Black Hat: Die Lust an der Sicherheitslücke

© Jakob Steinschaden

Digital Life
03/16/2012

Black Hat: Die Lust an der Sicherheitslücke

Smartphone-Apps, intelligente Stromzähler, Autos - auch auf der Konferenz "Black Hat Europe", die diese Woche in Amsterdam stattfand, wurde aufgezeigt, dass es es die perfekte Technologie nicht gibt. Als Cyberkriminelle mit niederträchtigen Absichten wollen sich die Hacker und Sicherheitsexperten, die die Löcher aufspüren, deswegen aber nicht abstempeln lassen. Die futurezone ist vor Ort.

"Es ist eine Herausforderung, zu zeigen, dass etwas knackbar ist.” Für den Mozilla-Mitarbeiter Christian Holler (25) ist Hacken eine Leidenschaft. Er spürt für den Firefox-Hersteller Vollzeit Sicherheitslücken in künftigen Versionen des Browsers auf. Pro Woche entdeckt er zwei bis drei, so dass diese behoben werden können, bevor der Endnutzer die Software überhaupt installiert. Seitdem er 13 ist, jagt er nach Schwachstellen in Computer-Codes, "das ist wie ein Rätsel zu lösen.” Als Student hat er sich mit dem Hobby zusätzliches Geld verdient - Software-Hersteller zahlen für Informationen über Schwachstellen -, heute hat er das Hobby zum Beruf gemacht.Jedes Code-Loch ist Geld wertHoller hat es wie Hunderte andere nach Amsterdam auf die Konferenz "Black Hat Europe” gezogen, auf der sich Hacker, Security-Forscher und Sicherheitsfirmen diese Woche über die neuesten Sicherheitslücken in Software und Hardware austauschten. Apps am Smartphone, Funk-Chips im Auto oder intelligente Stromzähler zu Hause - gehackt wurden auf der Konferenz eine ganze Reihe an neuen Technologien.

"Hightech erobert jeden Aspekt unseres Lebens, aber Sicherheit ist bei vielen Herstellern und Konsumenten zweitrangig”, sagt Travis Carelock, einer der Black-Hat-Organisatoren. Der negativ besetzte Begriff "Hacker” würde der Realität nicht gerecht werden. Immerhin wären sie es, die gefährliche Sicherheitslücken, die Millionen Menschen betreffen können, aufdecken würden.

Aus reinem Idealismus handeln aber nicht alle Hacker, viele sind auch auf Geld aus. Google etwa vergibt 2012 eine Million Dollar an jene, die Sicherheitslücken in seinem Browser Chrome entdecken. Noch mehr Geld wartet am Schwarzmarkt: Dort lässt sich oft um das Zehnfache mehr machen, als es bei Hacker-Wettbewerben wie "Pwn2Own” (bis zu 60.000 Dollar) zu holen gibt. Abnehmer für die brisanten Informationen gibt es viele; Hersteller von Überwachungstechnologien sind daran genauso interessiert wie autoritäre Staaten, die die Lücken zu ihren Zwecken ausnutzen können.Cracker-MethodenDas Code-Knacken ist auch ein ganz legales Geschäft. "Ich sehe mich als ethischen Hacker. Meine Firma macht all das, was Cyber-Kriminelle machen, aber eben mit Einverständnis des Angegriffenen”, sagt Juho Ranta von der finnischen Firma Louhi Security. Zu seinen Kunden gehören Banken, Versicherungen, aber auch staatliche Einrichtungen. Per Vertrag wird der Hack unter kontrollierten Bedingungen genehmigt. Mit so genannten "Penetration Tests” sucht Ranta nach Lücken, über die er an heikle Finanz- oder Personendaten kommen könnte. Die Ergebnisse bekommt der Vertragspartner, der seine Systeme dann basierend auf den Erkenntnissen verbessern kann.

