In den sechziger Jahren narrten Jugendliche Telefongesellschaften. Irgendwann hackten sie die Computer des Pentagon und das frühe Internet. Was leichtfüßig begann, führte einige Hacker in eine kriminelle Karriere, andere in die erfolgreiche Laufbahn eines IT-Sicherheitsexperten.
Severin Quell, Director IT Security Consulting bei der INFODAS GmbH, skizziert in einem kurzen historischen Überblick, wie aus der ersten Hacker-Generation nach bisweilen geharnischten Strafen die besten Penetrationstester wurden.
Der erste Penetrationstester war vermutlich der Mathematiker Alan Turing, der im zweiten Weltkrieg in England den Code der Dechiffriermaschine „Enigma“ der Nazis knackte. Danach waren es Jugendliche, die in den sechziger Jahren Telefongesellschaften mit Pfiffen zum Narren hielten. Einer der bekanntesten war John T. Draper, der mit einer Spielzeugpfeife aus einer Packung Frühstücks-Cerealien der Marke Cap’n Crunch einen Ton mit exakt 2.600 Hertz erzeugte. Aus seinem Computerclub wusste er, dass die AT&T diese Frequenz zur Freischaltung von Ferngesprächen einsetzte.
Der Ingenieur firmierte später unter dem Spitznamen Cap’n Crunch und schraubte ein kleines Gerät zusammen, das weitere Töne zur Manipulation der Telefonsysteme erzeugte. Er nannte das Gerät „Blue Box“ und konnte damit kostenlose Ferngespräche führen. Seine Methode bezeichnete er als „Phreaking“, eine Kombination aus Phone und Freak. Er gilt damit als Begründer einer bis heute gepflegte Tradition, cyberkriminelle Methoden mit kreativen Wortschöpfungen aus ungewöhnlich kombinierten Hauptwörtern zu adeln. Das Phishing etwa setzt sich beispielsweise aus „password“ und „fishing“, zusammen, was so viel bedeutet wie „Benutzerdaten angeln“.
Draper erzählte in seinem Netzwerk stolz von seinen Erfolgen und erregte damit die Aufmerksamkeit von Kriminellen und Hippies. Bald schon führten mit seiner Methode so viele Amerikaner kostenlose Ferngespräche, dass den Telefongesellschaften ein enormer Schaden entstand. AT&T und das Federal Bureau of Investigation (FBI) setzten Draper auf ihre Fahndungslisten. Nach seiner Festnahme wurde er zu vier Jahren auf Bewährung verurteilt. Aber er missachtete seine Auflagen und fuhr im Oktober 1976 vier Monate ein. Selbst hinter Gittern konnte er das Phreaking nicht lassen und vermittelte seinen Mithäftlingen seine Methoden. Parallel versuchte er auch einen Weg zurück in die Legalität. Für die Apple-Gründer Steve Jobs und Steve Wozniak schrieb er den Code für die erste Textverarbeitung. Später wurde es still um ihn. Mittlerweile soll er eine eigene IT-Sicherheitsfirma betreiben. Sein Ruhm verblasste schneller als der zweier weiterer Vertreter der frühen Hackerszene.
Am Scheideweg: Hacker oder IT-Sicherheitsberater
Eigentlich waren es Freaks, die mit Computern spielten und aus Spaß und Neugierde Technik manipulierten. Aus diesem Spiel wurde dann aber in einem gleitenden Übergang massiver Gesetzesbruch. Ein zunächst berüchtigter und später berühmter Nachfolger von Capt´n Crunch wurde der Schüler Kevin Poulsen. 1977 begann der 13-jährige mit Phreaking-Experimenten, Telefonzentralen zu manipulieren. Sein perfektioniertes Pfeifen in den richtigen Frequenzen „hackte“ die Servicefunktionen nicht nur von Telefonanbietern, sondern auch von Radiosendern. So überlistete er mehrfach die Telefonanlage des Radiosenders KISS FM und gewann neben Reisen auch zwei Porsche.
Dieser Erfolg stieg ihm wohl zu Kopfe, denn der nächste Gegner war eine Nummer zu groß für Kevin Poulsen. Er spionierte in den Netzwerken des Federal Bureau of Investigation (FBI), um Undercover-Unternehmen des FBI auffliegen zu lassen. Das brachte ihm 1992 fünf Jahre Haft ein. Immerhin bekam er danach die Kurve und lebt seither von seiner „Expertise“ in der IT- und Kommunikationssicherheit. Als Journalist schreibt er über Cyberkriminalität und Whistleblower, berichtete über die Affären um Edward Snowden und Wikileaks. Dabei interviewte er auch Informanten, die er vor Verfolgung schützen wollte.
Kurzerhand programmierte er 2013 zusammen mit Aaron Swartz SecureDrop, eine Anwendung zum Schutz von Whistleblowern über das Tor-Netzwerk, das bisher nur schwer zu hacken ist. Sie ist bis heute bei zahlreichen Zeitungen in den USA und Europa im Einsatz und schützt die Kommunikation mit Whistleblowern. SecureDrop ist ein gutes Beispiel für den Erfindungsreichtum erfolgreicher Hacker, die Lösungen entwickeln, die sich später als hilfreich für die Allgemeinheit herausstellen. Es sind diese Expertise und Fähigkeiten, die sie als Penetrationstester im Auftrag ihrer Kunden einsetzen, um Cyberkriminellen eine Nasenlänger voraus zu sein. Mittlerweile betreibt Kevin Poulsen für das US-amerikanische IT-Magazin „Wired“ einen Security-Blog und engagiert sich als Redner auf Konferenzen.
