Profi-Hacker decken auf: Sicherheitslücken bei Smartphone und Co.

Barnaby Jack könnte längst ein reicher Mann sein: auf seiner eigenen Yacht mit dutzenden Bediensteten durch die Südsee schippern und überall, wo es ihm gefällt, eine Villa kaufen. Doch Jack hat sich anders entschieden, statt in die Südsee ist der junge Australier nach Nevada gereist und jetzt steht er auf der Bühne, in einem schlichten, schwarzen Sakko, gewillt, sein Wissen zu teilen. Jack ist gelungen, wovon Generationen von Banditen geträumt haben. Mit einer selbst programmierten Software hat er handelsübliche Geldautomaten geknackt. Auf seinen Befehl hin spucken die Maschinen Unmengen von Geldscheinen aus.

Was nach einer fantastischen Fortsetzung der "Ocean's Eleven/Twelve/Thirteen"-Filme klingt, war auf der 18. Hacker-Konferenz "DefCon", die am vergangenen Sonntag in Las Vegas zu Ende ging, fast Nebensache. Eine nette Spielerei, mehr nicht. Zu den Erkenntnissen des dreitägigen Kongresses gehörten weitaus gravierendere, solche, die nicht nur Banken beunruhigen, sondern Privatmenschen ebenso wie Präsidenten. So wurden die Kongressbesucher Zeuge, wie Hacker sich mithilfe einer ferngesteuerten Drohne, einem unbemannten Luftfahrzeug, die digitalen Daten zahlreicher Computernutzer auf den Bildschirm holten. Klar erkennbar liefen sie vor dem Publikum über die Leinwände. Und Brite Chris Paget präsentierte einen selbst gebauten Sendemast, erschaffen aus Standardteilen, die in jedem Elektronikladen zu finden sind. Dieser ermöglichte es ihm, die Telefongespräche der Gäste mitzuschneiden. Kostenpunkt seiner Bastelei: Rund 1500 Dollar - eine Abhöranlage für jedermann.

So unglaublich das Vorgeführte erscheint, die "DefCon" ist keine Zaubershow und weit mehr als eine Plattform für Computerfreaks. Wie auch in den Jahren zuvor offenbarte sie eklatante, bisher unbekannte Sicherheitslücken und gab damit nicht nur den belauschten Gästen allen Grund, schockiert zu sein. Der Kongress liefert vor allem Industrie und Politik wertvolle Hinweise, denn längst ist Technik die Basis wirtschaftlicher und militärischer Operationen, laufen hochsensible Daten über das Internet. "DefCon"-Gründer Jeff Moss, einst selber gefürchteter Phantomhacker und unter dem Pseudonym "The Dark Tangent" bekannt geworden, ist mittlerweile als Berater des US-Heimatschutzministeriums tätig. Im einem am Sonntag ausgestrahlten Fernsehinterview bekräftigte er sein Anliegen: "Entscheidungsträger müssen wissen, wie die Technik wirklich funktioniert." Und Geldregenmacher Jack sagte: "Selbst Systeme, die als undurchdringbar gelten, lassen sich aushebeln. Wir müssen vorsichtiger werden, in allem, was wir tun."

Deshalb werden Schwachpunkte auf der "DefCon" gnadenlos vorgeführt. Die Griechen Nicholas Percoco und Christian Papathanasiou deckten auf, dass selbst sogenannte Smartphones wie das populäre iPhone oder ein Blackberry sich aus der Ferne steuern lassen. Das tangiert nicht nur den Datenschutz, Betrüger können auf diese Weise auch unbemerkt Anrufe einleiten und über die Anwahl gebührenpflichtiger Telefondienste Umsätze in Milliardenhöhe generieren. Oder den Besitzer mittels seiner per GPS ermittelten Koordinaten orten. Jederzeit und überall.

Bei Staat und Unternehmen sind die Hacker gefragte Gesprächspartner. Nicht zuletzt in den Chefetagen vieler Konzerne verfolgte man die "DefCon" und ihre Enthüllungen mit großem Interesse. So sagte Telekomsprecher Dirk Wende dem Tagesspiegel am Sonntag: "Wir beobachten die Szene und solche Netze sehr genau." Ohne das Sicherheitsrisiko in Frage stellen zu wollen, sagte Wende aber, man halte das Gefahrenpotential für weit weniger groß, als es auf Veranstaltungen wie der "DefCon" den Anschein habe. "Im internationalen Verbund tauschen sich Mobilfunkanbieter regelmäßig über Schutz- und Verbesserungsmöglichkeiten aus, arbeiten gemeinsam an den Netzen der Zukunft. Trotzdem ist das Telefonieren aus Mobilfunknetzen schon heute nicht weniger sicher als das Telefonieren vom Festnetz aus." Handys seien oft so laut gestellt, dass die Umstehenden in der U-Bahn jedes Wort verstünden. Dies seien in der Regel die einzigen Gelegenheiten, bei denen Vertrauliches ans Ohr unerwünschter Dritter gelange.

Doch nicht alle befürworten das Engagement der Hacker. Zu den Vortragenden auf der "DefCon" gehörte auch der US-Amerikaner Jacob Appelbaum, Mitarbeiter der berüchtigten Website "Wikileaks", die vertrauliche Daten unterschiedlichster Bereiche für die Allgemeinheit zugänglich macht. Wie Appelbaum mitteilte, sei er auf dem Weg zur Konferenz von Grenzbeamten verhört und durchsucht worden, die schließlich sein Smartphone konfiszierten. Drei Stunden lang soll Appelbaum auf dem Gelände des New Yorker Flughafens festgehalten worden sein. Auf der "DefCon" verteidigte er später die Wikileaks Philosophie, die Internetspionage als Kontrollmethode der immer stärker vernetzten Welt.

Appelbaum wäre nicht der Erste gewesen, der im Rahmen der "DefCon" verhaftet wurde. Im Jahr 2001 führte das FBI den Russen Dmitry Sklyarov in Handschellen ab, weil er auf dem Kongress ein Programm zum Kopieren von E-Books vorgestellt und damit aus Sicht der Behörden gegen das in den USA besonders strenge Urheberrecht verstoßen hatte. Heute lehrt er als Dozent für Informationssicherheit an der Technischen Universität Moskau. Der Hersteller der E-Book-Readersoftware, Adobe, hatte die Klage gegen Sklyarov bereits wenige Wochen nach seiner Inhaftierung fallengelassen - vermutlich, nachdem er dessen Mitarbeitern hilfreiche Tipps gegeben hatte.