachlässigt worden ist. Die Nordamerikaner konnten so zum Global Player und zum Tonangeber der digitalen Welt avancieren. Eine Welt, in der nichts mehr ohne Profis der Informationstechnologie funktioniert. In Europa galten Hacker lange als realitätsferne Kellerkinder, die keine analogen Freunde haben, sich nur von Pizza und Limonade ernähren. Menschen, die mit einem Computer Dinge machen können, von denen Außenstehende nicht den Hauch einer Ahnung haben. Klischeebilder mit Wahrheitsgehalt. Doch es hat einen Wandel gegeben.
Die deutsche Wirtschaft ist abhängig von IT-Spezialisten. Sie halten die Systeme am Laufen und sollen sich um die Sicherheit kümmern. Um die Errichtung digitaler Ritterburgen – denn heute kommen die Angriffe durch das Netzwerkkabel. Unternehmerinnen und Unternehmer wollen öffentlich nicht so gerne über Hacker und Systemsicherheit reden – alle Interviewanfragen sind ins Leere gelaufen. Dabei tut sich durchaus etwas.
Marc Tenbieg: "Dank Edward Snowden ist dort ein gewisses Umdenken entstanden. Wenn man bedenkt, das ist jetzt knapp ein Jahr her, Sommer 2013, wo die großen Enthüllungen kamen. Da überlegt man doch schon sehr wohl, was ist im eigenen Unternehmen los. Hat man eine Sicherheitsstrategie entwickelt. Im kleinen mittelständischen Unternehmen können Sie es in der Regel komplett vergessen."
Matthias Ungethüm hackte die Homepage der NSA
Wer greift wen an und warum? Matthias Ungethüm war bis vor zwei Jahren einer von den "bösen Jungs", wie er sagt. Im Netz nennt er sich "Unnex". Er hat Schlagzeilen gemacht, als er vor einigen Monaten eine Sicherheitslücke auf der Homepage der NSA fand und sein Logo dort platzierte. Darauf ist er stolz – eine tolle Werbung für seine Dienstleistungen. Er hat die Seiten gewechselt. Ich besuche den 24-jährigen Hacker im mittelsächsischen Geringswalde. Er ist ein schmaler Typ mit langen Haaren. Seine Fingernägel sind akkurat gefeilt. Früher war er in der Gothik-Szene. Matthias wohnt in einem kleinen Mehrfamilienhaus am Ortsrand.
Wir sind bei Deinen Eltern hier zu Hause, oder?
"Ja, genau. Wir sind bei meinen Eltern zu Hause. Ich habe auch nicht vor hier wegzuziehen, weil ich die Gegend einfach mag. Die ist so schön ruhig."
Eine Ruhe, die schon ein paar Mal gestört worden ist. An dem Glastisch im Wohnzimmer, an dem wir jetzt sitzen, saßen auch schon Beamte von Polizei und Justiz. Es gab Hausdurchsuchungen, Matthias wurde zuvor längere Zeit observiert.
Und dann stand auf einmal die Polizei in der Tür. Deine Eltern, was haben die gesagt?
"Die haben natürlich wenig gesagt. Die haben mehr geschrien und sich darüber aufgeregt."
Der ehemalige Hauptschüler hat sich an fremden Servern zu schaffen gemacht. Er wollte der Größte in der Szene des Hacker-Undergrounds sein, allen beweisen, wie gut er ist. Wie mächtig. Er hat Server vom Netz genommen, sich an fremden Daten zu schaffen gemacht. Die Sozialstunden, die er im Anschluss absolvieren musste, hätten ihn zurück auf den Boden gebracht. Naiv sei er gewesen – sagt er heute.
"Ich bin zwar teilweise noch mit manchen Leuten in Kontakt, mache aber nichts mehr aktiv. Ich bin eigentlich schon immer so der 'Ich-steige-aus'-Typ gewesen, aber hab’s nie gemacht. Irgendwelche Leute, die ein Gewissen haben großartig, gibt’s da eigentlich gar nicht. In der Szene zählt eigentlich nur das Geld. Da gibt’s nicht viel, was Moral betrifft. Wo jemand sagt: 'Das mach ich jetzt nicht' oder so was."
