So funktioniert ein Hackerangriff

Eigentlich ist Hacking wie ein Computerspiel. Das Ziel des Spiels ist, die komplette Kontrolle über ein System zu erhalten – quasi den Generalschlüssel, um alle Türen im Bundeshaus zu öffnen. Am Anfang des Spiels steht man allerdings vor verschlossenen und stark bewachten Türen. Nach und nach will man sich mehr Schlüssel ermogeln und so mehr Kontrolle erhalten. Dazu muss man Schwachstellen finden: Schlupflöcher im System, aber auch die Nachlässigkeit und Leichtgläubigkeit von unwissenden Mitspielenden ausnutzen. Man darf nicht erwischt werden, denn wenn Schlupflöcher oder Hintertürchen, die man sich mühselig geschaffen hat, entdeckt werden, ist monatelange Arbeit zunichte gemacht. Ist man erfolgreich, steht man dann im Bundesratszimmer – oder ist eben der unerkannte Administrator einer Website, der sie manipulieren und ihren Datenschatz klauen kann.

Kein Wunder, dass es wirklich ein Computerspiel war, durch das Adrian Kress zum ersten Mal mit Hacking in Berührung kam. Im Alter von 15 Jahren manipulierte er ein Handyspiel, bei dem er einen Zoo besass. «Dort haben Delfine viel Geld gekostet, Hunde nicht. Ich habe ein bisschen im Code rumgespielt, damit ich mir einen Delfin kaufen konnte und nur den Preis für einen Hund zahlen musste», erzählt der heute 28-Jährige und schmunzelt. Er arbeitet als Ethical Hacker für die in Zürich ansässige Cybersicherheitsfirma Compass Security. Als solcher ist er quasi der gute Zwillingsbruder der illegalen Hacker: Firmen engagieren ihn, um ihre Computer-Applikationen, Website und Programme sicherer zu machen.

«Hacker ist kein schlecht bezahlter Beruf. Warum sollte ich das Risiko eingehen, um meinen Ruf zu schädigen und mir meine Karriere zu verbauen?»Adrian Kress, Ethical Hacker

Mit den Delfinen und den Hunden will er sagen: Furchtbar schwierig ist Hacking eigentlich nicht. Ein paar Youtube-Tutorials über die Grundlagen des Codierens haben gereicht, damit er das Zoo-Spiel manipulieren konnte. «Das ist natürlich total einfach gestrickt, aber im Grunde ist zunächst mal nicht sonderlich viel technisches Verständnis nötig», erklärt er. Sein Informatikstudium hat ihm dann aber dennoch geholfen, um genauer zu verstehen, «was er da genau gemacht hat», schiebt Kress hinterher. Ein technischer Studiengang wie Informatik oder Elektrotechnik ist derzeit noch der klassische Weg, um Ethical Hacker zu werden – eine spezielle Ausbildung gibt es keine.

Der Reiz der Illegalität

Schliesslich war ein Cyberterrorist die endgültige Inspiration für Kress, selbst Hacker werden zu wollen: Der Bösewicht im damals aktuellen James-Bond-Film Skyfall war ein technisches Superhirn. «Natürlich war das im Film total überspitzt dargestellt, aber ich habe dadurch einfach gemerkt: Hacking wird immer wichtiger», sagt Kress. Warum aber ist er dann bei einem solch zwielichtigen Vorbild nicht zum illegalen Hacker geworden? «Als illegaler Hacker würde ich vielleicht irgendwann im Knast landen – ich will meinen Beruf aber langfristig ausüben», sagt er. Klar, das Verbotene habe zwar seinen Reiz, aber: «Hacker ist kein schlecht bezahlter Beruf. Warum sollte ich das Risiko eingehen, um meinen Ruf zu schädigen und mir meine Karriere zu verbauen?»

Doch wie sieht diese Karriere von Kress denn überhaupt aus? Natürlich kann Adrian Kress als Ethical Hacker nicht einfach wild im Internet rumwuseln und Unternehmen und Websites manipulieren – vielmehr erhält er gezielte Aufträge von Unternehmen. Das kann zum Beispiel eine Bank sein, die ein neues Online-Banking-Programm einführen will. Solche Angebote müssen absolut sicher sein, um Missbrauch von bösen Hackern zu verhindern. Ethical Hacker wie Adrian Kress testen das Programm also und suchen nach technischen Sicherheitslücken, die gestopft werden müssen. Gewissermassen also sind sie digitale Einbrecher, die bezahlt werden, um einen Einbruch vorzutäuschen – um anderen Einbrechern die Arbeit zu erschweren.

Computerviren mutieren, um das Immunsystem auszutricksen

Das Besondere am Hacking ist, dass es sehr viele unterschiedliche Möglichkeiten gibt, wie man einbricht und was man mit dem Diebesgut macht. Für ersteres nutzen Hacker zwei Möglichkeiten: entweder menschliche Naivität oder technische Schlupflöcher. Kress und andere Ethical Hacker prüfen die auftraggebenden Firmen hauptsächlich auf letzteres: Also bildlich gesprochen darauf, ob alle Überwachungskameras und Alarmanlagen funktionieren und ob alle Türen abgeschlossen sind. Sobald Hacker einmal durch solche Lücken in ein System eingedrungen sind, können sie auf verschiedene Art und Weise Schabernack betreiben. Sie können Kontodaten klauen und im Namen der Bestohlenen teure Bestellungen machen. Oder sie können die Daten eines Unternehmens quasi als Geisel nehmen und die Bestohlenen damit erpressen. Das nennt sich Ransomware: Die Hacker verschlüsseln alle Daten, sodass das Unternehmen nicht mehr darauf zugreifen kann – den Schlüssel, um wieder auf die Daten zugreifen zu können, erhält das Unternehmen nur für eine Lösegeldsumme.

