Illegales Hacken ist lukrativer als der Drogenhandel
bei einem Social-Media-Unternehmen. „100 Prozent Sicherheit gibt es nicht. Sogar die NSA hat’s schon erwischt“, sagt Bardel und Hofer bringt wieder einen Burg-Vergleich aus der Praxis: „Viele setzen darauf, den Wassergraben besonders breit und die Burgmauer besonders hoch zu bauen. Wenn ein Angreifer diese Hindernisse aber doch überwindet, kann er sich dann frei in der Burg bewegen.“Also müsse man auch dafür sorgen, dass in der Burg die einzelnen Räume gesichert sind.
Bardel surft weiter und findet im Handumdrehen auf legalen Internetseiten Hacking-relevante ITDaten: genug Informationen, um eine vertrauenswürdige Geschichte für einen Social-Engineering-Angriff zu erfinden, ebenso Sicherheitslücken in Systemen mit dazugehörigen IP-Adressen, die sich mit Hackerprogrammen schnell scannen lassen. „Das ist, als würde man um ein Haus schleichen und prüfen, ob ein Fenster offen ist“, beschreibt Bardel. Ein Trainee aus dem aktuellen BPN-Nachwuchsprogramm, Student, Anfang 20, kurze Hose, „Hard Rock Café“-T-Shirt, assistiert auf einem zweiten Laptop und bedient ein Programm, das Black wie White Hats nutzen. Mehrere Anwenderfenster erscheinen auf dem Bildschirm des Hackers. Einige haben einen schwarzen Hintergrund, über den sich weiße, rote und blaue Schrift bewegt. Bis hierhin ist alles legal. Der Trainee gibt in eines der schwarzen Felder Befehle ein – schon ist Bardels TestLaptop gehackt und wie von Geisterhand verschwinden etwa Dateien aus dem Windows-Verzeichnis. In Wirklichkeit bekämen Opfer nicht sofort mit, dass sich ein Hacker in ihrem System befinde, weil dieser nicht sofort zuschlage und erst einmal observiere, sagt Hofer.
Der Trainee klappt den Computer zu. Genug gezeigt, mehr könnte ein Nicht-Nerd ohnehin nicht mehr nachvollziehen. Warum er für die Guten kämpft, wo es bei den Bösen doch so viel mehr zu verdienen gibt? „Mir geht es nicht ums Geld. Ich möchte Probleme lösen. Und außerdem haben ich ein Gewissen“, sagt er. Laut Hofer denken viele White Hats so. Schlecht verdienen sie aber auch auf der guten Seite nicht. Nachdem die Wirtschaft händeringend Beschützer sucht, winken Unternehmen Hofer zufolge schon mal mit Einstiegsgehältern für Master der Informatik von 100 000 Euro. Den Heldenstatus gibt es quasi noch dazu – unbezahlbar.
Die moderne Gesellschaft ist abhängig davon, dass die White Hats die Attacken der Black Hats abwehren können. Oder dass letztere entweder zu faul sind oder doch ein Gewissen haben, sodass sie kritische Infrastukturen (Kritis) nicht im großen Stil angreifen. Welch katastrophale Folgen es etwa haben könnte, wenn die Stromnetzwerke lahmgelegt werden, hat Marc Elsberg in seinem Buch „Blackout“geschrieben. Bardel hat’s gelesen. „Das ist eine Dokumentation. Durchaus möglich. Aber sehr, sehr aufwendig.“In Deutschland sei die Sicherheitslage im Vergleich zu anderen europäischen Ländern gut. Für Kritis gebe es besonders hohe Sicherheitsstandards. Und durch die neue Datenschutzverordnung machten sich viele Firmen mehr Gedanken über Datensicherheit. Doch dadurch seien sie auch für Hacker erpressbarer, weil diese mit einer Veröffentlichung drohen können, wenn Kundendaten nicht richtig geschützt wurden. Deshalb werden Angriffe auf klein- und mittelständische Unternehmen nun zunehmen, vermuten Bardel und Hofer.
Für die vielen Nicht-Nerds haben sie auch gute Nachrichten: Viele Hersteller würden nun Sicherheitslücken in ihrer Software schließen und Updates anbieten, das helfe etwa gegen Ransomware. Und die Wahrscheinlichkeit, als Normalo Opfer eines gezielten Angriffs zu werden, sei relativ gering. Zu großer Aufwand, zu wenig Gewinn.
„Wachsam sein, aber nicht paranoid werden. Man steht ja auch nicht jeden Tag auf und denkt daran, dass man verunglücken könnte“, sagt Bardel zum Abschied. Seine Worte klingen nach: Etwa, als sich der Zündschlüssel zum Mietwagen umdreht und das Navi zurück zum Grazer Flughafen führt. Oder als das Handy den nächsten WLAN-Hotspot anbietet. Oder als plötzlich abends daheim das Internet so seltsam langsam ist. Oder, oder, oder …