Hacker: Gut, aber gesetzwidrig?

Ethische Hacker decken im Auftrag von Unternehmen Sicherheitslücken auf. Ein gefragter Dienst, doch die Anbieter solcher Hilfsleistungen bewegen sich in einer legalen Grauzone.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Bernd Müller

Ethische Hacker decken im Auftrag von Unternehmen Sicherheitslücken auf. Ein gefragter Dienst, doch die Anbieter solcher Hilfsleistungen bewegen sich in einer legalen Grauzone.

Hilfe, ich bin gehackt worden." Solche Mails hat Karsten Nohl früher mehrmals am Tag bekommen. Heute nicht mehr, denn seine Mail-Adresse und Telefonnummer gibt der 34-Jährige nur noch Vertrauten und Kunden, seine Firma Security Research Labs firmiert lediglich unter einer Berliner Postadresse. SRL unterstützt Unternehmen dabei, Sicherheitslücken in ihrer Software aufzuspüren. Nohl und sein kleines Team knacken im Kundenauftrag Passwörter, verschicken Phishing-Mails an ahnungslose Mitarbeiter oder untersuchen neue Sicherheitslücken, wie zuletzt "BadUSB", die Entdeckung, dass sich jedes USB-Gerät – vom Speicherstick bis zur Webcam – zu einer USB-Tastatur umprogrammieren lässt, die Schadsoftware in einen Rechner schleust.

Als Elektrotechnikstudent hat Karsten Nohl festgestellt, dass er gern Verschlüsselungsverfahren "kaputtmacht". Statt auf die schiefe Bahn zu geraten, wurde er einer von den Guten: ein "ethischer Hacker", im Gegensatz zu den bösen Hackern, die im Verborgenen arbeiten und Sicherheitslücken an Kriminelle verkaufen, nicht selten zu sechsstelligen Preisen. Die Szene boomt: Zahlreiche Firmen helfen Unternehmen, Sicherheitslücken zu finden, größere Unternehmen beschäftigen sogar eigene Hacker – zu Spitzengehältern.

Aber selbst sie sind nicht unbedingt sicher vor Strafverfolgung. Sie bewegen sich in einem rechtlichen Graubereich. Laut Paragraf 202c des Strafgesetzbuchs, auch Hackerparagraf genannt, macht sich jeder durch das "Vorbereiten des Ausspähens und Abfangens von Daten" strafbar – selbst wenn er im Auftrag des Besitzers der Daten handelt. Den Hackerparagrafen hatte der Deutsche Bundestag im Mai 2007 mit großer Mehrheit verabschiedet. Dass dieses Gesetz bisher noch nie zur Anwendung kam, liegt schlicht daran, dass kein Auftraggeber ein Interesse daran hat, seinen Dienstleister an den Pranger zu stellen.

Das aber muss keineswegs immer so bleiben. Karsten Nohl plädiert deshalb für eine Anpassung oder gar Abschaffung des Paragrafen: "Andernfalls können wir mit den kriminellen Hackern nicht Schritt halten, und die Sicherheitsforschung würde ins Ausland abwandern."

Eric Bodden sieht das ähnlich. Der Professor am Fraunhofer-Institut für Sichere Informationstechnik in Darmstadt untersucht unter anderem Kryptoalgorithmen, etwa zum Schutz von Festplatteninhalten, oder die Sicherheit eingebetteter Software, also von Programmen, die Smartphones, TV-Geräte oder Autos steuern. "Wir finden oft Lücken", sagt Bodden. Hundertprozentig legal ist auch seine Tätigkeit nicht.

Behindert sieht sich der Wissenschaftler insbesondere beim generellen Verbot des Reverse Engineering, das man im weiteren Sinne als Rückübersetzen von Software beschreiben könnte. Informatiker rekonstruieren aus der laufenden Software die zugrunde liegenden Programmierbefehle. Auf diese Weise können Sicherheitsforscher Einfallstore für Hacker leichter finden. Doch das Reverse Engineering ist verboten, weil Produktpiraten komplexe Software und die Funktionen von elektronischen Markenprodukten leichter nachbauen können, wenn sie die Entwicklungsgeschichte zurückverfolgen.

Diese Begründung findet Bodden völlig unangemessen: Software unterliegt nämlich dem Urheberrecht, ist also etwa einem Roman gleichgestellt und darf ohnehin nicht verändert werden, auch ohne zusätzlichen gesetzlichen Schutz. Als Folge kann der Fraunhofer-Forscher Reverse Engineering bei kommerzieller Software nur mit ausdrücklicher Genehmigung des Herstellers betreiben. Entsprechend viele Programme mit Sicherheitslücken dürften den Sicherheitsexperten entgehen.

Ein wesentliches Einfallstor würden jedoch auch diese Methoden nicht schließen. Einfachstes Angriffsziel sind nämlich leichtsinnige Mitarbeiter, die ahnungslos eine Mail aufklicken, die scheinbar eine Besprechungsnotiz vom letzten Meeting, tatsächlich aber Spähsoftware enthält. Mit ein paar Stunden Recherche lasse sich eine täuschend echte Mail mit hoher Erfolgsquote fabrizieren, so Karsten Nohls Erfahrung. "Wenn ich fünf Mails verschicke, klickt mindestens einer drauf und installiert, ohne es zu wissen, einen Virus." Damit sie den Fehler nicht wiederholen, führt Nohl den überführten Mitarbeitern anschließend ein Video vor, das sie auf die Tragweite ihres Fehlklicks hinweist und Vorschläge für einen verantwortungsvolleren Umgang mit dem IT-System macht. Gegenüber der Geschäftsleitung des Unternehmens bleiben die Betroffenen aber anonym.

Von ähnlichen Erfolgsquoten bei vorsätzlichen Täuschungsmanövern berichtet Christian Bruns, Manager für Cyber-Sicherheit beim Oldenburger IT-Berater BTC. Auf ein gut gemachtes digitales Fax klickten in Phishing-Kampagnen mehr als die Hälfte der überrumpelten Personen. Das BTC-Hacker-Team testet Webseiten von Energieunternehmen auf Schwachstellen, zunehmend prüfen sie kritische Infrastrukturen, etwa Kommunikationsmodems von Photovoltaikanlagen oder anderen dezentralen Energieanlagen. "Alle unsere Hacker unterschreiben eine Verpflichtung, ihr Wissen nur in Abstimmung und im Sinne unserer Kunden anzuwenden", betont Christian Bruns.

In dieser Funktion dürfen sie auch keine Software-Schwachstellen von anderen Hackern kaufen, die damit Geld verdienen wollen, weder in Form von Viren oder Trojanern, noch in Form von Wissen über neu entdeckte, aber noch geheime Sicherheitslücken. Und erst recht verkaufen sie ihr eigenes Wissen um einen Sicherheitsmangel nicht an Kriminelle. Sie stellen es vielmehr frei zur Verfügung oder bieten ihre Kenntnis dem Unternehmen an, das von dem Fehler betroffen ist. Findet ein ethischer Hacker beispielsweise eine Schwachstelle in Windows, wird er seine Entdeckung kostenlos weitergeben oder an Microsoft verkaufen, das dann die Lücke stopfen kann.

Dass es für solche Deals einen lukrativen Markt gibt, ist bekannt. Der Markt für dunkle Geschäfte rund um die Softwarefehler sei jedoch noch wesentlich lukrativer, sagt Karsten Nohl. "Deshalb versuchen wir, Sicherheitslücken als Erste zu finden und den Kriminellen die Geschäftsbasis zu entziehen." (bsc)