Geld verdienen mit Hacken, wie geht das?

Christoph Ritter ist IT-Security- Consultant bei der SySS GmbH und verdient sein Geld mit dem Hacken von Netzwerken

Interviewpartner: Christoph Ritter

Christoph Ritter, 25 Jahre, hat eine Ausbildung zum Fachinformatiker absolviert und im Anschluss Angewandte Informatik studiert. Ritter ist IT-Security-Consultant und Penetrationstester beim IT-Sicherheitsunternehmen SySS GmbH, das in Tübingen seinen Sitz hat und Sicherheitsprüfungen in Unternehmen durchführt.

Herr Ritter, wann ist es Ihnen zum ersten Mal gelungen, einen Account zu hacken?

Ich war noch sehr klein, als ich das Schloss am Computer meines Vaters knacken und mich erfolgreich anmelden konnte. Mein erstes Unternehmensnetzwerk habe ich mit 18 Jahren gehackt. Dies war allerdings zu Testzwecken und nicht einer kriminellen Energie geschuldet, denn es galt, herauszufinden, wie sicher das Netzwerk ist und ob es möglich ist, dort einzudringen. Ich habe es innerhalb eines Tages geschafft und habe mich wie ein Hollywood-Held aus einem Actionfilm gefühlt.

Inwieweit lässt sich Hacking lernen?

Es gibt unter anderem spezielle Studienrichtungen, die sich konkret mit IT-Security auseinandersetzen. Dabei stehen nicht nur Themen rund um einen sinnvollen Schutz im Fokus. Man lernt auch, wie erfolgreiche Angriffe ausgeführt werden. Denn sollte es tatsächlich zu einem Angriff kommen, ist man so in der Lage, angemessen zu reagieren. Mitbringen sollte man für das Fach allerdings Neugierde und eine stete Lernbereitschaft. Mittlerweile gibt es auch im Internet viele Seiten, die Interessierte langsam an diese Thematik heranführen, mit einer leichten Hacking-Aufgabe beginnen und sich dann nach und nach steigern.

Wie sieht eine leichte Hacking-Aufgabe aus?

Es kommt immer darauf an, wie die Seite aufgebaut ist und welche Funktionen bereitstehen. Meistens schaffe ich es innerhalb weniger Minuten, wenn eine Internetseite nicht ausreichend geschützt ist. Hat der Betreiber dafür gesorgt, seine Seite umfassend zu schützen, gelingt es auch mir nicht, diese zu hacken.

Wie oft haben Sie sich ›schon die Zähne ausgebissen‹?

Dies ist schwer zu beantworten – aber bei rund fünf Prozent der Tests war es nicht möglich, in das System einzudringen. Auch wenn insbesondere Webanwendungen oftmals sehr gut gemacht sind, können wir in den meisten Fällen kritische Schwachstellen finden. Dies bedeutet aber nicht, dass es uns immer gelingt, auf Daten zuzugreifen, auf die ein Standard-User normalerweise keinen Zugriff hätte. In diesem Zusammenhang können wir aber beispielsweise Wege aufzeigen, über die ein Datenklau theoretisch möglich wäre, wenn ein Benutzer auf einen bestimmten Link klickt.

Hacking für die Sicherheit anderer – was kann Hacking weiter Gutes tun?

Wenn unsere Kunden neue Anwendungen programmieren, gehört es für sie mittlerweile zum normalen Procedere, diese intern zu testen und sie anschließend extern mit Penetrationstests analysieren zu lassen. Ein Penetrationstest ist eine positive Art des Hackens, mit der ich als IT-Security- Consultant vom Betreiber die Erlaubnis erhalte, seine Seite anzugreifen. Am Ende dieser Tests erhält er einen Bericht über die gefundenen Schwachstellen, um diese reparieren zu können. Dies ist die einzige Art des positiven Hackens, die mir einfällt.

Erhalten Sie auch Anfragen von Freunden, ob Sie eventuell den Account ihrer Ex-Freundin hacken könnten?

Freunde sprechen mich darauf zwar an, meinen dies aber mehr als Witz.

Inwieweit beeinflusst Ihr Wissen allgemein Ihre private Internet-Nutzung?

Auch als Privatmann habe ich immer den Security-Aspekt im Auge. Ich wähle für jede Plattform ein eigenes Passwort und ändere diese regelmäßig. Seiten, auf denen ich meine persönlichen Daten angeben muss, die jedoch über keine Verschlüsselung verfügen, nutze ich nicht. In solchen Fällen suche ich mir sichere Alternativen.