Vor zwei Jahren hat sich Matthias selbstständig gemacht. Er bietet sogenannte Penetrationstests an. Das heißt, dass er die Systeme seiner Kunden versucht zu hacken, anzugreifen. Er simuliert den Super-GAU und schreibt dazu einen detaillierten Bericht. Anschließend versucht er die Sicherheitslücken zu schließen.
Das alles passiert von seinem alten Kinderzimmer aus, mit dem Laptop. Am Liebsten arbeitet er nachts.
"Es kommen auch kleine Unternehmen zu einem, die einfach nur ihre privaten Webseiten gesichert haben wollen. Es kommen auch sehr große Firmen zu einem, die ich jetzt natürlich nicht nennen kann, weil wir immer Geheimhaltungsklauseln und Ähnliches in Verträgen haben. Da kommen teilweise 600 Lücken, 1000 Lücken für eine Website zusammen. Ist eine erschreckende Zahl. Ich habe am Anfang auch nicht gedacht, dass es tatsächlich solche Lücken gibt, so viele. Wenn Du da 1000 Lücken drin hast, dann freust Du dich nicht mehr über jede einzelne. Ab und zu lass ich den Spruch mal, ich könnte genauso gut auch Glaskugeln verkaufen. Weil die Leute schlecht nachprüfen können, was ich mache. Das wissen die in der Regel erst, wenn was passiert ist. Und wenn ich dann was durchgetestet habe und das alles behoben wurde, dann soll halt nichts mehr passieren."
Über Kunden spricht er nicht. Auch nicht über Anfragen, das sei Ehrensache.
"Was sehr oft vorkommt, ist wirklich Schwachsinn. Muss ich einfach so sagen. Es kommen viele an, die haben dann so Ziele wie "spioniere für uns die andere Firma aus oder schädige den oder den." Das hab ich relativ oft."
Sind das große Unternehmen oder sind das so kleine Mittelstandsfirmen?
"Das geht von klein bis groß. Da ist alles mit dabei. Ich meine, es gibt viele Firmen, die sind da ziemlich okay. Aber ich habe halt auch große Firmen erlebt, die angefragt haben und Handlungen wollten, die nicht so ganz konform sind. Und dann habe ich auch wieder Gespräche mit Firmen gehabt, die den Penetrationstest von mir gemietet haben, ganz einfach weil sie Angst haben, dass ihnen was passiert."
Angst, nicht nur vor Geheimdiensten oder konkurrierenden Unternehmen. Im Frühjahr meldet der REWE-Konzern – immerhin Deutschlands zweitgrößtes Lebensmittelunternehmen –, dass das Erpresserschreiben eines Hackers eingegangen ist. Die privaten Emails eines der Aufsichtsratsmitglieder sind ausgespäht worden. Mutmaßlich gerieten so Expansionspläne in die Hände eines Unbekannten. Früher wurde noch damit gedroht, dass der Apfelsaft vergiftet wird. Heute sind es digitale Angriffe – nur die Folgen bleiben analog.
"Es ist schon ein großes Problem. Ich kenne auch Leute aus der Szene, zu denen ich Kontakt habe, die das zwar nicht machen, um den Firmen zu schaden, sondern ganz einfach, um Geld zu machen. Dann ist da eine Lücke drin, dann nutzt er das aus und erpresst die schlicht und einfach."
Die Computer der Anderen
Berlin, Prenzlauer-Berg. In einem der vielen Cafés, die ich im Laufe meiner Recherche noch besuchen werde. Hacker können eben von überall aus arbeiten. Dirk Engling, genannt "Erdgeist", hat diesen Ort vorgeschlagen. Treffen aber erst nach dem Aufstehen, so um 13 Uhr. Die ganze Nacht über hat er gearbeitet. Auch Dirk ist selbstständig und berät Unternehmen in Sachen IT-Sicherheit. Und er ist einer der Sprecher des "Chaos Computer Clubs" – der Lobbyvereinigung für Internetaktivisten. Den Fall von REWE hält er für symptomatisch. Vermutlich war der private Account des Aufsichtsrates ein kostenloser Free-Mail-Account. Wie ihn zahlreiche Anbieter wie Web.de, GMX, Yahoo, AOL oder Google Mail anbieten.