Kritik an AnonymousGroße Faszination übt das stark politisch orientierte Hacker-Kollektiv Anonymous auf viele in der Szene aus - und steht gleichzeitig in der Kritik. Weder seien die Methoden (etwa das Lahmlegen von Webseiten) sonderlich neu, noch wären sie immer gerechtfertigt (z.B. die Veröffentlichung von Daten über Polizisten), meinen viele. "Es gäbe oft auch legale Wege, bestimmte Ziele zu erreichen. Nimm etwa die Occupy-Bewegung, die legal großen Druck auf die Politik ausübt", sagt der Sicherheits-Experte Jerome Radcliffe der US-Firma Mocana, seit zwölf Jahren in der Branche tätig. Wie viele andere rechnet er aber nicht mit einer Abnahme der Anonymous-Aktivitäten - im Gegenteil. "Es wird künftig noch mehr Hacktivism geben als heute. Je korrupter Politik und Wirtschaft ist, desto größer wird auch der Drang, Licht darauf zu werfen.”

"Vor der industriellen Revolution waren Ausschreitungen, etwa in Großbritannien, sozial akzeptiert”, sagt der Verschlüsselungs-Experte Whitfield Diffie (68), ein Legende der Computer-Szene. "Erst, als es große private Kapitalinvestments gab, wurden Krawalle als ernstes Verbrechen eingestuft.” Im Cyberspace würde derzeit eine ähnliche Situation vorherrschen: Die virtuellen Proteste würden kaum realen Schaden anrichten, weswegen viele mit den Hacktivisten sympathisierten.

Millionengeschäft SicherheitDas immer ernstere Bedrohungszenario ist jedenfalls gut fürs Geschäft. Laut einer Studie des Marktforschers Technavio soll der globale Markt für Sicherheitslösungen bis 2015 um 13,3 Prozent wachsen und damit fast doppelt so stark wie der weltweite IT-Markt (bis 2015 um etwa 7 Prozent, IDC-Studie).

Profitieren wird davon etwa Netwitness, eine Tochterfirma des Software-Riesen EMC. Das Security-Unternehmen kann Überwachungs-Software ab 100.000 Dollar an Firmen verkaufen, die allein darauf ausgerichtet ist, um Eindringlinge in Computer-Systeme zu verfolgen. "Wie eine Videokamera in einem Juwelier”, so ein Netwitness-Manager. Heikel wird es, wenn die Sprache auf den Verkauf von Überwachungs-Software an autoritäre Staaten wie China, den Iran oder Syrien fällt. "Darüber können wir keine Auskunft geben”, heißt es dann.

Mehr zum Thema

  • Anonymous-Betriebssystem ist eine Fälschung
  • “War texting”: Experte warnt vor Auto-Hacks
  • Datenklau bei Pornoseite Digital Playground

Die Black-Hat-Konferenz wird seit 14 Jahren veranstaltet und gilt als eine der wichtigsten Treffen zum Thema Computer-Sicherheit. Startete sie im US-amerikanischen Hacker-Untergrund, ist sie heute eine weltweit angesehene Veranstaltung, auf der sich auch schon österreichische Ministerien über neue Security-Lösungen informiert haben sollen.

Der Begriff "Black Hat” bezeichnet einen Hacker, der illegale Absichten verfolgt (oft auch "Cracker” genannt). "White Hats” hingegen sich Hacker, die Sicherheitslücken aufzeigen und im Rahmen der geltenden Gesetze handeln. Die Bezeichnungen sind alten Cowboy-Filmen entnommen, in denen die Guten und die Bösen oft anhand der Farbe des Hutes erkannt werden können.

Die Black-Hat-Konferenz wird seit 14 Jahren veranstaltet und gilt als eine der wichtigsten Treffen zum Thema Computer-Sicherheit. Startete sie im US-amerikanischen Hacker-Untergrund, ist sie heute eine weltweit angesehene Veranstaltung, auf der sich auch schon österreichische Ministerien über neue Security-Lösungen informiert haben sollen.

Der Begriff "Black Hat” bezeichnet einen Hacker, der illegale Absichten verfolgt (oft auch "Cracker” genannt). "White Hats” hingegen sich Hacker, die Sicherheitslücken aufzeigen und im Rahmen der geltenden Gesetze handeln. Die Bezeichnungen sind alten Cowboy-Filmen entnommen, in denen die Guten und die Bösen oft anhand der Farbe des Hutes erkannt werden können.