Interview: »Oft die Zähne ausgebissen«

Henry Kohli ist preisgekrönter Nachwuchshacker und Freund von 16 Zeichen

Herr Kohli, was fasziniert Sie an Informatik?

Ich war schon immer von Logik und Programmieren fasziniert, da oftmals sehr viel Kreativität in eine Lösung einfließt. Diese Kombination aus Logik und Kreativität wurde über die Jahre immer mehr zu meiner Leidenschaft.

Henry Kohli, Foto: privat

Wann haben Sie zum ersten Mal einen Computer gehackt?

Letztlich habe ich noch nie einen Computer gehackt, da ich zumeist auf bestimmten Internetseiten unterwegs bin, die simulierte Umgebungen abbilden. Hier gilt es, bestimmte Sicherheitslücken zu finden.

Eine Aufgabe könnte beispielsweise sein, einen Webserver zu übernehmen. In diesem Fall beginne ich damit, mir Infos zu beschaffen. Auf welchem System läuft der Server und in welcher Programmiersprache sind die Seiten geschrieben? Wenn ich dies herausgefunden habe, kann ich eingrenzen, welche Fehler beim Einrichten und Programmieren gemacht wurden, um gezielt nach Sicherheitslücken Ausschau halten zu können. Diese nutze ich und somit ist die Aufgabe gelöst.

Wie oft haben Sie sich an diesen Simulationen schon die Zähne ausgebissen?

Schon sehr oft – allerdings hätte ich auch viel weniger Spaß, wenn dem nicht so wäre. An zwei Aufgaben saß ich jeweils eine Woche. Aber genau aus diesem Grund erinnere ich mich noch heute gerne an diese.

Besteht manchmal nicht doch der Reiz, eine Seite zu hacken, die nicht simuliert ist?

Natürlich probiere ich manches aus. Wenn ich eine schwache Stelle finde, teile ich dies auch dem Seitenbetreiber mit. Ich würde niemals eine Firewall durchbrechen, weswegen ich diese Aktion nicht als Computerhacking bezeichnen würde. Ich durchsuche auch das Internet nicht nach Sicherheitslücken, mir fallen diese zufällig auf.

Was sind eindeutige Indizien für eine Sicherheitslücke?

Wenn ein Fehler auf einer Webseite auftritt, sollte die Fehlermeldung nicht auf der Internetseite gezeigt werden und mehr Informationen als nötig preisgegeben werden. In den Standardeinstellungen sind oftmals sehr detaillierte Fehlerberichte mit teilweise sehr brisanten Informationen enthalten, die die Nutzer einsehen können. Damit ließe sich beispielsweise ein System hacken. Einem Laien fällt so etwas nicht auf – ist es mir früher auch nicht. Aber heute bin ich diesbezüglich sehr viel aufmerksamer.

Apropos Sicherheit: Sind Passwörter à la 123456 noch an der Tagesordnung oder ist hier ein Wandel ersichtlich?

Hier tut sich auf jeden Fall etwas – auch in den Medien ist IT-Sicherheit ein großes Thema. Allerdings habe ich dennoch das Gefühl, dass noch viele unsichere Passwörter verwenden. Als ich mich noch nicht mit dem Thema IT-Sicherheit beschäftigt habe, hatte auch ich immer die gleichen Passwörter.

Fakt ist, dass jedes Passwort zu knacken ist. Der einzige Unterschied besteht in der Dauer, bis es geknackt ist. Ein kurzes Passwort aus Kleinbuchstaben oder eines, das aus einem Wort besteht, das im Duden zu finden ist, sind schnell zu entschlüsseln.

Am sichersten ist eine willkürliche Zeichenfolge von großen und kleinen Buchstaben, Zahlen und Sonderzeichen – die Sicherheit nimmt mit der Länge exponentiell zu. Ab 16 Zeichen haben Hacker kaum eine Chance.

Diese Mühe wird sich nur eine Minderheit machen …

Der Aufwand ist sehr groß, weswegen ich rate, diese Art von Passwort zumindest für die wichtigsten Accounts wie E-Mail-Postfach oder Onlinebanking anzulegen.

Würde es Ihnen auffallen, wenn jemand Ihr E-Mail-Konto hackt?

In diesem Fall würde ich es höchstwahrscheinlich merken, da einige Anbieter ihre Nutzer darauf hinweisen, wenn sie sich im Ausland von einem anderen Computer in ihrem Account anmelden. Google und Googlemail erkennt diese Unregelmäßigkeit und meldet sie dem Nutzer, ob alles seine Richtigkeit hat.

Inwieweit haben Sie Ihre Freunde bereits darum gebeten, den E-Mail-Account der Ex-Freundin oder des Ex-Freundes zu hacken?

Während Freunde mich das noch nicht gefragt haben, hatte ich nach dem Sieg der ›Cyber Security Challenge‹ im Februar zwei, drei Anfragen über facebook. Damit möchte ich aber nichts zu tun haben.

Sind Sie oft in sozialen Netzwerken unterwegs?

Ich beschäftige mich viel mit meinem Handy, aber hauptsächlich, um zu kommunizieren, weniger, um in den sozialen Netzwerken unterwegs zu sein – alleine aus Datenschutzgründen. Für mich zählt das Technische mehr. Ich bin ein Bastler und entwickle auch selber. Erst vor kurzem habe ich mir einen Organizer geschrieben, da mir diejenigen, die es aktuell gibt, nicht gefallen.

Sie sind mit dem digitalen Fortschritt aufgewachsen, für Sie spielt der Datenschutz ein große Rolle. Inwieweit wird hierfür auch genügend getan?

Seit dem NSA-Skandal hat sich in diesem Bereich viel verändert. Dennoch nehmen viele Nutzer das entsprechende Angebot zum Datenschutz nicht wahr. Im Bereich der Technik sind wir auf einem sehr guten Weg. Ich fühle mich sicher, da ich mich um meinen Datenschutz kümmere, und gegebenenfalls auch auf bestimmte Dienste verzichte. Der digitale Fortschritt beeindruckt mich sehr und ich bin gespannt, wie sich die nächsten 20 Jahre entwickeln.

Henry Kohli, 20 Jahre, lebt in Oberhausen und macht momentan eine schulische Ausbildung zum Informationstechnischen Assistenten. Im Februar 2015 hat er die bundesweite ›Cyber Security Challenge‹ in der Kategorie ›Schüler‹ gewonnen. Nach seiner Ausbildung möchte er ein Studium im Bereich der IT-Sicherheit absolvieren.

 

 

Weitere Artikel:

Tech-on-Tour bringt im Rahmen der Developer Week 2016 elf Nürnberger Unternehmen mit jungen IT-Talenten zusammen

Diese Branche hat Zukunft: ITler erwarten im Multichannel tolle Jobchancen

Die Branche boomt, Aufgaben werden vielfältiger, Anforderungen wachsen – Entwicklungen, Herausforderungen und Aussichten des IT-Consulting-Markts

Artikelsuche

Stellenangebote: