»Anonymität ist das größte Problem im Internet«
Ethical Hacker Manu Carus im Interview
»Hacking ist die Neugier zu lernen, wie Software funktioniert«
PC Professionell: Kann Hacken überhaupt ethisch sein?
Carus: Hacken kann durchaus ethisch sein. Im Kern geht es darum, sich nicht blind auf Sicherheitsprodukte und Sicherheitshersteller zu verlassen und damit die Verantwortung an Dritte abzugeben. Vielmehr geht es darum, zu beleuchten, was Hacker in ihrem Alltag eigentlich tun. Die umgehen ja genau die Firewalls und Antivirenprogramme der Hersteller und nutzen Sicherheitslücken aus – ohne Wissen der betroffenen Anwender und Unternehmen. Wenn ich mich also auf die Seite der Hacker stelle und mir deren Know-how aneigne, erhalte ich ein sehr gutes Wissen, um mich gegen sie zu wehren. Es ist nichts anderes als das, was die Polizei schon seit Jahren tut: Sie schaut sich die Methoden und Werkzeuge der Einbrecher an und gibt dann entsprechende Tipps an Hausbesitzer, wie sie sich schützen können. Ich setze also die gleichen Werkzeuge und das gleiche Wissen wie Hacker ein und schaue, was ich damit erreichen kann. Und dann stelle ich mir die Frage: Wie kann ich mich wirksam davor schützen.
PC Professionell: Wie beurteilen Sie als ethischer Hacker das Vorgehen eines polnischen Hackers, eine Sicherheitslücke in der mobilen Java-Version von Nokia-Handys den betroffenen Unternehmen nur gegen Zahlung von 20 000 Euro zu verraten?
Carus: Das ist klassische Erpressung. Das ist kriminell und zu verurteilen. Ich finde es außerdem sehr kurz gedacht. Ich erwarte von einem Hacker, dass er den betroffenen Unternehmen im Vertrauen seine Informationen preisgibt. Wenn das Unternehmen seriös arbeitet, wird es auf den Hacker zugehen und ihm in den meisten Fällen sogar einen Job anbieten. Das Wissen von den Jungs ist so rar, dass viele Firmen daran interessiert sind, das Know-how in ihre eigenen Produkte einzubauen.
PC Professionell: Wie sind Sie Ethical Hacker geworden?
Carus: Ich bin schon seit meiner Jugend Hacker und habe mich schon immer für die Funktionsweise von Software interessiert. Irgendwann habe ich beschlossen, das Thema zu meinem Beruf zu machen, weil es am Markt nicht gut besetzt ist. So habe ich mein Hobby zum Beruf gemacht und nutze mein Wissen nun dazu, Unternehmen zu beraten, ihre Infrastruktur sicherer zu machen.
PC Professionell: Nun ist der Begriff „Hacker“ in der Allgemeinheit eher negativ besetzt.
Carus: Sehr negativ sogar. Das ist leider in der Vergangenheit stark verfälscht worden. Es gibt viele Unternehmen, die Vorurteile haben, etwa Hacker seien langhaarige Bombenleger. Es wird Zeit, den Begriff wieder gerade zu rücken. Hacking ist erstmal nichts anderes, als die Neugierde zu lernen, wie eine Software von Innen funktioniert – ohne böse Absicht. Aber ich befürchte, dass der Begriff schon so negativ ins Bewusstsein eingedrungen ist, dass sich das nur schwer ändern lässt.
PC Professionell: Wie läuft die Zusammenarbeit mit Ihnen und Ihren Auftraggebern ab?
Carus: Die meisten Kunden kommen erst zu mir, wenn schon etwas passiert erst, wenn sie also festgestellt haben, dass Daten geklaut oder sie Opfer eines Angriffs wurden. Dann beginnt mein Job mit Forensik. Ich muss recherchieren, was passiert ist und wer die Angreifer waren. Während dieser Arbeit bekomme ich aber schon mit, wie die Infrastruktur des Unternehmens aussieht, welche Komponenten es gibt und wie die abgesichert oder eben nicht abgesichert sind. Sobald ich dem Kunden sagen kann, wie er sich vor diesem Angriff schützt, ergibt sich daraus meist eine weitere Kooperation.
PC Professionell: Dann beginnt Ihre eigentliche Arbeit?
Carus: Richtig. Ich gebe Empfehlungen, wie man sich rundherum möglichst gut absichert. Das ist dann also eher eine gutachterliche Arbeit.
PC Professionell: Waren Sie schon als Gutachter vor Gericht geladen?
