„Hacker stehen auf der guten Seite“. Thorsten Holz im Audio-Interview
Oft verschaffen sich Hacker Zugang zu vertraulichen Daten oder legen ganze Websites lahm. Deshalb ist der Begriff des Hackers nicht allzu positiv besetzt. Zu Recht? Ein Gespräch mit Thorsten Holz, Professor für IT-Sicherheit an der Ruhr-Universität Bochum.(5'32'', auf Deutsch)
Herr Holz, aus Ihrer Sicht: Worum geht es eigentlich beim Hacken?
Ich würde Hacking eher als den kreativen Umgang mit Technik beschreiben. Das sind meistens sehr technikaffine Leute, die sich einfach ein System nehmen – das kann ein Computer sein, ein Stück Hardware, also einfach Geräte – und damit irgendetwas Neues erzeugen, irgendetwas Neues erschaffen. Historisch gesehen ist der Hacker doch eher ein positiv belegter Begriff.
Die Unzulänglichkeit der Technik
Es gibt ja auch Vereinigungen wie den Chaos Computer Club, die größte Hacker-Vereinigung Europas. Wie würden Sie die Ziele oder den Sinn solcher Vereine beschreiben?
Das Ziel solcher Vereine ist vor allem, Leute zusammenzubringen, die sich dann mit Technik auseinandersetzen können – und dort auch zeigen können, wie fehleranfällig Technik ist.
Ein gutes Beispiel hierfür war vor einigen Jahren der Wahlmaschinen-Hack, bei dem Vertreter des Chaos Computer Clubs zusammen mit anderen Leuten zeigen konnten, dass die Wahlmaschinen, die in verschiedenen Ländern Europas eingesetzt wurden, unsicher sind. Das heißt, ein Angreifer konnte diese Wahlmaschinen so verändern, dass beliebige Resultate bei der Wahl herauskamen: dass also bei Stimmabgabe für einen Kandidaten für einen anderen Kandidaten gestimmt wurde. Solche Demonstrationen zeigen die Unzulänglichkeiten der Technik.
Finanzielle Motive sind illegal
Wo ist denn dann überhaupt die Trennlinie zwischen legalem Hacken – wenn wir jetzt mal beim Eindringen in Systeme bleiben – und illegalem Hacken?
Die Trennlinie ist meistens relativ weich, es gibt auf jeden Fall auch einen relativ großen Graubereich. Ich denke, illegal wird es in jedem Fall, sobald finanzielle Motive eine Rolle spielen. Wenn die Angreifer Sicherheitsmechanismen umgehen, um beispielsweise Kreditkarteninformationen oder persönliche Daten zu stehlen, dann ist das definitiv im illegalen Bereich. Wohingegen ein klassischer Hack auch einfach nur auf eine Sicherheitslücke aufmerksam machen, etwas demonstrieren will, ohne Schaden anrichten zu wollen.
Vom Überschreiten der Grenzen
Es gab ja vor kurzem eine Aktion der Hacker von LulzSec, bei der zahlreiche Daten von Unternehmen offengelegt oder geknackt wurden. Manchmal entsteht da der Eindruck, dass es vielleicht auch um Selbstdarstellung, um Machtdemonstration geht. Würden Sie sagen, dass dies auch ein Motiv von Hackern ist, weil das Ergebnis ja auch immer an die Öffentlichkeit geht?
Ich denke, gerade im Fall von Lulzsec war es schon so, dass dort auch die Medien oder die Medienöffentlichkeit gesucht wurden, um zu demonstrieren, dass im Netz vieles unsicher ist. Ich denke allerdings, dass Lulzsec dort etwas zu weit gegangen ist. Dass sie zum Beispiel hunderttausende Nutzernamen plus Passwörter von unbeteiligten Dritten veröffentlicht haben, das, denke ich, war eine Überschreitung der Grenze. Die Offenlegung der Daten hat eigentlich nur zu Schaden geführt und hat nichts Positives beigetragen.
Andererseits kann man ja sagen: Wenn sie es können, können es andere auch, und die machen es dann nicht öffentlich, sondern nutzen die Daten einfach ...
Das stimmt natürlich. Es gibt auch schon seit längerer Zeit eine Diskussion, wie man genau mit Schwachstellen umgeht. Wenn also jetzt ein Forscher eine neue Schwachstelle findet, kann er sie entweder für sich behalten, ausnutzen und damit irgendwie Profit erzielen. Er kann sie aber auch dem Unternehmen mitteilen und hoffen, dass das Unternehmen etwas dagegen unternimmt. Oder er veröffentlicht sie komplett, weil er meint, dass dann schnell etwas passiert.
Die Cracker sind die Bösen
Gibt es aber auch Leute, die ihr Wissen missbrauchen - die Cracker, die einfach unsere Daten mitlesen, sie nutzen, verkaufen, damit eigentlich machen können, was sie wollen?
Es gibt auf jeden Fall eine sehr große Bandbreite von Angriffen, die wir heutzutage im Internet beobachten. Auf der einen Seite stehen sogenannte Skriptkiddies, die das eher nur aus Spaß machen. Das sind typischerweise 15- bis 20-Jährige, die sich im Internet Angriffstools herunterladen und dort ein paar Systeme angreifen.
Auf der anderen Seite gibt es auch staatlich motivierte Cracker, die typischerweise aus anderen Ländern kommen, irgendwelche Behörden, Botschaften oder Unternehmen kompromittieren und dort Daten stehlen, also im Bereich Industriesabotage oder Industriespionage.
Und dann gibt es natürlich noch ein sehr breites Feld von Crackern, die das Ganze vor allem aus finanziellen Gründen machen. Die Systeme infizieren und dann diese Systeme nutzen: um Spams zu verschicken, um Daten zu stehlen und diese dann weiterverkaufen. Da geht es teilweise um Millionenumsätze.
Aber die Hacker, würden Sie sagen, die sind nicht auf der bösen, sondern auf der guten Seite?
Genau. Die Hacker auf der guten, die Cracker auf der bösen.
arbeitet als freie Bildungsjournalistin, Dozentin und Moderatorin in Köln. Sie arbeitet für WDR5 und den Deutschlandfunk und moderiert bei DRadio Wissen eine Wissens-Interviewsendung.
Copyright: Goethe-Institut e. V., Online-Redaktion
Juli 2011
Haben Sie noch Fragen zu diesem Artikel? Schreiben Sie uns!
„Etwas Bewegen. Neue Ideen in 20 Minutentakt.“
