Schwarzweiß hat viele Schattierungen
Von Uli Ries
Fällt das Stichwort „Hacker“, hat jeder, der sich für IT interessiert, sofort ganz bestimmte Bilder vor dem geistigen Auge. Meist kommen Lötkolben vor, sie spielen in schlecht beleuchteten Räumen voller Monitore und Tastaturen. Das alles umweht eine Aura von Illegalem. Und wahrscheinlich entsprechen diese Klischees sogar ein wenig der Wirklichkeit. In den letzten Jahren wurde die Bezeichnung Hacker oft dann verwendet, wenn es um einen für Außenstehende nicht nachvollziehbaren Zeitvertreib geht: Hacker sind ständig auf der Suche nach neuen Schwachstellen in Software und Internet-Diensten.
Ist die Lücke entdeckt, zerfällt die Geek-Familie prompt: Während die einen ihren Fund dem betroffenen Hersteller im Vertrauen mitteilen, verkaufen andere Kollegen die Lücke an legale Organisationen wie die Zero Day Initaitive oder iDefense. Diese wiederum reichen das Wissen an die von der Schwachstelle betroffenen Hersteller weiter. Wieder andere Zeitgenossen veröffentlichen die Details zur Lücke in einschlägigen Foren. Die wirklich bösartig gesinnten Hacker treten in Kontakt mit Cyberkriminellen, um ihr Wissen um das Sicherheitsloch meistbietend zu verkaufen. Diese sind es dann auch, die Schlagzeilen in der Publikumspresse machen. Von den übrigen Vertretern der Hackergemeinde wird so gut wie nie etwas bekannt.
Bastler wollen es kostenlos
Allein angesichts dieser Fülle von Vorgehensweisen – die tatsächlich nur ein kleiner Ausschnitt dessen sind, was die Hacker-Szene treibt und umtreibt – wird klar, dass der Begriff „Hacker“ dem Treiben nicht gerecht wird. Ursprünglich beschrieb die Bezeichnung schlicht Technikenthusiasten. Also Menschen, die Spaß hatten am Tüfteln, Programmieren und Löten hatten – und natürlich an der Analyse von bestehenden Systemen. In den 1960er- und 1970er-Jahren waren es die Telefonsysteme, später dann Großrechnersysteme und seit bestehen des Internets beschäftigt sich die Szene eben vordringlich mit dem Datennetz.
Als sich technisch versierte, aber moralisch weniger gefestigte Gesellen daran machten, ihr Fachwissen für Illegales einzusetzen, wurde es Zeit für einen neuen Begriff: Die Cracker traten auf den Plan. Zunächst nannte man so die Zeitgenossen, die den Kopierschutz von Heimcomputerspielen in den 1980er-Jahren entfernten. Später grenzten sich die harmlosen Hacker begrifflich so von ihren Untergrundkollegen ab.
Teil 1 erklärt, was zum Grundschutz gehört, welche Türen abgesperrt bleiben müssen und wie das Firmennetzwerk optimale Datenverfügbarkeit gewährleistet. Teil 2 nimmt die häufigste Ausfallursache unter die Lupe: den Anwender. Hier erfahren Sie, was eine gute Nutzerverwaltung leisten soll und warum ein Notfallplan parat liegen muss.
Nach Stetsons wie im Western
Im Internet-Zeitalter genügte auch die Bezeichnung „Cracker“ nicht mehr; neue Namen mussten her – und die Hüte traten auf den Plan. Denn von nun an sprach man von „White Hats“, „Grey Hats“ und „Black Hats“. Die Hut-Analogie ist den älteren, in Schwarzweiß aufgenommenen Cowboyfilmen entnommen. Darin wurde der Bösewicht durch seinen stets schwarzen Hut gekennzeichnet, der edle Retter trug einen weißen, und die zwischen den Welten stehenden Westernhelden hatten graue Kopfbedeckungen.
Ein Szene-Experte unterteilt die Hackerwelt in verschieden motivierte Gruppen. (Bild: The 451 Group)
Bezeichnungen wie „White Hat Hacker“ sind bis heute üblich, wenngleich Szeneexperten wie Joshua Corman, IT-Sicherheitschef des auf Webbeschleunigung spezialisierten Unternehmens Akamai, sich eine feinere Unterteilung wünschen. Corman will die Szene in neun Abteilungen gliedern, von „gesetzestreu und gut“ und „gesetzestreu, aber bösartig“ bis hin zu „wohlmeinend, aber Chaos stiftend“ und „bösartig und Chaos stiftend“. Er reagiert damit auf Gruppen wie die durch die Attacken auf Sonys PlayStation-Network bekannt gewordenen LulzSec und Anonymous. Deren Treiben lässt sich mit der simplen Einteilung in Weiß-Grau-Schwarz nicht erfassen.
