Vom Bösewicht zum Aufklärer : Mythos Hacker

Regin, Sony, CyberBerkut – Digitale Doktoren und Cyberkriminelle sorgen dieser Tage für Schlagzeilen. Wer ist diese Spezies? Was ist ihre Motivation? Eine Annäherung an die Hackerszene.

Adrian Lobe
Hacker-Historie: Wau Holland (li) und Steffen Wernery vom "Chaos-Computer-Club" in Hamburg an ihren Computern im November 1984. Foto: Werner Baum/dpa
Hacker-Historie: Wau Holland (li) und Steffen Wernery vom "Chaos-Computer-Club" in Hamburg an ihren Computern im November 1984.Foto: Werner Baum/dpa

Es geschah am helllichten Tag: Die Techniker der Niederlassung von Sony Network Entertainment in San Diego stellen fest, dass vier Rechner ohne Erlaubnis neu starten. Das Team nahm die Systeme vom Netz und durchforstete die Aktivitätsprotokolle. Die Untersuchung bestätigte: Irgendjemand muss in die Server eingedrungen sein. Was im April 2011 passierte, war möglicherweise nur der Testlauf für einen groß angelegten Hackerangriff. Vor wenigen Tagen wurde Sony erneut zum Ziel einer Cyberattacke: Unbekannte Hacker legten die Server des Konzerns lahm. Wer hinter diesem mysteriösen Angriff steckt und ob der umstrittene Kinofilm „The Interview“ das Motiv war, ist bis heute unklar.

Der Fall wirft ein Schlaglicht auf die Hackerszene. Man liest fast täglich Berichte über gehackte IT-Systeme. Wer sind Hacker? Was treibt sie an? Was macht den Mythos aus? Schon der Begriff „Hacker“ ist nicht eindeutig. Laut Eric S. Raymond, der in seinem Buch „A Brief History of Hackerdom“ eine kulturhistorische Geschichte des Hackers erzählt, geht der Begriff auf die 1960er Jahre am MIT in Boston zurück. Damals wurden Studenten, die nicht im Seminar erschienen, aber leidenschaftlich einem Hobby nachgingen, als „Hacker“ bezeichnet. Heute würde man sie wohl eher Nerds nennen. Man denkt an junge Männer mit Schlabberpulli und üppigem Barthaar, die den ganzen Tag vor dem Computer sitzen und an ihrer Mate-Brause nippen. In der Realität bleibt von dem Klischee jedoch wenig übrig.

Bei jedem zweiten Dax-Konzern sind Hacker im Sicherheitseinsatz

Die Tübinger IT-Firma SySS beschäftigt gut ein Dutzend professioneller Hacker und führt Sicherheitstests für Unternehmen durch. Die Hacker – Informatiker, Physiker und Mathematiker – versetzen sich dabei in die Perspektive des Angreifers. „Wir müssen wissen, wie Angriffe aussehen, damit wir uns besser verteidigen können“, sagt Geschäftsführer Sebastian Schreiber dem Tagesspiegel. Je nach Kunde und Komplexität dauert eine Prüfung zwischen drei und tausend Tagen. Im Rahmen von simulierten Hackerattacken (sogenannte Penetrationstests) werden Schwachstellen erkannt, dokumentiert und dann behoben. Zu den Kunden von SySS zählen 50 Prozent der Dax-Konzerne.

Deutsche Unternehmen stehen zunehmend im Visier von Cyberkriminellen und Spionen. Nach einer Studie der Unternehmensberatung Corporate Trust verzeichneten in den vergangenen zwei Jahren 27 Prozent einen konkreten Spionagefall, weitere 27 Prozent hatten zumindest einen Verdachtsfall. Das Problem: Spionage lässt sich oft nur schwer feststellen. „Häufig werden Spionage-Fälle überhaupt nicht erkannt“, sagt Schreiber. Obwohl sie nicht erkannt werden, verursachen sie erheblichen Schaden – etwa dadurch, dass das betroffene Unternehmen Know-how an die Konkurrenten verliert und somit Wettbewerbsnachteile hat.

Hacking scheint ein ambivalentes Phänomen zu sein. Einerseits dient es dazu, Sicherheitslücken aufzudecken, andererseits aber auch, diese auszunutzen. Gibt es die guten Hacker, die im Dienst der Allgemeinheit Sicherheitslücken aufdecken und die bösen Hacker, die mit krimineller Energie die Infrastruktur sabotieren? Eines ist sicher: Mit einem manichäischen Gut-Böse-Schema kommt man dem Phänomen des Hackers nicht näher.

