Schwäbische Zeitung (Tettnang)
E „Wir kommen überall rein“
Die Hacker von Code White brechen im Auftrag von Unternehmen in deren Computer ein und klauen Daten – Wir haben ihnen dabei über die Schulter geschaut
●
r hat einen Auftrag. Thomas Fischer soll die Computer eines der größten Unternehmen in Europa hacken und auf diese Weise bis zu dessen innersten Geschäftsgeheimnissen vordringen. Einer gegen einen ganzen Konzern, Fischer macht diesen Job schon eine ganze Weile. Inzwischen ist er 50 Jahre alt – und hat häufiger gewonnen als verloren.
Fischer – hipper grauer Vollbart, Brille – arbeitet für eine Firma namens Code White in Ulm, und wer deren großzügige Büros betritt, könnte den Eindruck gewinnen, er sei in einem Grafikdesign-Studio gelandet. Aber auf den zweiten Blick fällt eine Tür auf, durch die ein geheimnisvolles blaues Licht dringt, auf dem Türschild steht „Finest Hacking“. Dazu zeigen Fischers Bildschirme schier endlose Folgen aus Buchstaben, Zahlen, Sonderzeichen – ein Durcheinander in sehr kleiner Schrift, mit dem Außenstehende rein gar nichts anfangen können. Code White bietet eine vergleichsweise neue Art der IT-Sicherheit an: Die gut 20 Mitarbeiter greifen Unternehmen an wie echte Hacker – aber im Auftrag der Unternehmenschefs. Derzeit arbeitet Code White unter anderem für sieben Dax-30-Konzerne sowie für einige amerikanische Unternehmen.
Laut dem Bundesamt für Sicherheit in der Informationstechnik sind 2016 und 2017 knapp 70 Prozent der Unternehmen und Institutionen in Deutschland Opfer von Hacker-Angriffen geworden, jeder zweite erfolgreiche Angriff habe dabei zu Produktionsausfällen geführt.
Jenes Unternehmen, dem sich Fischer gerade nähert, muss ungenannt bleiben. „Das fordert sonst nur heraus“, sagt Code-White-Gründer Andreas Melzner. Selbst intern nennen sie bei Code White nicht den Namen ihrer Kunden. Die bekommen aus dem Star-Wars-Imperium entlehnte Code-Namen. Fischer greift etwa gerade „Bookie“an. So werden auch zufällige Mithörer – beispielsweise beim Mittagessen im Restaurant – nicht schlau aus den Gesprächen.
Computersysteme sind nie zu hundert Prozent sicher. Es gibt unzählige Sicherheitslücken in Programmen, die in den umfangreichen und unübersichtlichen Codes nur schwer zu finden sind. Deshalb gilt: Wenn jemand nur genügend Zeit und Geld für gute Hacker hat, kommt er überall hinein. Wenn ein Angreifer dann Patente oder technische Dokumente stiehlt, in die jahrelange Forschungsund Entwicklungsarbeit geflossen ist, hat er dieses Wissen womöglich billiger erlangt als auf legale Art. Insofern muss es einem Unternehmen vor allem darum gehen, seine „Kronjuwelen“möglichst gut zu schützen – jene Daten, deren Verlust die Existenz des Unternehmens bedrohen kann.
Die Vorbereitung für seinen Angriff auf Bookie beginnt Thomas Fischer mit: Google. „Die wissen einfach viel“, sagt er und grinst. Der Hacker startet zunächst mit nichts als dem Namen des Unternehmens, das er angreifen will. Hier sei nur so viel verraten: Es handelt sich um eines der größten Unternehmen Europas, das weltweit aktiv ist und viel in Forschung und Entwicklung investiert. Fischer sucht mögliche Angriffspunkte: Welche Tochterunternehmen gibt es? Welche Technologien kommen auf den Webseiten zum Einsatz? Gibt es Zulieferer- oder Kundenportale, die schlecht geschützt sind?
Es hilft auch, dass Fischer und seine Kollegen wissen, wie die IT-Sicherheit von Konzernen aufgebaut ist. Viele IT-Verantwortliche folgen einem starren Muster. Sie haken vor allem in Tabellen ab, ob bestimmte Schutzfunktionen aktiv sind. Nach wie vor setzt die Mehrheit der Unternehmen auf solche Listen und somit darauf, bereits bekannte Sicherheitslücken zu schließen. David Elze, Mitgründer von Code White, erklärt anhand eines Bildes, was das Problem daran ist: Eine Haustür kann noch so gut gesichert sein – wenn der Einbrecher das ungesicherte Kellerfenster daneben nimmt, an das niemand denkt, ist er schnell drin. „Das findet man nur durch einen echten Angriff“, sagt Elze. Vor allem aber stößt man dabei auf bislang unbekannte Sicherheitslücken.
Thomas Fischer hat inzwischen den Online-Shop eines Tochterunternehmens von Bookie in Südamerika gefunden. „Die sieht eher veraltet aus“, sagt er und blickt zufrieden auf die Homepage. Fischer sitzt vor seinen beiden Bildschirmen und sucht, welche Dateitypen die Website verwendet, er klickt alle Links der Seite an, sucht eine Eingabemaske, „eine Seite, die mit Parametern arbeitet, da können wir etwas manipulieren“. Fischer probiert unzählige Möglichkeiten. Bei jeder Eingabemaske, die nicht seinen Kriterien entspricht, atmet er hörbar durch die Zähne aus.