Software braucht gute Hacker
Zahlreiche IT-Unternehmen profitieren vom Wirken der Hacker (wobei die Firmen natürlich nur mit den White Hats etwas zu tun haben wollen). Denn die Hersteller werden von den Hackern über Schwachstellen in ihren Produkten informiert, z.B. Microsoft, das sich vom Lieblingsfeindbild aller Hacker zum respektierten Gesprächspartner in Sicherheitsdingen gemausert hat. Die Redmonder fremdeln nicht mehr, wenn es um Kontakt zu den weltweit verstreuten Technikfreaks geht. Heute geht so gut wie jede in einem Microsoft-Produkt geschlossene Lücke auf Informationen zurück, die der Konzern aus der Szene der Sicherheitsforscher bekommt. Geld zahlt Microsoft den Tippgebern aber nicht. Zu groß sei die Furcht, erpressbar zu werden.
Der durch das Aufdecken einer fatalen Schwäche im DNS-Konzept bekannt gewordene Hacker Dan Kaminsky sieht die Zusammenarbeit zwischen unabhängigen Experten und Herstellern als Notwendigkeit:
- „Wenn wir Hacker die Unternehmen ein ums andere Mal ins offene Messer laufen lassen und die entdeckten Lücken für uns behalten, dann hat davon niemand etwas. Verursachen IT-Produkte ständig finanzielle Schäden, tritt über kurz oder lang der Gesetzgeber auf den Plan.“
Der Hacker rechnet also mit einer staatlichen Regulierung des Internets und damit mit dem Ende der Anonymität.
Professionelle Zusammenarbeit
Nicht nur Microsoft ist auf Tipps aus der Hackergemeinde angewiesen. Auch Netzwerkspezialist Cisco, durch dessen Produkte der Löwenanteil des weltweiten Datenverkehrs strömt, hört auf Hacker wie den Deutschen Felix „FX“ Lindner. Cisco-Spezialist Lindner geht verantwortungsbewusst mit seinen Entdeckungen um: Er meldet gefundene Lücken an den Hersteller und macht den Fund auf Konferenzen wie Defcon, Blackhat oder CCC erst publik, wenn Cisco die Lücke gestopft hat. Über die Zusammenarbeit mit der Industrie sagt der in Berlin lebende Lindner:
- „Es ist nicht ganz leicht, aber irgendwann gewöhnt man sich aneinander. Wobei Firmen wie Cisco oder Microsoft eine erfreuliche Ausnahme sind hinsichtlich der Professionalität, mit der sie die Zusammenarbeit mit der Hackergemeinde betreiben.“
Auch auf Seiten der Hersteller knirscht es ab und an im Gebälk. So erzählt ein Microsoft-Manager, dass man 2005 einen Tipp aus der Hackergemeinde intern nicht nachvollziehen konnte. Der Hinweis wurde ad acta gelegt. Kurz darauf befiel der Virus Zotob PCs auf der ganzen Welt und verursachte vor allem bei Unternehmen finanzielle Schäden. Zotob missbrauchte das zuvor gemeldete Sicherheitsloch. Seither prüfe Microsoft jeden Tipp noch gründlicher – selbst wenn der Hinweis nur aus einigen wenigen chinesischen Schriftzeichen besteht.
Was Bug-Wissen wert ist
Nicht alle Hacker sind so edelmütig wie die Experten, die sich mit ihren Informationen direkt an Microsoft wenden – und dafür nur als Tippgeber in den monatlichen Sicherheitsbulletins erwähnt werden. Viele der Spezialisten lassen sich ihre Arbeit entlohnen. Wobei sich die Geister an der Frage scheiden, wie die Hacker mit den entdeckten Sicherheitslücken umgehen sollten. Der deutsche Hacker Halvar Flake ist jedenfalls der Ansicht, dass
- „die Bug-Finder grundsätzlich selbst entscheiden sollen, ob sie ihr Wissen verschenken, verkaufen oder lizenzieren – solange sie sich an bestehendes Recht halten. Man zwingt ja auch keine Antivirenhersteller, ihre Produkte für alle kostenfrei zu verteilen.“
Der Geschäftsführer des französischen Unternehmens Vupen, Chaouki Bekrar, greift die Hersteller an, die Informationen zwar entgegennehmen, dafür aber nicht zahlen wollen:
- „Es überrascht uns nicht, dass mehr und mehr Sicherheitsexperten ihr Wissen nicht mehr mit den betroffenen Herstellern teilen. Schockierend ist, dass Firmen jährlich Millionen für kommerzielle Sicherheitschecks, Codeanalysen oder Fuzzing-Tools ausgeben. Gleichzeitig wollen sie den Forschern keinen Cent dafür zahlen, obwohl diese die gleiche Arbeit erledigen und zuvor unbekannte Schwächen aufdecken.“
Vupen lebt davon, Sicherheitslücken in Hard- und Software zu entdecken und diese Informationen anschließend an die betroffenen Hersteller zu verkaufen.
