Hack The Hague: Warum sich eine Stadtverwaltung hacken lässt

Der niederländische Regierungssitz Den Haag beherbergt nicht nur das Parlament, sondern zahlreiche internationale Institutionen. Die Stadt mit ihren knapp 560.000 Einwohnern, die sich selbst als "International City of Peace and Justice" bezeichnet, ist unter anderem Sitz des Internationalen Strafgerichtshofs ICC, von Europol oder der Organisation für das Verbot chemischer Waffen OPCW. Diese Einrichtungen wie die Stadtverwaltung selbst sehen sich zunehmenden Cyberangriffen ausgesetzt. So gab es erst vor wenigen Wochen eine Attacke auf den ICC und die OPCW wurde 2018 von einem Parkplatz aus zu hacken versucht. Jeroen Schipper, Chief Information Security Officer (CISO) der Stadt Den Haag, hatte deshalb 2017 eine Idee: Was, wenn wir einfach Hacker einladen, um präventiv zumindest die Systeme der Stadtverwaltung nach Sicherheitslücken abzusuchen? Dabei heraus kam "Hack The Hague" (HTH), ein internationaler Hackerwettbewerb.

Klare Regeln und etwas Lokalpatriotismus

Dabei gibt es klare "Rules of Engagement" für die teilnehmenden Sicherheitsexperten. So werden in jedem Jahr neue "Scopes" mitgeteilt, auf die sich die Hacker konzentrieren sollen. Das sind zumeist alle nach außen zeigenden IPs der Stadt. Bestimmte Angriffsformen sind dabei tabu: So darf man weder direktes Brute-Forcing oder Flooding verwenden, noch DoS-Attacken starten. Aufgefundene Datenbanken dürfen nicht gelöscht oder verändert werden. Auch sollten Systeme möglichst nicht gestört werden. "Wenn Sie vermuten, dass Sie eine Störung verursacht haben, beenden Sie sofort Ihre Arbeit und informieren Sie die Jury oder einen Mitarbeiter der Organisation", heißt es in den Bedingungen. Ebenfalls nicht erlaubt ist Social Engineering, da es stets um die Systemsicherheit geht.

Trotzdem haben die Teilnehmer, von denen die meisten in der großen Eingangshalle des Rathauses in langen Tischreihen sitzen, ihren Spaß. Bei der letzten Veranstaltung am 2. Oktober kamen gut 120 Hacker zusammen. Ein große, lukratives Bug-Bounty-Programm ist HTH allerdings nicht: Das Preisgeld ist mit 14.000 Euro über vier Kategorien vergleichsweise schmal, kommt aber auch aus dem Stadtsäckel. Schipper berichtet, dass mancher Teilnehmer auch aus Gründen des Lokalpatriotismus dabei ist. Die Menschen wollten, dass ihre Stadt sicher bleibt. Zudem werden Praktika und Joberfahrungen für die Sieger vermittelt. "Das ist für junge Leute schon toll im Lebenslauf."

100 Lücken pro Event – und ein Schlüssel-Hack

2023 kamen bis kurz vor Ende der Veranstaltung mehr als 50 Lücken zusammen, einige davon kritisch. Im Schnitt sieht man mehr als 100 pro HTH. Die Angriffsformen sind dabei sehr kreativ – und manchmal wird auch etwas über die Stränge geschlagen, sagt Schipper. Bei der HTH vor zwei Jahren habe jemand einfach einem Wachmann die Schlüssel gestohlen und Fotografien davon geteilt. "Das war nicht erlaubt", lacht Schipper, "aber ziemlich lustig". Es habe ihn an Leute erinnert, die die Schlüssel ihres neuen Hauses auf Instagram teilen, obwohl sie so leicht nachgemacht werden können. In einem anderen Jahr konnten die HTH-Teilnehmer eine schwere Lücke in einem Druckersystem nachweisen, das vermehrt in der Gemeinde zum Einsatz kommt. Das Problem wurde schließlich an das nationale Sicherheitszentrum weitergeleitet.

Für Schipper ist es nicht immer leicht, die Stadtverwaltung vom Sinn von HTH zu überzeugen – sei es nun aus Gründen der Sicherheit oder wegen monetärer Bedenken. Im Gespräch sagte er, man wende für die Veranstaltung jedes Mal 17.500 Euro auf. Mancher Kollege sage, mit dem vielen Geld könne man doch einfach Familien helfen – obwohl ein großer Hack sicher deutlich teurer wäre. Offenbar ist das Sicherheitsbewusstsein auch in der "International City of Peace and Justice" noch ausbaufähig. Das Interesse an HTH ist jedenfalls groß. Als das Event in der Corona-Zeit rein virtuell ablief, kamen 206 Hacker aus 23 Ländern zusammen, darunter auch Indien, Pakistan, Nigeria und sogar Iran. Mittlerweile setzt man auf ein hybrides Format.

Der Autor reiste auf Einladung von The Hague & Partners.

(bsc)