Ihn hat jetzt das Hacker-Fieber gepackt. „Spieltrieb“nennt sein Chef Melzner dieses eifrige Suchen, angetrieben von dem Wissen, dass es früher oder später gelingt. „Es macht am meisten Spaß, wenn Kunden ein gutes Verteidigungssystem haben“, sagt Fischer. Heute hat er eher leichtes Spiel, er hat eine Eingabemaske nach seinem Geschmack gefunden und macht nun mit Ausdauer etwas, das so nicht vorgesehen ist: Er „kommuniziert“mit der Datenbank, die hinter der Webseite liegt. Dank eines Softwarefehlers kann Fischer ihr mit einem aufwendigen Verfahren Fragen stellen. Fischer, inzwischen rotwangig, gibt weitere Werte ein – bis auf seinem Bildschirm eine Tabelle komplett im Klartext erscheint: die Namen von knapp zehntausend Onlinekunden mit Mailadresse, Anschrift und Passwörtern. Solche Passwort-Hacks sind zwar ärgerlich für die Betroffenen und für die Unternehmen ein öffentlicher Schaden.
Viel teurer ist es aber, wenn ein Hacker die zentralen Geschäftsgeheimnisse stehlen kann. So weit ist Fischer an diesem Tag noch nicht. Er braucht noch zwei Wochen. Ein italienisches Tochterunternehmen hilft ihm dabei. Diverse Schwachstellen lassen Fischer in einer ähnlichen Fleißarbeit wie beim Onlineshop auf einen mit dem Internet verbundenen Server zugreifen, einen zentralen Computer im Netzwerk von Bookie. Dieser wiederum ist mit dem Herzen des Unternehmens verbunden: dem sogenannten Domain-Controller, von dem aus die Windows-Programme aller anderen Computer verwaltet werden.
Neben seiner Kreativität hat Fischer geholfen, dass das Unternehmen Windows nutzt. Das Programm ist ein Kompromiss aus Sicherheit und Nutzbarkeit: Das AdministratorPasswort lag im Klartext im Speicher des zentralen Computers. In Windows-Betriebssystemen von bis vor ungefähr acht Jahren sei das der Normalfall gewesen, sagt Fischer. Der Administrator muss sich dann nicht ständig neu anmelden, wenn er an dem System arbeitet. Bequemlichkeit geht da vor Sicherheit.
An diesem Tag schnappt er sich kurzerhand die Kronjuwelen – Baupläne, Personallisten, aktuelle Rechnungen – und präsentiert sie einige Tage danach dem entsetzten Unternehmenschef. Der hat seine IT-Mitarbeiter mitgebracht, sie fürchten um ihren Job, und Melzner muss sie beruhigen, das sei beim ersten Mal ganz normal: „Das passiert wirklich jedem.“Einige Tage nach dem Gespräch
steigt Thomas Fischer in Phase zwei ein: Er wird Bookie regelmäßig unangekündigt angreifen und schauen, wie weit er noch kommt. Die IT-Abteilung des Kunden versucht parallel, ihr System besser abzusichern.
Fischer sitzt nun wieder vor seinen beiden Bildschirmen mit der kleinen Schrift und Hunderten Fenstern, er puzzelt sich durch eine Vertriebsseite und über verschiedene zentrale Computer im Unternehmen. Ab und an presst er etwas Luft zwischen den Lippen hervor, sodass es pfeift.
„So, wo sind wir denn hier gelandet?“, sagt Fischer schließlich und lehnt sich zufrieden zurück. Er ist auf einem Server in Italien angekommen, der mit dem Internet verbunden ist. Ähnlich wie beim ersten Hack beginnt Fischer nun, mit dem Server zu kommunizieren. „Ich kann darauf Code ausführen“, sagt er – „glücklicherweise“nutze Bookie eine alte Programmversion mit einer Sicherheitslücke. Viele Zeilen winziger Zeichen später findet er schließlich ein digitales Schlupfloch: Er „tunnelt“sich wieder durch zu einem zentralen Computer des Konzerns in Spanien.
Fischer meldet sich mit dem in der ersten Runde gehackten Administrator-Passwort aus der Konzernzentrale an: Ein Fenster öffnet sich, ein sogenannter Remote Desktop. Das bedeutet, Fischer sieht jetzt, was die IT-Abteilung im Unternehmen gerade macht. Er hat den Bildschirm des Administrators auf seinem eigenen Bildschirm gespiegelt. Für diese Phase ist Fischer weit gekommen. Hat das Unternehmen nichts gelernt aus dem ersten Schock?
Aber was ist das? Angesichts des erstaunten Lauts, den Fischer jetzt von sich gibt, scharen sich Kollegen um seinen Bildschirm. Aufregung. Der Bildschirm, den Fischer gerade spiegelt, sieht beinahe genauso aus wie Fischers eigener Monitor. Ist da etwa ein anderer Hacker am Werk? Fischer sagt: „Wer hat die Telefonnummer, wir müssen schnell anrufen!“Erst ist die Leitung belegt, was das Adrenalin bei Code White weiter in die Höhe treibt, doch dann ergibt der Anruf: alles in Ordnung. Der Bookie-Administrator versucht gerade, die Strategie von Fischer zu verstehen, er ist dabei, sich selbst zu hacken. Er hat die Herausforderung angenommen. Für Thomas Fischer beginnt der Spaß.