Carus: Bisher noch nicht, obwohl das auch zu meinem Beruf gehört. Das Problem ist aber, dass nur wenige Firmen mit ihrem Fall vor Gericht gehen. Das würde der Öffentlichkeit zeigen, dass sie geschludert haben. Nur sehr selten wird der Eindringling – sofern er überhaupt identifiziert werden kann – angeklagt.
»Authentifizierung muss zum Hauptbestandteil des Internets werden«
PC Professionell: Sie sagen, dass die Situation aus Sicht der IT-Security derzeit unbefriedigend ist.
Carus: Letztendlich ist der Kampf der Anbieter von Sicherheitssoftware gegen Angreifer ein Hochrüsten. Man lernt aus dem anderen Lager und empfiehlt Gegenmaßnahmen. Das alles basiert aber im Kern auf veralteter Technologie, Protokollen von vor 30 Jahren. Es gibt keine grundlegenden Verbesserungen am Grundgerüst des Internets und des Netzwerkverkehrs. Und man weiß sich nicht besser zu helfen, als ständig aufzurüsten.
PC Professionell: Auf einer generell unsicheren Basis?
Carus: Ganz genau. Beide Lager verbessern ihre Methoden und heben das ganze auf ein höheres Niveau. Die Probleme bleiben aber die gleichen. Als Entwickler muss ich davon ausgehen, dass in meiner neuen Software schnell eine Sicherheitslücke gefunden und diese publiziert wird. Dann bring ich einen Patch heraus und alles beginnt von vorne.
PC Professionell: Wie kommt man aus diesem Teufelskreis heraus?
Carus: Man muss etwas am Grundgerüst des Internets ändern. Die derzeit tragenden Protokolle sind überhaupt nicht geeignet für Geschäftsmodelle im Internet.
PC Professionell: Wie würden Sie das Internet neu entwerfen, wenn Sie die Chance dazu hätten?
Carus: Das grundlegende Problem des Internets ist die Anonymität. Jeder Anwender kann Spam-Mails versenden, Phishing betreiben, Trojaner verbreiten oder die Kontrolle über fremde Rechner erlangen – und dabei unerkannt bleiben. Das ist der springende Punkt. Jeder kann sich ins Internet einwählen, ohne seine Kennung bekannt geben zu müssen. Wenn ich mich nicht zu dumm anstelle, kommt mir niemand auf die Schliche. Ich muss also die Authentifizierung des Users zum Hauptbestandteil des Internets machen. Wenn ich neue Protokolle erfinde, die erfordern, dass man sich eindeutig identifizieren muss, bevor man ins Netz kommt, dann traut sich auch keiner mehr Spam zu versenden. Und wenn er es doch tut, kann man ihn einfacher vor Gericht stellen. Wir benötigen eine Art fälschungssicheren Internet-Personalausweis, den jeder Internet-Nutzer vorzeigen muss, bevor er überhaupt einen Zutritt ins Netz erhält.
PC Professionell: Sie sprechen von unsicheren Protokollen. Was ist mit SSL?
Carus: SSL ist bloß ein kleiner, vager Schritt in die richtige Richtung. SSL bietet mir nur eine Verschlüsselung der Übertragung. Ob nun aber ein Trojaner verschlüsselt oder unverschlüsselt übertragen wird, das Problem bleibt. Damit ist nichts gewonnen. Ich muss Protokolle wie HTTP, SMTP, POP3 so ausrüsten, dass der Absender eines Netzwerkpaketes eindeutig zurückverfolgt werden kann – und zwar fälschungssicher. Das Internet wird also nur dann sicher, wenn die alten Protokolle abgeschaltet werden.
PC Professionell: Ist dieser Schritt realistisch?
Carus: Wenn man sieht, dass man 100 E-Mails bekommt, von denen 90 Spam-Nachrichten sind, muss man auch sehen, dass das, was wir heute haben, unbrauchbar ist. Wir brauchen eine grundlegende Verbesserung. Sicher wäre dieser Schritt radikal. Aber ich glaube, dass die Produkthersteller sich irgendwann zusammenschließen, um neue Standards zu schaffen. Allerdings wird das nicht so schnell passieren, weil die Schmerzgrenze noch nicht erreicht ist. Die ganze Seuche, die im Internet unterwegs ist, ärgert zwar jeden. A
ber es wird ertragen.
PC Professionell: Was ist die größte Lücke, die Sie in Firmennetzen immer wieder finden?
Carus: Die größte Lücke ist nicht technischer Natur. Sie ist vielmehr darin verankert, dass sich die meisten Firmen nicht darüber im Klaren sind, welche Informationen über ihr Netzwerk und über ihre Systeme von Dritten abgerufen werden können. Viele Firmen wissen auch nicht, welche Möglichkeiten Hacker schon mit wenigen Informationen und frei zugänglichen Tools haben, eine Sicherheitslücke auszunutzen.