Dirk Engling: "Ich denke auch, dass REWE da einfach dilettantisch genug unterwegs war. Auf der einen Seite besteht die Gefahr, dass die eigenen Email-Server nicht geschützt sind. Auf der anderen Seite zeichnete sich in den letzten Jahren der Trend ab, von sich aus schon zentrale Bestandteile der Firmen-IT in die Cloud und dann vielleicht noch in die kostenlose Cloud auszulagern."
Wer eine "Cloud" benutzt, der lädt seine Daten auf einen Server. Die gespeicherten Informationen sind somit nicht mehr zentral auf einer Festplatte oder in einem lokalen Rechenzentrum. Benutzerinnen und Benutzer können, wo immer sie sich befinden, vom Smartphone, dem Laptop oder dem Computer im Büro problemlos auf ihre Informationen zugreifen.
"Ich mag den Spruch sehr gerne: Es gibt nicht wirklich eine Cloud, nur Computer anderer Leute. Und zweitens, dass wenn man die Daten dorthin kopiert, dann sind die dort erst mal weg und für mindestens Administratoren der Firma, wo man dann seine Mails liegen hat, einsehbar."
Hacker sein – für Dirk Engling ist das eine Lebenseinstellung und kein Beruf. Hacker sind Menschen, sagt er, die für besondere Probleme außergewöhnliche und innovative Lösungen schaffen können.
"Ursprünglich hatten die Hacker das Problem, dass das Image geprägt war von ein paar Leuten, die in fremde Systeme eingebrochen sind. Aufgrund ihrer speziellen Fähigkeiten mit Rechnern. In den Anfangsjahren des Hackertums in Deutschland war es schwierig, weil es teuer war, auf eigenen Computern Dinge auszuprobieren. Also haben sich viele Hacker der ersten Stunde dann auch gerne in großen Computersystemen, die ihnen nicht gehörten, herumgetrieben. Da wurde dann zu dieser Zeit der Begriff des Hackers so überladen, dass die Hacker der ersten Stunde Schwierigkeiten hatten mit dieser negativen Konnotation irgendwie klar zu kommen. Das hat sich inzwischen zum Glück gelegt. Vor fünfzehn Jahren war man was Besonderes, wenn man was mit Computer gemacht hat. Heute ist man was Besonderes, wenn man nichts mit Computern macht. Deswegen ist man als Hacker auch eher angesehen, weil man sich genau mit der Materie auskennt, die inzwischen einen großen Teil des Berufslebens von Menschen mitbetrifft."
Der "Chaos-Computer-Club" will unabhängig von der Wirtschaft bleiben. Deswegen berät die Vereinigung keine einzelnen Unternehmen und gibt keine Empfehlungen für Sicherheitssoftware heraus. Auf ihren Kongressen und anderen öffentlichen Veranstaltungen aber dürfe sich jeder informieren, sagt "Erdgeist". Außerdem bietet das "Bundesamt für Sicherheit in der Informationstechnik", kurz BSI, Hilfe an. Es gibt Schulungen und Fachvorträge.
"Die deutsche Wirtschaft lebt ja von den Innovationen des Mittelstands. Und wenn die im großen Stil abgeschöpft werden und an die jeweilige Konkurrenz im Ausland abgegeben wird, gibt’s natürlich den Standortnachteil. Ich würde jetzt aber die deutsche Wirtschaft nicht komplett in den Bereich des Opfers nur rücken wollen. Weil natürlich auch die kleinen schwarzen Geheimnisse von etwas größeren Firmen in Deutschland darauf hindeuten, dass im Bereich der Wirtschaftsspionage auch die großen Konglomerate keine komplett weiße Weste haben."
Unternehmen, die spionieren wollen, benötigen Hacker. Ebenso Firmen, die Softwarepakete entwickeln, die für Regime in aller Welt interessant sein können. Programme, die zum Beispiel Zensurmaßnahmen ermöglichen. In der Hacker-Szene, die rund um den "Chaos Computer Club" agiert, gilt die Mitarbeit an solchen Projekten als moralisch verwerflich und hat nicht selten den sozialen Exitus zur Folge.