Ransomware und andere Schadprogramme werden von Hackern zum Beispiel als Computerviren in ein System geschleust. Der Begriff Virus ist dabei sogar eine passende Metapher dafür, wie diese Schadprogramme funktionieren: Viren, die in der Natur vorkommen, bestehen aus individuellen genetischen Bausteinen, Computerviren hingegen aus einer individuellen Abfolge von Bits. Das Antivirusprogramm ist quasi das Immunsystem des Computers: Wenn es die individuelle Abfolge der Bits erkennt – so wie sich das Immunsystem den genetischen Code eines Virus merkt –, kann es den Angriff abwehren. Doch Viren mutieren und werden dadurch zum Teil weniger gut für Antikörper erkennbar – und so wird auch die Abfolge von Bits von Computerviren verändert, dass das Antivirusprogramm sie nicht mehr erkennt. «Der Unterschied ist, dass Viren rein zufällig mutieren. Computerviren hingegen werden gezielt von Menschen immer wieder verändert», sagt Adrian Kress. So sind immer neue und abgewandelte Schadprogramme im Umlauf, ähnlich wie bei den Wellen einer Virus-Pandemie.

Nicht nur technische Schwachstellen sind eine Gefahr

Aber das Einschleusen von Computerviren und anderer Schadsoftware ist nicht die einzige technische Möglichkeit, durch die sich Hacker in ein System schmuggeln können. Adrian Kress nennt auch das Beispiel des sogenannten Cross-Site-Scripting: Auf der neuen Online-Banking-Seite einer Bank gibt es ein Kommentarfeld. Wegen einer technischen Schwachstelle können Hacker hier einen Kommentar hinterlassen, der mit einem technischen Befehl in Programmiersprache versehen ist und so das Kommentarfeld manipulieren. Wenn dann eine Bankkundin einen echten Kommentar abschicken will, wird sie dadurch auf scheinbar die gleiche Online-Banking-Seite weitergeleitet, auf der ihr die Aufforderung angezeigt wird: «Sie wurden ausgeloggt, loggen Sie sich wieder ein.» Diese Webseite wird allerdings von Hackern gesteuert: Wer sich einloggt, macht seine Anmeldedaten also für die Hacker sichtbar.

Diese Taktik nutzt nicht nur eine technische Schwachstelle, sondern auch menschliches Fehlverhalten – das wird in der Fachsprache als Social Engineering bezeichnet. Für Kress ist das die «schnellste und effektivste Art des Hacking» – aus Nachlässigkeit oder Unwissenheit von Menschen gelangen Anmelde-Informationen zu den Hackern, wie im oben beschriebenen Fall. Kress nennt noch ein anderes Beispiel: «Ich rufe beim technischen Support einer Firma an und gebe mich als Autoritätsperson aus – den Namen und Informationen über diese Person habe ich vorher durch Linkedin und andere soziale Netzwerke herausgefunden. Ich behaupte, ein gewisser Service funktioniert nicht, ich bräuchte schnell das Passwort, um den Server zurückzusetzen. Wenn ich dazu ein bisschen Fachsprache verwende, klingt das oft ziemlich glaubwürdig», erzählt Adrian Kress. Solche Formen des Social Engineering sind hin und wieder durchaus wirkungsvoll – wenn sie gelingen, hat der Hacker das Passwort für den Server und erhält volle Kontrolle. Eine andere Möglichkeit des Social Engineering ist zum Beispiel ein USB-Stick, den Hacker im Foyer eines Unternehmens liegen lassen. Wenn dieser dann aus Neugierde eingesteckt wird, installiert der USB-Stick eine Schadsoftware, die den Hackern den Zugriff auf den Computer zu ermöglichen.

Gefundenes Fressen für Hacker

Das bekannteste Beispiel, wie Hacker menschliche Schwachstellen ausnutzen, sind jedoch die sogenannten Phishing Mails. Das sind E-Mails von falschen Absendern, die sich als Mitarbeiter, Chefin oder auswärtige Organisation, zum Beispiel Microsoft, ausgeben. Die Links in den E-Mails sollen zum Eingeben von Anmeldedaten auf falschen Websites verleiten. Manchmal sind auch Dokumente beigefügt, die Viren auf dem Computer installieren und den Hackern erlauben, das Computersystem unerkannt von ihrem eigenen Rechner aus zu steuern. Mehr als neunzig Prozent aller Datendiebstähle beginnen einer Studie der weltweit führenden Cybersecurity-Firma Trendmicro zufolge mit Phishing Mails. Auch in der Schweiz gehören Phishing-Attacken laut einer aktuellen Statistik des Bundes zu den häufigsten Cyberverbrechen.

Doch warum lassen sich diese menschlichen Schwachstellen so gut ausnutzen? Warum haben Menschen noch nicht gelernt, dass sie auch im digitalen Raum ihr Fahrrad abschliessen müssen? Für Adrian Kress hängt das mit der schnellen Entwicklung der Digitalisierung zusammen: «Das sind viele neue Technologien, die nicht einfach zu verstehen sind – aber viele Leute wollen sie auch nicht verstehen, sondern einfach, dass sie funktionieren», sagt Kress. Oder anders ausgedrückt: Die Nutzung der Technik ist weitverbreitet, das Allgemeinwissen darüber aber nicht. Die Allgemeinbildung über digitale Medien muss also noch grosse Fortschritte machen. Adrian Kress erhofft sich, dass damit auch das Interesse an seinem Berufsstand steigt. Denn eins ist klar: Hacker, die für das Gute kämpfen, werden in Zukunft immer wichtiger werden.