PC Professionell: Das bedeutet, die größte Lücke ist das Unwissen?
Carus: Unwissenheit über mich selber und das, was über mich veröffentlicht wird. Ein Beispiel aus dem Privatbereich: Wie viele User gibt es, die etwa bei StayFriends private Daten zur Verfügung stellen und sich nicht darüber im Klaren sind, wie diese Daten und die Vernetzung untereinander von Dritten ausgenutzt werden kann? Wenn ich Spam verschicken würde, würde ich versuchen, hier einzusteigen und der Vernetzung in dem sozialen Netzwerk zu folgen. So könnte ich das Vertrauen, das die User untereinander haben, ausnutzen und mit einem fremden Account Spam-Mails an dessen Kontakte senden. Höchstwahrscheinlich würden die Empfänger die lesen, weil sie glauben, sie kämen von einem Freund. Über dieses Problem sind sich die wenigsten User im Klaren.
»Wer bei sich selbst einbricht, weiß welche Möglichkeiten Hacker haben«
PC Professionell: 90 Prozent seiner Arbeit verbringt der Hacker mit dem Sammeln von Informationen. Kann ein Administrator dagegen überhaupt etwas unternehmen?
Carus: Definitiv. Die meisten Administratoren haben ein falsches Bewusstsein darüber, wie Hacker arbeiten. Es ist nämlich äußerst selten, dass eine Firma gezielt angegriffen wird. Vielmehr suchen Hacker wochen- und monatelang nach einem Bug in einer Software. Haben sie einen gefunden, stellt sich für sie die Frage: Wen kann ich damit überrumpeln? Jetzt fangen die Hacker an, das Internet abzuscannen und finden per Zufall jemanden, bei dem man über diese Sicherheitslücke eindringen kann. Das heißt für Administratoren, dass sie den Aufwand für einen Einbruch einfach nur so weit erhöhen müssen, dass der Hacker sich ein anderes Opfer sucht. Aber das machen die meisten nicht. Admins schützen sich eher gegen konkrete Angriffe wie eine DDoS-Attacke mit Sicherheits-Programmen, weil sie glauben, Hacker gingen gezielt auf sie zu und eine Software reiche als Verteidigung.
PC Professionell: Firmen versuchen also, sich nur gegen die 10 Prozent dessen, was ein Hacker tut, abzusichern. Aber was können Admins konkret tun?
Carus: Sich selbst hacken statt Verantwortung bloß an die Hersteller von Security-Produkten abzugeben. Sicherheits-Software ist zwar die Grundlage, aber Hacker kennen die Schwachstellen dieser Programme. Wenn ich aber bei mir selber einbreche, sehe ich auch, welche Möglichkeiten Hacker haben, das zu tun. Wenn ich mich auf deren Seite stelle, bekomme ich ein ganz anderes Bild von mir selbst und weiß, wo die Schwachpunkte sind.
PC Professionell: Geraten Sie nie in Versuchung, Ihr Wissen anders einzusetzen?
Carus: Klar hat man eine gewisse Macht, wenn man über das entsprechende Wissen verfügt. Aber als ethischer Hacker habe ich einen Ruf zu verlieren und mit dem Vertrauen, das in mich gesetzt wird, gehe ich sorgsam um. Ich habe nichts davon, wenn irgendwann herauskommt, dass ich Informationen über meine Kunden missbraucht habe.
PC Professionell: Was tun Sie, um Vertrauen zu gewinnen?
Carus: Ich arbeite eng mit den Administratoren vor Ort zusammen. Ich spreche alles, was ich tue, vorher ab. Wenn es dann konkret um das Eindringen in ein Netzwerk geht, sprechen wir im Detail ab, was da geschieht und was dadurch angerichtet werden kann. Und wenn es passieren kann, dass das Produktionssystem zu stark belastet wird, machen wir uns tatsächlich die Mühe, ein Parallelsystem aufzusetzen. Letztendlich gehen die Firmen auf jemanden wie mich zu, den sie vielleicht nicht ganz einschätzen können. Da hilft es nur, mit offenen Karten zu spielen. Außerdem verpflichte ich mich schriftlich, keinerlei Informationen nach außen zu geben. Aber ganz zum Schluss basiert immer alles auf Vertrauen.
»Die einzigen, die sich weiterentwickeln, sind Hacker«
PC Professionell: Braucht man härtere Gesetze gegen unethische Hacker?