Dass es eine Hackerethik gibt, zeigt auch, dass sich Hacker den Folgen ihres Handelns bewusst sind. Jede Gruppe hat ihre eigenen Codes und ungeschriebenen Regeln. Auch die Sicherheitsfirma SySS hat sich einem Ethik-Kodex verschrieben. In einem lesenswerten Aufsatz plädiert Sebastian Schreiber für eine Berufsethik für Hacker. „Im Prinzip ist die Arbeit für Penetrationstester der von Polizisten oder Ärzten nicht unähnlich, denn auch ein Penetrationstest wendet eine Art von Gewalt an, die es zu regulieren gilt.“ Der Hacker als digitaler Doktor. Doch auch hier variieren die Ansichten. Der Chaos Computer Club (CCC) schreibt zu den „ethischen Grundsätzen des Hackens“: „Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein.“ Und: „Alle Informationen müssen frei sein.“ Darin wird der libertäre Impetus der Bewegung erkennbar. Allein, wo alles offen ist, ist auch alles sichtbar – und jeder gläsern. Das Recht auf Information kollidiert mit dem Recht auf Geheimhaltung.

"Du gegen das System" - werden Helden gemacht

Betrachtet man die Argumente der Hacker, so fällt stets eine antisystemische Motivation auf. Der Hacker will die Computer in die Knie zwingen. 2007 knackte der damals 17-jährige Steve Hotz die Providersperre des ersten iPhones. Sein YouTube-Video erreichte zwei Millionen Klicks und machte ihn auf einen Schlag zum berühmtesten Hacker. Später machte er sich an Sonys Playstation 3 zu schaffen, um sie von Herstellereinschränkungen zu befreien – was ihm eine Menge juristischen Ärger einbrachte. Für Hotz ist Hacking Sport, ein „Testosteron-Ding“, wie er einem Reporter des „New Yorker“ erzählte. Hotz glorifiziert sein Tun. Sein Slogan lautet: „Du gegen das System.“ David gegen Goliath. Das ist der Stoff, aus dem Helden gemacht werden. Hacker sind die neuen Ikonen der Informationsgesellschaft, im Internet werden sie wie Popstars gefeiert. Das Fashion-Magazin „Elle“ widmete Parisa Tabriz ein ausführliches Porträt unter dem Titel „Meet Google's Security Princess“. Hacken ist cool – und salonfähig.

Das Bild des Hackers hat sich in der Öffentlichkeit gewandelt – vom Bösewicht zum Aufklärer. Doch hinter diesem Zerrbild verbergen sich noch immer zahllose „Black-Hats“, Cyberkriminelle, die Sicherheitslücken schamlos ausnutzen. „Die Gefahr steigt ständig, weil wir uns immer mehr auf die IT verlassen“, sagt SySS-Geschäftsführer Schreiber, der selbst Informatiker ist. Aufgrund der zunehmenden Relevanz der IT und steigenden Komplexität potenziere sich das Sicherheitsrisiko. „Die Täter werden immer schlauer“, so Schreiber.

Die Geheimdienste wappnen sich gegen Angriffe aus dem Netz. So beschäftigt die NSA eine Reihe von „Elitehackern“, die die Sicherheitsarchitektur der USA robuster machen sollen. Für ihr „Certified Ethical Hacker Training“ sucht die NSA händeringend nach geeigneten Kandidaten und geht dabei an den Universitäten des Landes hausieren. Auch Edward Snowden absolvierte eine Ausbildung zum „zertifizierten ethischen Hacker“ – bis er mit seinen Enthüllungen die Abhörmethoden der NSA ans Licht der Öffentlichkeit zerrte.

Hacking hat neben der wirtschaftlichen auch eine geopolitische Dimension. Für Aufsehen sorgte 2010 der Computerwurm Stuxnet, der das iranische Atomprogramm lahmlegte und mutmaßlich von den USA und Israel gesteuert wurde. Die Syrische Elektronische Armee hat letztes Jahr mehrere Websites gehackt, unter anderem die Seiten der CNBC. Am Dienstag wurden die Internet-Seiten der Bundesregierung und des Bundestags zum Ziel eines Hackerangriffs, zu dem sich die als prorussisch eingestufte Gruppe „CyberBerkut“ aus der Ukraine bekannte. Der Vorfall macht deutlich: Auch die Bundesregierung ist vor Cyberattacken nicht gefeit. Ende Dezember war im Bundeskanzleramt ein Trojaner namens Regin entdeckt worden. Dabei handelte es sich um eine komplexe Schadsoftware, die über einen USB-Stick in die Systeme eingeschleust wurde. Der IT-Spezialist Felix von Leitner nennt Sicherheitslücken eine „nachwachsende Ressource“. Jeder Code hat neue Lücken. Mangels Know-how kaufen Nachrichtendienste in großem Stil Sicherheitslücken auf. Die Wirtschaft, allen voran die Anti-Viren-Hersteller, verdient das große Geld. Es ist schon erstaunlich, dass die Bundesregierung das Feld der digitalen Sicherheit privaten Unternehmen überlässt. Denkt man Schreibers These von der polizeilichen Aufgabe des Hacking weiter, ist die Beauftragung dieser Firmen durch Behörden nichts anderes als die Privatisierung öffentlicher Sicherheit. Und das beunruhigt mindestens so sehr wie die zahllosen Cyberattacken.

2 Kommentare

Neuester Kommentar
      Kommentar schreiben