Hack-Profis auf der Suche nach Sicherheitslücken
Für Computerhacker herrschen seit der raschen Verbreitung von Internet und Online-Einkäufen paradiesische Zustände. "Jede neue Internetseite ist eine Einladung, sie zu knacken", findet Max aus Arnstadt, der in der Szene aktiv ist. Hackerethik und purer Sportsgeist werden dabei schon mal vom Geschäftssinn übertroffen. Einige Computerfreaks suchen Sicherheitslücken, um den betroffenen Firmen anschließend gegen Bezahlung zu helfen. "Je extremer Firmen in einem Bereich aktiv sind, in dem Sicherheit für ihre Kunden wichtig ist, desto weniger offensiv reagieren sie auf Angriffe", beobachtet der Referent für Sicherheit in der Informationstechnik im Bundesministerium für Wirtschaft und Technologie (BMWI), Hubertus Soquat.
Max behauptet, er benötige keine fünf Minuten, um bei einem großen englischsprachigen Internetportal für Gartenfreunde das Sagen zu haben. "Diese Seite knacke ich mit einem Kniff. Bei anderen ist es oft nur eine Zeitfrage", sagt der 23-jährige Thüringer selbstbewusst.
Seit Wochen zeige er einer Südthüringer Firma, die beispielsweise das Gartenportal mit ihrer Software für den elektronischen Handel (e-commerce) ausgestattet hat, Sicherheitslücken. "Es ist erschreckend, wie schlampig viele Firmen mit dem Thema Sicherheit umgehen." Was den Berufsinformatiker jedoch am meisten ärgert: Normalerweise kooperieren Betroffene mit ihm und seiner eigens gegründeten Ein-Mann-Firma für Internetsicherheit. Die Suhler aber haben eine Schadensersatzklage in Höhe von 4 000 Euro gegen ihn gestellt.
Den Pressesprecher des Chaos-Computer-Clubs (CCC), Andy Müller-Maguhn, erinnert derartiger Geschäftssinn an Erpressung. Hauptanliegen von Hackern sei es schließlich, die Freiheit und private Daten zu schützen. Götz Wiegand, Projektleiter des Thüringer e-commerce- Kompetenzzentrums, rät Unternehmen, das Thema Sicherheit grundsätzlich ernster zu nehmen.
"Es kommt mir vor, als ob einige Softwarefirmen das Marketing ihrer Produkte für wichtiger halten als Sicherheit". Völlige Sicherheit könne zwar keine Firma garantieren, aber grobe Peinlichkeiten sollte sie ausschließen. "Schließlich haften sie auch für ihre Produkte." Weil der Mittelstand sehr am Thema interessiert sei, werde in nächster Zeit ein Verein IT-Sicherheitsinitiative Thüringen gegründet. In dem Arbeitskreis sollen ein Universitätsprofessor, Rechtsanwälte und Internetprofis zeigen, welche Risiken lauern.
In Thüringen hat bei den Polizeidirektionen in Suhl und Erfurt sowie dem Landeskriminalamt bisher keine einzige Software- oder Internetfirma eine Anzeige erstattet, weil sie Opfer eines Hackerangriffs wurde. "Damit würden die Firmen ja öffentlich zugeben, dass ihre Software oder Internetseiten unsicher sind", findet der Sprecher der Erfurter Polizei, Manfred Etzel. Die betroffenen Unternehmen versuchten eher, die Sicherheitslücke selbst zu stopfen oder arbeiteten eben mit den Hackern zusammen, sagte Soquat vom Bundesministerium.
Während Passwort-Knack-Programme in den USA verboten sind, gibt es in Deutschland nach Angaben von Soquat noch keine eindeutige Regelung. "Erst, wenn mit den Programmen Schaden angerichtet wird, macht sich der Nutzer strafbar." Als häufigste Sicherheitslücken nennt der Thüringer Hacker zu offensichtliche Zugangsnamen und kurze Passwortkombinationen. "Eine gute Abwehr würde mich nach einem Hackversuch erkennen und mir jeden weiteren Zugriff verweigern." Wozu schludriger Umgang mit der Sicherheit führen kann, hatten im September andere Hacker aus Thüringen in einer ARD-Fernsehsendung demonstriert. Innerhalb weniger Tage riefen sie bei einer großen Bank alle Daten ab, die für Online-Bankgeschäfte im Wert von 770 000 Euro benötigt wurden.