Carus: Gesetze bringen wenig. Wie ich schon sagte, ist Anonymität das größte Problem im Internet. Und wenn ich als Hacker weiß, dass man mich nicht kriegt, ist mir das Gesetz egal. Da kann der Gesetzgeber Hacking unter Todesstrafe stellen, das bringt gar nichts.
PC Professionell: Wie beurteilen Sie den Hacker-Paragraphen, der die Herstellung und Nutzung von Hacking-Tools unter Strafe stellt?
Carus: Die Idee des Gesetzgebers ist es, die Internet-Community zu schützen. Aber man führt mit dem Hacker-Paragraphen auch die Sicherheitsverantwortlichen in kriminelles Fahrwasser. Die Tools, die Hacker anwenden, nutzen auch Systemadministratoren. Klassisches Beispiel ist das Programm Nmap, das mit Unix standardmäßig verteilt wird. Als Admin muss ich das Tool regelmäßig anwenden, um mein Netzwerk zu überprüfen. Der Hacker-Paragraph trifft die falschen Leute und beeinflusst die Arbeit derjenigen negativ, die das Internet sicher machen sollen.
PC Professionell: Behindert der Paragraph Sie bei der Arbeit?
Carus: Ich sage es ganz ehrlich: Ich lasse mich davon nicht beeindrucken. Ich bin mir bewusst, dass ich bestimmte Tools nicht herunterladen und benutzen darf. Aber ich weiß auch, sie sind Bestandteil meiner Arbeit. Ich habe ein ethisches Agreement mit meinen Kunden, dass ich diese Werkzeuge und meine Arbeit auf ihr Netzwerk loslassen darf. Damit fühle ich mich abgesichert genug, weiter so vorzugehen.
PC Professionell: Blick in die Zukunft: Kämpfen wir in fünf Jahren immer noch gegen Phishing und Trojaner?
Carus: Es dreht sich wieder um die Anonymität. Solange wir die Versender von Spam, Phishing und Trojanern nicht eindeutig identifizieren können, bewegen wir uns keine bisschen von der Stelle. Die einzigen, die vorankommen und sich weiterentwickeln, sind die Hacker.
PC Professionell: Das liegt aber sicher daran, dass Hacker nichts zu verlieren haben, im Gegensatz zu einem Administrator, der ein komplexes Firmennetz warten muss.
Carus: Das ist korrekt und die Möglichkeit, alle Schlupflöcher zu schließen, hat ein Admin auch gar nicht. Sie können aber ihre Chance, sich zu schützen, verbessern, wenn sie sich mehr Wissen aneignen und das Niveau anheben. Es geht ganz einfach darum, den Hackern das Leben so schwer wie möglich zu machen. Dann verlieren die auch schnell die Lust daran und suchen sich ein anderes Opfer, ein leichter zu knackendes Opfer.
PC Professionell: Was sind die wichtigsten Tipps, die Sie einem Administrator geben können?
Carus: Das wichtigste ist, sich einen Überblick zu verschaffen, welches Wissen über die eigene Firma draußen verfügbar ist. Zum Beispiel hinterlassen viele Mitarbeiter im Internet ihre E-Mail-Adressen, beispielsweise der Programmierer in einem Entwickler-Forum. Über eine Google-Suche komme ich schnell an solche Adressen. Gelange ich dann noch an ein Telefonverzeichnis aller Mitarbeiter des Unternehmens, so kann ich über die Namenskonvention dieser einen E-Mail-Adresse die Adressen aller Mitarbeiter ableiten. Oder ein anderes Beispiel: Aus den Einträgen im Forum erkenne ich, mit welcher Programmiersprache dort gearbeitet wird, welche Entw
icklungsumgebung es gibt oder wie die Qualität des Codes ist. Der zweite Tipp ist dann als Schlussfolgerung daraus, das eigene Netzwerk mit diesem Wissen zu hacken. Man macht also das, was andere tun – nur früher.
PC Professionell: Ihr Buch »Ethical Hacking« beschreibt relativ detailliert, wie Hacker bei einem Einbruch vorgehen. Haben Sie keine Angst, dass das Buch in die falschen Hände gerät?
Carus: Da mache ich mir keine Sorgen. Das, was in dem Buch steht, wissen Hacker sowieso schon. Es ist naiv zu glauben, dass die daraus noch etwas lernen. Das Buch richtet sich mehr an Administratoren, Entwickler und Projektleiter. Aber diese naive Vorstellung von Hackern haben viele Leute.
Manu Carus’ Buch »Ethical Hacking« ist im Verlag entwickler.press erschienen und kostet 39,90 Euro (368 Seiten, ISBN: 978-3-939084-22-8).
Das Gespräch führte PCpro-Autor Alexander C. Sturm.