Innenminister Thomas de Maizière ist der Meinung, dass die Deutschen, digital sehr sorglos sind. Gehen wir tatsächlich zu lax mit unseren Daten um?

An sich sollten sich Anwender immer auf ihre Dienstleister verlassen können. Wer seine Daten in Facebook eingibt, vertraut darauf, dass diese sicher sind. Letztlich ist es aber fraglich, wie viel Einfluss der Nutzer letztendlich darauf hat. Allgemein denke ich, dass in Deutschland bereits viel gemacht wird, aber besonders in Betracht auf den internationalen Datenschutz noch Defizite vorhanden sind. Es ist teilweise erschreckend, wie viel sich über Menschen herausfinden lässt, indem man nur ihren Vornamen und den Ort eingibt. Auch wenn Privatpersonen sehr sorglos mit ihren persönlichen Daten umgehen, liegt es im Großen und Ganzen an den Dienstleistern, die Daten vor dem unbefugten Zugriff Dritter zu schützen. 

Anfang Juni war die IT-Infrastruktur des Deutschen Bundestages tagelang einem Cyberangriff ausgesetzt, der nicht unterbunden werden konnte. Sollte nicht ausgerechnet in solchen Bereichen die Daten äußerst sicher sein?

Dies ist nicht so einfach wie es klingen mag. Oftmals höre ich in diesem Zusammenhang die Frage, weshalb man das System nicht komplett vom Internet trennt. In diesem Fall gibt es aber Probleme mit dem Datenaustausch. Computer sind für die Dateneingabe vorgesehen, um diese weiterverarbeiten zu können – auch an einem anderen Arbeitsplatz. Doch hierfür ist wieder ein Netzwerk nötig. Hinzu kommt, dass die Programme regelmäßig aktualisiert werden müssen. Dies verlangt nach einer regelmäßigen Installation von Updates, wofür wiederum eine Internetverbindung benötigt wird. Selbstverständlich könnte man auch – je nach Unternehmensnetzwerk – vier bis fünf Mitarbeiter mit USB-Sticks ausstatten und Updates installieren lassen. Im Umkehrschluss bedeutet dies letztlich : Je komplexer eine Infrastruktur ist, desto schwieriger gestaltet sich der Schutz des kompletten Unternehmensnetzwerks. In vielen Fällen steht die Benutzerfreundlichkeit vor der IT-Security.

Inwieweit lässt sich feststellen, welche Daten abgegriffen wurden?

Im Regelfall greift das Incident-Response-Team als erstes ein. Dieses besteht zum Großteil aus Forensikern, die das System und Log-Dateien analysieren. Ein normales Desktopsystem, das von Werk kommt, dokumentiert normalerweise schon sehr viel, beispielsweise ob man sich morgens erfolgreich oder erfolglos angemeldet hat. Weiter gibt es versteckte Logdateien, die auch Dateizugriffe protokollieren. Bei Unternehmensnetzwerken gibt es spezielle Software, die oft auf kritischen Systemen installiert sind, die nachvollziehen können, wer wann wo auf welche Datei zugegriffen hat und wovon Kopien erstellt wurden.

Diese Sicherheitslücken können nicht nur unangenehm, sondern auch sehr gefährlich werden. Stichwort Cyberkrieg. Inwieweit stecken wir schon mittendrin?

Auch wenn ich das Wort ›Cyberkrieg‹ schwierig finde, möchte ich behaupten, dass wir uns in einem digitalen Wettrüsten befinden. Der Geheimdienst vieler Ländern forscht intensiv an Schwachstellen, die militärisch genutzt werden könnten – beispielsweise indem sie die Infrastruktur eines Landes angreifen und die Strom- oder Wasserzufuhr kappen. Dies ist durchaus über den digitalen Weg möglich und ich denke, dass es bis zu einem gewissen Grad schon durchgeführt wird. Gerade die Malware ›Stuxnet‹ ist ein Beispiel hierfür.

Abgesehen von militärischen Übergriffen: Wie lassen sich Passwörter so sicher gestalten, dass kein Datenklau stattfinden kann?

Was die Sicherheit betrifft, schlägt Länge die Komplexität. Eine gute Möglichkeit ist auch, sich einen Satz zu merken, der einprägsam ist: beispielsweise ›DerBlaueElefantträgtgrüneUnterwäsche‹. Auf der sicheren Seite ist man mit einem Passwort, das aus einem Satz mit über 30 Zeichen besteht, in dem Groß- und Kleinschreibung sowie Zahlen oder Sonderzeichen vorkommen. 

Evelyn Eberl

Dieser Text stammt aus der Feder von:

Evelyn Eberl

eberl(at)audimax.de
Telefon: 0911-23779 41