Kevin Mitnick 2008 im Interview: "Wir müssen die 'menschliche Firewall' stärken"
Hacker-Legende Kevin Mitnick ist am 16. Juli gestorben. 2008 sprach der bekannte Hacker im TR-Interview über neue Herausforderungen an die IT-Sicherheit.
Kevin Mitnick im Jahr 2010
(Bild: Campus Party México (CC BY 2.0))
- Tom Sperlich
Kaum zu glauben – Kevin Mitnick, der einstige "Most Wanted" im Cyberspace, sieht selbst aus wie der Bankmanager, dessen IT-Sicherheit er heute gerne, fürstlich honoriert, auf Schwachstellen testet. Dunkelblauer Anzug, Krawatte, gewienerte Schuhe, so präsentierte sich der einst gefürchtete Star-Hacker aus den 80er- und 90er-Jahren seinen Kollegen auf einem Branchentreff des IT-Security-Anbieters phion in den Tiroler Alpen. MIT Technology Review sprach mit Mitnick über seine Vergangenheit – und seine Zukunft.
Der Sicherheitspezialist Kevin Mitnick verstarb am 16. Juli in Las Vegas an den Folgen eines Bauchspeicheldrüsenkrebses. An dieser Stelle veröffentlichen wir ein Interview mit ihm erneut. Es führte der Autor Tom Sperlich im Jahr 2008.
Herr Mitnick, wie ging es eigentlich mit Ihrem Leben weiter, nachdem Sie nach rund fünf Jahren Strafe Anfang 2000 aus dem Gefängnis entlassen wurden?
Ziemlich bald, nachdem ich aus dem Gefängnis kam, habe ich auf Wunsch der US-Regierung dabei geholfen, ihre Computersysteme zu schützen. Verschiedene Senatoren wie Lieberman und Thompson baten mich, vor einem Kongress-Komitee in Washington auszusagen. Nun, inzwischen war ich eben fünf Jahre älter und weiser, und entschied mich, meine Talente für gute Zwecke einzusetzen. Ich wandelte mich vom unethischen zum ethischen Hacker – eine interessante Sache, denn welche andere kriminelle Handlung, was ja das Eindringen in ein System letztlich ist – kann man schon ethisch machen?
Ich schrieb außerdem zwei Bücher und gründete meine eigene Consultingfirma für IT-Security. Im Prinzip mache ich das Gleiche, was ich schon seit Jahren mache, aber nun halt mit der Authorisierung dazu. Das ist auch eine Art Karriere.
Wobei, um es noch einmal zu betonen, früher wurde ein Hacker auch nicht zwangsläufig als bösartiger Krimineller betrachtet. Sondern mehr als jemand, der ständig dazulernen wollte, wie Computer- und Telekommunikationssysteme funktionieren und wie sich ihre Sicherheitsvorkehrungen umgehen ließen. Ich zum Beispiel tat das an und für sich nur für meine eigene intellektuelle Befriedigung und aus Neugierde.
Heute kommt diese Prämisse scheinbar nicht mehr so häufig vor. Das hat sich deutlich verändert?
Ja, schon. Ich war gewissermaßen noch jemand aus der "alten Schule" der Hacker. Damals ging's eigentlich mehr darum, Spaß zu haben, mit seinen Freunden zusammen weiterzukommen, die Technik auszuloten, an ihre Grenzen zu bringen. Heute geht es bei den bösen Hackern vor allem ums Geld machen, um Profit. Kürzlich beriet ich einen Freund, der eine kleine E-Commerce-Firma betreibt. Dessen Domainname wurde beim Domain-Registrator "entführt" und man fragte mich, ob ich da etwas machen könnte.
Angesichts des Aufwandes und meines Honorars, stellte sich aber heraus, dass es das einfachste und schnellste war, dem Hacker, einem Menschen aus dem Iran namens Omid, wie ich dann recherchierte, eine Art Lösegeld zu zahlen. Es war ein gewagtes Unternehmen, aber es funktionierte am Ende, ihm 3.000 Dollar zu zahlen, damit er die Domain wieder freigab. Hoffentlich belässt er es jetzt dabei. Beim Nachsehen fand ich heraus, dass dieser Omid das anscheinend ständig macht, global an irgendwelche Netzwerke angeschlossen ist und damit einfach ständig fortfährt – vermutlich auch deshalb, weil der Iran dafür ein rechtsfreier Raum ist.
Bei Ihren Beratungstätigkeiten für Unternehmen sind Sie ja vor allem auf den Bereich "Social Engineering" spezialisiert. Was ist so besonders oder so gefährlich daran?
Social Engineering gibt es schon lange, bereits bevor es Computer gab. Es ist ja tatsächlich eine Art Schauspielkunst. Zum Beispiel gibt es die Betrugsversuche dieser nigerianischen Banden, das funktionierte bereits ohne Internet und Rechner. Es geht darum, die Leute zu manipulieren, um Passwörter oder andere wichtige Informationen zu erlangen. Doch obwohl man auch die Tricks der nigerianischen Banden schon lange kennt, fallen die Leute trotzdem immer noch drauf rein. Deswegen sehe ich es auch als meine Mission, die Menschen über Social Engineering und wie es funktioniert aufzuklären, damit sie hoffentlich das nächste Mal daran denken und sich nicht hereinlegen lassen.
Denn der Mensch ist das schwächste Glied in der Kette. Wir müssen die "menschliche Firewall" stärken, deswegen bin ich auch ständig unterwegs für die notwendige Aufklärungs- und Bildungsarbeit. Erstaunlicherweise kümmert sich ein Großteil der Unternehmen um den Punkt Social Engineering überhaupt nicht. Selbst große staatliche Organisationen nicht. Vor einiger Zeit machte das US-Steueramt (IRS) ein Sicherheits-Audit. Es wurden 100 IRS-Manager angerufen und man gab vor, IT-Mitarbeiter beim IRS zu sein. Und 35 der Manager rückten freimütig ihr Passwort und ihren User-Namen am Telefon heraus.
Man sieht, das ist eine bedeutende Bedrohung. Eine Firma kann viel Geld ausgeben und alles Mögliche an IT-Security-Hard- und Software kaufen, aber wenn ein Angreifer nur eine Person in dieser Firma findet, die "mitspielt", die er täuschen kann, um schließlich ins System zu gelangen, dann nützt das ganze viele gute Geld für Technologien überhaupt nichts. Man muss Mitarbeiter nur dazu kriegen, auf eine präparierte Website zu klicken, dann kann es schon bedeuten, dass sich Schadcode auf ihren Rechnern einnistet. Das heißt somit, der Hacker befindet sich schon im Netzwerk. Das muss man akzeptieren und die Lücken in der Kette entsprechend schließen.