Auch Kevin Mitnick fing wie Kevin Poulsen als Schüler an, machte eine Zwischenstation im Gefängnis, bevor er die Seiten wechselte. Als 16-Jähriger spionierte er mit einem der ersten Phishing-Programme das Passwort seines Computer-Lehrers aus. Er manipulierte die Telefoncomputer von Pacific Bell für kostenfreien Telefonspaß. Man nannte ihn später „Condor“, der über 100 Mal in die Netzwerke des US-Verteidigungsministeriums, der National Security Agency (NSA) und der NASA eindrang. Das FBI setzte ihn auf seine „Most Wanted List“. Aber 1995 saß er fünf Jahre in Haft.
Der Staatsanwalt verbot Mitnick sogar das Telefonieren, weil er fürchtete, allein sein Pfeifen könnte einen Nuklearkrieg auslösen. Seit Haftende engagiert sich Mitnick als Journalist und IT-Security-Berater und ist ein gefragter Redner auf internationalen IT-Security Konferenzen. Er war einer der ersten Buchautoren („Die Kunst der Fälschung“), der beschrieb, wie Cyberkriminelle mit Social Engineering-Methoden Mitarbeiter in Unternehmen manipulieren. Er zählt heute zu den weltweit gefragtesten Penetrationstestern und führt ein eigenes Beratungsunternehmen. Seinem Team von Ethischen Hackern eilt der Ruf voraus, immer eine Idee schlauer zu sein als Cyberkriminelle.
Ethische Hacker kommen heute aus den Hochschulen
Den Umweg über kriminelle Eskapaden nehmen heutige Penetrationstester nicht mehr. Im Gegenteil investieren sie viel Zeit in ihr Studium. Sie verfolgen die Foren im Darknet, in denen sich Hacker über die neuesten Entwicklungen informieren und austauschen. Ein Repräsentant dieser neueren Generationen der IT-Security-Experten ist der Informatiker Bruce Schneier, den das Magazin The Economist 2013 als „Sicherheitsguru“ ausrief. Schon als Student beriet er das Pentagon und Telefongesellschaften zu IT-Sicherheitsfragen. Bei British Telecom steht auf seiner Visitenkarte „Security Futurologist“.
Und damit ist seine Mission gut beschrieben. Denn der US-Bürger warnt oft als erster vor neuen Sicherheitsbedrohungen und strukturellen Entwicklungen, die neue Bedrohungslagen mit sich bringen. Sein aktuelles Buch „Click Here to Kill Everyone: Sicherheitsrisiko Internet und die Verantwortung von Unternehmen und Regierungen“ (MITP-Verlags GmbH & Co. KG, 2019) schildert sehr plastisch, wie Cyberkriminelle 2018 mit einer DDoS-Attacke vorübergehend zahlreiche Webseiten, unter anderem Netflix und Twitter, störten und diese mit ihren Services vom Netz gingen.
Universitäten und Bug Bounty Programme fördern IT-Sicherheit
Herstellern von IT-Infrastrukturen ist bewusst, dass über den Lebenszyklus ihrer Systeme neue Schwachstellen auftauchen können. Ihre Hoffnung ist, diese mit einem überschaubaren Aufwand möglichst vor Hackern zu entdecken. Sie hoffen dabei auf die Zuverlässigkeit der White-Hat-Hacker und auf die Forschungsbudgets sowie den Forscherdrang der Hochschulen. Namhafte Hersteller legen deshalb sogenannte Bug Bounty Programme auf. Damit laden sie nicht-kriminelle Hacker ein, ihre Systeme zu penetrieren. Finden diese Bugs (Schwachstellen, eigentlich Käfer; die ersten Bugs waren echte Insekten, die in (teil)mechanischen Rechenmaschinen Relais oder andere Teile blockiert haben) zahlen die Unternehmen dafür sogar Prämien. So gelang es Forschern im Oktober 2020, auf den Webseiten von Apple in nur drei Monaten 55 zum Teil schwerwiegende Fehler zu finden. Einen Bug hätten Hacker für das Einschleusen eines Wurms nutzen können, um automatisch alle Fotos, Videos und Dokumente aus dem iCloud-Konto einer Person inklusive der Kontaktdaten zu stehlen. Apple zahlte den „Forschern“ aus ihrem Bug Bounty Programm insgesamt fast 289.000 Dollar. Mittlerweile setzen auch hierzulande Unternehmen und die Bundeswehr auf solche Programme und hoffen, dass Hacker ihre Systeme penetrieren, Sicherheitslücken identifizieren und melden.
Regelmäßige Penetrationstests gehören in jede IT-Sicherheitsstrategie
Ein Hacker, aber eben auch ein guter Penetrationstester findet in jedem Programmcode früher oder später eine Schwachstelle. Die größte Sicherheitslücke bleibt der Mensch. Er ist einfach verführ- und manipulierbar und damit eine der größten Schwachstelle in einem IT-System. Aber es sind eben auch Menschen, die mit ihrer Hackerintelligenz die allzu menschlichen Schwächen immer wieder ausnutzen. Unternehmen müssen deshalb ihre IT-Sicherheitsstrategie immer weiterentwickeln und ihre IT-Infrastrukturen gegen mögliche neue Angriffsmethoden härten. Ein Schwachstellen-Scanner jedenfalls reicht nicht aus. Nur mit regelmäßigen Penetrationstests und idealerweise auch dem Wechsel der Teams, die Routinen verhindern, wird es künftig mehr Sicherheit geben. Penetrationstests gehören deshalb in jede IT-Sicherheitsstrategie.
Lesen Sie auch die anderen Teile der Serie:
Folge 1: Penetrationstests: Hacking per Auftrag
Folge 2: IT-Sicherheitsprüfungen: Sind Sie in der Verteidigung oder in der Offensive?
Folge 3: Penetrationstests: Fünf Schritte zu mehr Cybersicherheit