Prominente Bug-Jäger wie Charlie Miller, der u.a. dadurch bekannt wurde, dass er eine bösartige App in Apples iPhone Store schleuste, begrüßen Entlohnungsmodelle natürlich:
- „Meiner Ansicht nach sollten die betroffenen Hersteller für gemeldete Bugs zahlen. Die Hersteller sind für die Lücken verantwortlich, und es sind ihre Kunden, die vom Bug beeinträchtigt werden.“
Der Hacker weiter:
- „Sollten die Bug-Finder besser der Versuchung erliegen, die Information für Zehntausende von Dollars an Schwarzmarktkäufer oder gar an Regierungen für 100.000 Dollar zu verkaufen? Ohne dabei zu wissen, wofür die Informationen genutzt werden. Mir wäre es jedenfalls lieber, wenn die Sicherheit im Internet nicht davon abhängt, dass ein 17-Jähriger in Weißrussland die moralisch korrekte Entscheidung trifft.“
Lückenspürhund im Hauptberuf
Keine 17 mehr ist der chinesische Bugjäger Wu Shi. Er bestreitet seinen Lebensunterhalt mit dem Aufspüren von Lücken in Software und hat bisher weit über 100 relevante Bugs aufgespürt, hauptsächlich in Browsern wie Apple Safari, Google Chrome oder dem Internet Explorer. Allein im Jahr 2010 deckte er mehr als 50 Schwachstellen auf, wobei der Löwenanteil mit mehr als 35 Bugs auf Apples Browser Safari entfällt.
Seine Ergebnisse verkauft er an die ZDI. „Ich arbeite gerne direkt mit Herstellern, solange sie dafür bezahlen. Wenn nicht, verkaufe ich die Bugs an seriöse Organisationen wie ZDI und iDefense“, sagt Wu Shi. Im Schnitt benötigt der Chinese laut eigener Auskunft eine Woche, um eine Schwachstelle aufzuspüren. Die durchschnittliche Entlohnung liege bei 3000 US$. „Diese Zahl liegt so niedrig, weil Google nur 500 US$ pro Bug zahlt“, sagt Wu Shi. Der Hacker weiter:
- „Es ist für Hersteller günstiger, einen White-Hat-Hacker zu bezahlen, als für die Kosten durch einen im Internet kursierenden Angriff auf die Schwachstelle aufzukommen. Außerdem kann der Forscher den Hersteller später nicht erpressen, wenn er Geld für den Bug bekommen hat.“
An den kriminellen Online-Untergrund will der in Shanghai lebende Wu Shi nicht verkaufen: „Ich bin zufrieden mit dem, was ich habe und will mich nicht auf Riskanteres einlassen.“
Nach Moral oder gegen Gebot
Wie viel ein Hacker für seine Arbeit bekommt, hängt von verschiedenen Faktoren ab. Zuallererst davon, ob er sein Geld legal verdient oder sein Wissen an den Untergrund verkauft. Letzteres ist einträglicher, aber auch gefährlicher. Schließlich lassen sich die IT-Spezialisten in der Regel dann ja mit dem organisierten Verbrechen oder gar Terrororganisationen ein.
Experten wie Dan Holden von der Zero Day Initiative (ZDI) schätzen, dass Black Hats für begehrte Bugs im Untergrund bis zu 100.000 US$ kassieren. Holden ist vom Fach: Sein Arbeitgeber kauft selbst Informationen über Schwachstellen an. Allerdings vollkommen legal. Die ZDI, die inzwischen zu HP gehört, nutzt das erworbene Wissen, um die hauseigenen IT-Sicherheitsprodukte besser zu machen. Anschließend gibt die Organisation die Informationen gratis an die betroffenen Hersteller weiter, damit sie die Lücken schließen können.
Fazit: Für transparente Geschäftsmodelle
Begehrt sind die Bugs dann, wenn weit verbreitete Produkte wie Adobe Reader, Internet Explorer oder Windows betroffen sind. Nur dann zahlt der Schwarzmarkt Summen zwischen 50.000 und 100.000 US$. „Was gerade bezahlt wird, hängt immer vom Ziel der Angreifer ab. Manchmal sind Lücken gesucht, die sich für Wurmattacken eignen. Ein andermal soll per Spear-Phishing nur eine kleine Zahl von Opfern infiziert werden“, erklärt Holden.
Letzteres lässt sich am ehesten über Lücken in Adobe Reader oder in einer Office-Anwendung bewerkstelligen. Rob Rachwald, Sicherheitsstratege bei Imperva, sagte in einem Interview mit FAZ online, er schätze den Gesamtmarkt rund um Bugs, illegale Hacks und Crackertools auf 250 Mrd. US$.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Angesichts solch gewaltiger Zahlen bleibt für den gemeinen Webnutzer nur zu hoffen, dass die White Hats nicht dem Ruf des kriminellen Geldes erliegen und ihr Können in den Dienst des Untergrundes stellen. Oder aber, dass die IT-Hersteller auf breiter Front damit anfangen, die Hacker auch ordentlich zu entlohnen. Denn deren Treiben hat mit dem reinen Zeitvertreib der Urhacker nicht mehr viel gemeinsam und hilft inzwischen, das Netz insgesamt zu einem sichereren Ort zu machen.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing