«Ich gehöre zu den Guten»
Patrick Brielmayer dringt in Computersysteme ein und sucht Sicherheitslücken. Nun misst er sich in Luzern mit einigen der besten der «guten» Hacker Europas.
Veröffentlicht am 12. Oktober 2015 - 13:39 Uhr
Aufgezeichnet von: Claudia Imfeld
«Oft werde ich gefragt, ob es möglich ist, private Computer zu knacken. Nach einem solchen Gespräch geben mir manche ihre E-Mail-Adresse nicht mehr. Sie haben Angst, denken vermutlich an irgendwelche Hollywoodfilme. Doch da sind in der Regel «Black Hats» am Werk. So nennen wir die Hacker, die illegal in Systeme eindringen, um an Geld zu gelangen oder einfach Schaden anzurichten.
- Praktisch jedes Passwort lässt sich knacken. Handelt es sich dabei zudem um tatsächlich existierende, sinnhafte Wörter, ist das eine Frage von Sekunden: Die 10 wichtigsten Passwort-Tipps
- Mit einem guten Computer ist jedes Passwort zu knacken, sagt Sicherheitsexperte Guido Rudolphi. Meist reicht es aber, sich auf die Unbedarftheit der Leute zu verlassen: zum Interview
- Immer öfter surfen Leute auf öffentlichen Netzwerken von Cafés, Hotels oder der SBB: ohne zu wissen, wie gefährdet die Daten auf ihren Laptops und Smartphones dabei sind
- Wie sicher ist Online-Banking?
- Zahlreiche Smartphone-Apps klauen die Daten ihrer Nutzer: man kann der unerwünschten Schnüffelei aber einen Riegel schieben
Ich gehöre zu den «White Hats», den guten Hackern. Unsere Aufgabe ist es, dafür zu sorgen, dass die bösen Hacker keinen Schaden anrichten. Über uns liest man in den Medien nie etwas, denn unsere Arbeit ist dann erfolgreich, wenn eben nichts passiert. Ich habe mich schon als Teenager für Cyber-Sicherheit interessiert. Es begann, als jemand mein Ebay-Konto knackte. Die Masche der Hacker: Sie suchten sich Leute, die auf der Verkaufsplattform eine gute Bewertung hatten; so gaben sie sich ein vertrauenswürdiges Gesicht. Unter meinem Namen verkauften sie irgendwelche Produkte. Das einbezahlte Geld landete nicht auf meinem Konto, sondern im Ausland. Und die Käufer erhielten die bezahlten Produkte natürlich nie.
Nach diesem Vorfall wollte ich lernen, wie ich mich schützen kann. Ich sah mir im Netz Hackervideos an und las Bücher zum Thema. Während meines Studiums in Software Engineering erhielt ich einen tieferen Einblick in das, was hacktechnisch alles machbar ist. Wenn die Leute das alles wüssten, würden sie ihren Computer wohl nie mehr ans Netz anhängen.
Inzwischen habe ich mein Hobby zum Beruf gemacht. Ich prüfe bei einer Bank Systeme auf ihre Sicherheit. Als IT-Sicherheitsexperte kann man sich auf Websites spezialisieren, auf die Verschlüsselung von Daten oder etwa auf die Sicherheit mobiler Applikationen. Bei Apps geht es darum, dass das System kundenspezifische Daten nur herausrückt, wenn der App-Nutzer berechtigt ist, sie zu sehen.
Ich bin immer wieder schockiert, wie einfach es ist, grosse Firmen lahmzulegen. Etwa der Angriff auf den Online-Bezahldienst Paypal vor einigen Jahren: Da animierte eine Hackergruppe Leute, beim Angriff mitzumachen. Jeder konnte sich ein Programm auf den Computer laden, das dann Tausende Anfragen pro Sekunde an den Paypal-Server versandte. Mit verheerenden Folgen: Die Firma konnte für einige Stunden keine Zahlungen verarbeiten und war über den Browser nicht mehr zu erreichen.
«Wenn die Leute wüssten, was tatsächlich möglich ist, würden sie ihren Computer wohl nie mehr ans Netz hängen.»
Patrick Brielmayer, Experte für IT-Sicherheit
Klar ist aber auch, dass sich Sicherheitslücken schnell einschleichen können: Es reicht, beim Programmieren einer Web-Anwendung einen Apostroph in einer Datenbankabfrage zu vergessen, und Millionen von Kundendaten können potenziell gestohlen werden. Manchmal verkaufen Hacker die Daten oder veröffentlichen sie – wie jüngst beim Seitensprung-Portal Ashley Madison. Daraufhin nahmen sich einige Nutzer das Leben.
Um solche Angriffe zu verhindern, braucht es mehr «White Hats» – eben mehr von den guten. Vereine wie Swiss Cyber Storm betreiben Nachwuchsförderung, um mehr junge Leute für diesen Bereich zu begeistern. Mit einigen sehr guten jungen Hackern werde ich am Europa-Finale des dritten Cyber Security Challenge in Luzern teilnehmen, einem Hacking-Wettbewerb. Wir treten als Zehnerteam gegen Gruppen aus Deutschland, Grossbritannien, Österreich, Rumänien und Spanien an. Einerseits müssen wir im Computersystem Sicherheitslücken finden, anderseits auf unserem Server lückenhafte Applikationen gegen Angriffe verteidigen. Da muss man gut im Hacken sein und gut im Team arbeiten. Als Training treffen wir uns derzeit jeden Abend auf einer virtuellen Plattform und lösen Fälle, die einer der Organisatoren des Wettbewerbs bereitstellt.
Viele Leute wissen zu wenig über IT-Sicherheit. Sie verwenden leicht zu erratende Passwörter und oft dasselbe Passwort für alle Onlinedienste. Sie wählen sich in unverschlüsselte WLAN-Systeme ein oder antworten auf E-Mails, die sie nach ihrem Passwort fragen. Natürlich nutze auch ich Facebook und Whatsapp. Auf diesen Kanälen stört es mich nicht, wenn Externe mithören oder mitlesen können. Aber ich trage in den Profilen nie meine vollständigen Daten ein.
All die neuen drahtlosen Verbindungen bieten neue Angriffspunkte für Hacker. Der Chaos Computer Club, ein Zusammenschluss von Hackern, testete, wie einfach es ist, Geld von einer Kreditkarte, mit der man kontaktlos bezahlen kann, abzubuchen. Dazu hielten sie auf der Strasse ein Gerät an Portemonnaies in den Hosentaschen der Passanten und waren in der Lage, die Karten zu kopieren. Von der identischen Kreditkarte liessen sich ohne PIN-Code bis zu 20 Franken abbuchen.»
3 Kommentare