Die Büchse der Pandora ist geöffnet
Aber nicht immer würden IT-Profis merken, wenn ihr Wissen für solche Dinge verwendet wird. In der Szene sorgt der Fall eines Hackers für Aufsehen, der getäuscht wurde. Seine Entwicklung von vermeintlich zivilen Technologien, war für das Militär gedacht. Aber auch beim gewöhnlichen Penetrationstest - also der Simulation von Hacker-Angriffen - besteht die Gefahr, dass Wissen zweckentfremdet wird.
"Eigentlich ist das Wissen dann schon aus Pandoras Box entwichen. Das heißt, dass wenn man das so ordentlich dokumentiert hat, wie es der Industriestandard ist, welchen Softwarefehler man behoben hat, gibt es ja üblicherweise zum Abschluss des Auftrags eine Zusammenfassung. Der Bericht, in dem eigentlich alles drin steht, was man braucht, um auch dem Auftraggeber zu erklären, wie er sein eigenes System jetzt nochmal überprüfen kann. Genau mit diesem Werkzeug kann er sein eigenes Netzwerk oder auch fremde Netzwerke untersuchen. Man hat eigentlich dieses Werkzeug aus der Hand gegeben. Und die eigene moralische Komponente ist dann komplett draußen."
Der Gesetzgeber hat vor einigen Jahren den sogenannten "Hackerparagrafen" erlassen. Im Strafgesetzbuch steht jetzt, dass wer Passwörter oder sonstige Sicherheitscodes, die den Zugang zu Daten ermöglichen oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft oder irgendwem irgendwie zugänglich macht, der kann mit bis zu einem Jahr Gefängnisstrafe rechnen.
Dirk Engling bezeichnet den Gesetzestext als Gummiparagrafen. Denn welche Programme und Werkzeuge genau gemeint sind, wird nicht verraten. Und einige von ihnen lassen sich eben legal und illegal einsetzen. Zur Spionage und zur Abwehr.
Inwieweit reagiert denn die Politik auf genau diese Problematiken, die die Hacker und die Wirtschaft gemeinsam so – Achtung, Witz! – aushacken?
Dirk Engling: "Ich muss mal gucken, wie weit ich da aus dem Nähkästchen plaudern kann. Der 'Chaos Computer Club' hat in den letzten Jahren auch Anfragen von allen politischen Parteien des demokratischen Spektrums bekommen. Was denn notwendig wäre, um bestimmte Rahmenbedingungen zu schaffen, die es ermöglichen, Softwaresicherheit ernst zu nehmen. Die es vielleicht ermöglichen, Mittelständlern nicht nur in Softwaresicherheit, sondern auch in sonstigen Fragen der IT-Infrastruktur unter die Arme zu greifen. Dort geben wir bereitwillig Auskunft, sitzen im Hinterzimmer beim Bierchen oder sitzen in Ausschüssen. Wobei sich aber gezeigt hat, dass der offizielle Teil der Arbeit, dann wenn Du wirklich im Bundestags-Ausschuss sitzt und berätst, dass der deutlich weniger Einfluss auf die aktuelle Politikfindung hat, weil es sich herausgestellt hat, das dort viel Politiktheater stattfindet, wo Experten befragt werden, nur um am Ende ein Alibi zu haben, das man ja sogar die Experten befragt hätte. Und dann trotzdem umzusetzen, was in dem Moment politisch opportun ist.
Was steht auf Deinem T-Shirt?
"Interessant. Sie unterschätzen den Befehlscharakter meiner Empfehlungen."
Ein paar Kilometer weiter, in Berlin-Kreuzberg, bin ich mit Marcus Niemietz verabredet. Es ist früher Abend. Der 28-Jährige kommt gerade von einem Kunden. Auch er ist Sicherheitsberater, arbeitet im Auftrag der Ruhr-Universität in Bochum.
"Also ich treffe mich mit ein paar Leuten, um 20 Uhr. Das sind im Prinzip auch alles Hacker und die haben sogar nichts dagegen, dass Du kommst. Sagen wir mal so."
Oh, sehr gerne. Wo trefft Ihr Euch?
"Hier ist so ein Taco-Laden in der Nähe, so ein Mexikaner. Ich habe mir den Namen aufgeschrieben."
Wir machen einen Spaziergang zu dem Lokal. Marcus gibt an, dass er für die großen DAX-Unternehmen arbeitet. Aber natürlich verliert auch er kein Wort über seine Kunden.
Wie bist Du denn in diese Szene so reingekommen? Wie wird man Hacker, Penetrationstester – wie auch immer Du Deinen Beruf bezeichnen möchtest?
"Also, nochmal um den Link praktisch zur Uni zu schieben. Ich hab IT-Sicherheit studiert. So hat im Prinzip alles angefangen. Da gab es ein Hacker-Praktikum. Das Hacker-Praktikum, das ist jetzt meine Lehrveranstaltung geworden. Sprich da, wo ich Dozent bin. Und damals war es so, dass wir gelernt haben, eine Webseite anzugreifen und auch zu schützen natürlich - das war das primäre Ziel – die so ein bisschen der deutschen Bank nachempfunden war. Und das hat mich natürlich dazu gebracht mich in diesem Bereich zu vertiefen. Darüber habe ich dann Firmen kennengelernt, die sich in dieser Thematik bewegen und so zum Beispiel auch die Kunden hier aus Berlin."
Auch Frauen interessieren sich für das Hacken
Gemeinsam mit einem seiner Professoren hat er jetzt ein eigenes IT-Sicherheitsunternehmen gegründet – der universitäre Hintergrund schafft Vertrauen bei den Kunden. Die Branche wächst und damit auch die Anzahl der unseriösen Anbieter. Marcus Niemietz kümmert sich zusätzlich um Nachwuchs-Hacker. In Seminaren vermittelt er das Basiswissen. Um wirklich gut zu sein, sagt Marcus, muss jeder Anfänger sein Leben dem Hacken verschreiben. Regelmäßige Besuche im Hörsaal reichen nicht aus.
Wie schwer ist es denn, fähige Leute zu finden?
"Das ist echt schwer. Also im Bereich Websicherheit, um das jetzt nur auf Security zu beziehen, ist es tatsächlich so, dass ich sehr schwer Studenten dafür begeistern kann, in diesem Bereich aktiv zu werden. Obwohl es wirtschaftlich wirklich lukrativ ist. Da die Meisten eben dieses typische Hacker-Klischee im Kopf haben 'Ich muss ein Virus schreiben' oder 'Ich muss einen Trojaner schreiben', um anzugreifen. Aber das ist eben nicht so. Diese Zeit hat sich geändert."
Und anders als es diese Sendung vielleicht suggerieren mag, gibt es auch Frauen, die sich für das Fach interessieren. Die Quote derjenigen, die durchfallen, allerdings ist – geschlechterübergreifend – enorm. 75 Prozent der Studierenden genügen nicht den Ansprüchen.
"Einen sicheren Job, definitiv. Ich kenne keinen Absolventen, der arbeitslos ist. Gut verdienen hängt auch wieder davon ab, ob er eben zum Beispiel im öffentlichen Dienst arbeitet oder nicht. Der Kernpunkt ist, dass viele gute Leute auch gerade in Deutschland und in Europa Freiberufler sind oder eben für Unternehmen arbeiten, die aus dem Pentesting-Bereich kommen, so wie ich. Wir sagen eben, wir arbeiten eben nicht dauerhaft bei einem Kunden. Weil das a teuer wäre und b, weil das finanziell auch nicht ganz so attraktiv ist. Muss man einfach zugeben."
Mein Eindruck ist, wenn man mit Unternehmen versucht darüber zu sprechen - Haben Sie sich schon einmal geschützt, wurden Sie angegriffen, was unternehmen Sie? – man spricht da überhaupt nicht gerne drüber. Über den Einsatz von Hackern und IT-Sicherheit. Warum ist das so?
"Na, ich als Unternehmer würde auch nicht darüber sprechen, wenn ich angegriffen werde. Das ist natürlich imageschädigend. Und es ist auch eine Kostensache. Man gibt damit natürlich nicht zu, dass man alles bestmögliche getan hat, um sich zu schützen. Man möchte ja den maximalen Gewinn erzeugen. Kennt man ja aus den DAX-Unternehmen und gerade aus den börsennotierten Unternehmen. Wenn wir das pauschalisieren."
Angekommen im Restaurant. An einem Tisch warten Marcus’ Hacker-Kollegen Norman, Stefan und Michael. Die Runde kennt sich von gemeinsamen Aufträgen. Sie treffen sich hin und wieder, um sich auszutauschen. Jeder der IT-Spezialisten hat sein Spezialgebiet. Ich will von ihnen wissen, warum viele Unternehmen so wenig in Sicherheit investieren. Handelt es sich allein um Ahnungslosigkeit?
Norman: "Das ist nicht irgendwie in der Bilanz darzustellen. Du erzeugst Kosten für keinen realen Mehrwert. Dass Du nicht in der Presse stehst, wegen einem Sicherheitsvorfall, da musst Du erst mal einen Betrag ranschreiben können. Das musst Du erst mal quantifizieren können."
Stefan: "Das Top-Level-Management interessiert sich halt, wie eben schon gesagt, für Zahlen. Und wenn ich jetzt bei einem Produkt kein 'return of investment' habe, was mach ich dann damit? Und 'return of investment' ist bei Security immer erst, wenn etwas passiert."
Norman: "Security fügt einem Produkt niemals irgendeine Art von Funktionalität hinzu. Sondern vielmehr das Gegenteil. Es macht es in den meisten Fällen less-convenient. Das heißt, für die Benutzer ist es weniger angenehm. Das heißt, es hat keiner irgendwie einen Vorteil davon, wenn er es erst mal einbaut. Erst jetzt, wo es ein Nachteil wird, wenn etwas passiert, wird es als Vorteil schon front-up wahrgenommen."
Felix Lindner hat das Blackberry gehackt
Zürich. Felix Lindner, genannt "FX", hält in eineinhalb Stunden einen Vortrag. Wo genau, darf ich nicht wissen. Der Hacker ist viel auf Reisen – allein in den letzten zwei Monaten hat er 80.000 Kilometer mit dem Flugzeug zurückgelegt. Wir treffen uns in seinem Hotelzimmer. Die Koffer stehen schon für die Abreise bereit.
"Ein amerikanischer Kollege von mir meinte neulich: Es gibt nur zwei Arten von Know-how tragenden Unternehmen. Die, die schon gehackt wurden, und die, die es nicht gemerkt haben."
Felix Lindner sieht aus wie die Hacker-Ausgabe des Schauspielers Ben Becker. Ganz in Schwarz gekleidet, die Hand immer griffbereit an der Zigarettenschachtel. Er ist Chef der Berliner Firma "Recurity Labs". Seit fast zwanzig Jahren ist er Hacker. Er hat den als von der CIA als sicher eingestufte Blackberry – ein Telefon mit Internetfunktion – gehackt. Seine Firma bietet auch Penetrationstests an – ein Verfahren, dass Felix Lindner allerdings nur am Rande durchführt.
"Wir beschäftigen uns halt viel mehr mit Produktsicherheit. Das heißt, das Kernprodukt ist eigentlich kein Computer. Ist aber heutzutage doch einer. Also Autos, Medizintechnik, Luftfahrt, so was. Ein Autobauer will eigentlich erst mal ein Auto bauen. Aber da stecken mittlerweile halt ein riesen Haufen Computer drinnen. Und da muss man frühzeitig mit drauf schauen, schlicht beratend tätig sein. Wie baut man jetzt die nächste Generation so, dass wenn Ihr da ein Sicherheitsproblem habt, Euch nicht das ganze Ding direkt um die Ohren fliegt."
Der Hacker arbeitet daran, dass andere Hacker keine Chance haben, seine Kunden zu stören. Das Ziel ist es, sagt er, am Ende arbeitslos zu sein. Die Welt soll sicherer werden – das ist die Motivation von "FX". Momentan muss er sich noch große Sorgen um die Welt machen, der Markt wächst. "Recurity Labs" soll allerdings nicht expandieren. Das kleine Unternehmen will weiterhin handgemachte Sicherheit bieten. Die Auftragsbücher sind voll und die Fehler der Klienten oft die gleichen.
"Viele Leute in Unternehmensleitungen denken: Na IT, da haben wir einen für und IT-Sicherheit, da hat der dann einen für. Und das ist halt nichts, was sie angeht. Was natürlich totaler Quatsch ist. Viele Unternehmen sind, ob sie es wahrhaben wollen oder nicht, IT-Zentrisch. Nehmen wir einen Energie-Versorger."
So einen hat Felix Lindner neulich nämlich zufällig vom Netz genommen. Für eine Arte-Dokumentation ist er in die Netzinfrastruktur der Stadtwerke Ettlingen im Schwarzwald eingebrochen. Drei Tage brauchte er, um so weit zu kommen, dass er den Strom hätte kappen können. Die Verantwortlichen dachten, dass alles sicher sei. Oft reicht es aus, dass ein Mitarbeiter unbedacht eine Email öffnet. Und schon stehen alle Tore offen. Beängstigend. Und dennoch gibt es einen Grund aufzuatmen.
"Gerade Energieversorger haben einen eklatanten Vorteil: die Kontrolle zu bekommen, ist relativ einfach. Vergleichsweise einfach. Das Problem, was der Angreifer hat, was uns eigentlich beruhigen darf, die Leute merken einfach, wenn der Strom weg ist. Und zwar ziemlich schnell. Dann gibt es halt Leute, die einfach einen physikalischen Schalter umlegen und sagen: so, jetzt ist der Strom wieder da. Irgendwie, vergiss mal den Computer dahinten, um den kümmern wir uns später."
Berlin. Noch ein letzter Café-Besuch. Ein Treffen mit dem Chef der Rechtsabteilung des "Deutschen Industrie- und Handelskammertages". Kurz vor Feierabend. Stephan Wernicke kommt gerade von einer Veranstaltung aus dem Bundesjustizministerium.
Wie würden Sie die Symbiose von Hackern und Wirtschaftsunternehmen in Deutschland beschreiben?
"Ich hoffe, es gibt keine Symbiose. Hacker sind sicherlich in Teilen bei Sicherheitsunternehmen tätig. Teilweise sind sie aber eben auch nicht für die Wirtschaft tätig, sondern sind diejenigen, die die Wirtschaft angreifen. Hiergegen gilt es sich zu wehren."
Sie vertreten ja große Unternehmen und sehr kleine Unternehmen. Was meinen Sie, wie sind die so gerüstet gegen Hacker-Angriffe?
"Viele große Unternehmen haben sehr große, extrem kompetente Sicherheitsabteilungen mit bis zu mehreren hundert Mitarbeitern. In Bezug auf mittelständische Unternehmen, kleinere und mittlere Unternehmen, sieht die Situation natürlich anders aus. Dort gibt es auch aufgrund der enormen Kosten, die damit einhergehen, nicht diese Form der Sicherheitsabteilung. Gleichwohl muss man betonen, dass alle Unternehmen alles ihnen mögliche tun, um sich zu schützen gegen entsprechende Hacker-Angriffe."
Und alle Unternehmen, erzählt Herr Wernicke weiter, könnten sich nur gegen 80 Prozent der Angriffe schützen. Die übrigen 20 Prozent der Angriffe stammten von übermächtigen Organisationen aus dem Ausland. Dagegen käme hierzulande niemand an. Die deutsche Wirtschaft in der Opferrolle.
"Infolge dessen appellieren wir hier an den Staat, seinem Schutzauftrag gerecht zu werden. Denn die Schutzfunktion des Staats muss hier greifen und wir sind gemeinsam mit den staatlichen Stellen dabei, hier auch eine Strategie zu entwickeln."
Der Ruf nach dem Staat. Kann er das massive Sicherheitsleck der deutschen Wirtschaft schließen? Niemand kann bemessen, wie groß der Schaden durch Hackerangriffe wirklich ist. Meine Sorge rund um die Sicherheit meiner sensiblen Daten, die ich der Wirtschaft anvertraue, bleibt bestehen. Und der Eindruck, dass längst nicht alle Unternehmen dafür sorgen, dass ihre Schätze in Sicherheit sind, ebenfalls. Die Wirtschaft ist abhängig von den IT-Profis. Viele Unternehmer müssen schnell lernen, mit dem "Neuland" Internet richtig umzugehen. Die Gewinner der Entwicklung sind ausgemacht: Die Hacker haben es gebracht, die Hacker nehmen es.
Mehr zum Thema