«Entweder sie sind gehackt, oder sie wissen es noch nicht»

Am Tag der Berichterstattung über Rechtsextreme haben unbekannte Hacker zentral+ angegriffen. Tausendfach wurde die Seite pro Sekunde aufgerufen, mit dem Ziel den Server in die Knie zu zwingen, was nicht gelang.

Wie das funktioniert, weiss Gunnar Porada. Er ist seit Jahren in der IT-Security Branche aktiv und heute Inhaber der Firma «innosec» in Weggis. Er ist bekannt für seine Live-Auftritte, wo er Hack-Angriffe demonstriert, um Schwachstellen aufzuzeigen und darzulegen, welche Möglichkeiten sich Hackern mit bösen Absichten bieten. Porada ist kein «staatlich geprüfter Hacker», er geriet nie ins Visier der Justiz. Mit rund 19 Jahren hat er sich dazu entschieden, sein digitales Wissen nicht für illegale Zwecke zu verwenden. Im Interview mit zentral+ spricht er über den Angriff, die lauernden Gefahren und den Schutz davor. Und über die Unfähigkeit vieler Chefs, über Freaks und Tötungen.

zentral+: Herr Porada, wie schwierig ist es, zentral+ zu hacken?

Gunnar Porada: Bei einem kurzen Blick auf ihre Webseite erkenne ich schon Punkte, wo ich als Angreifer Möglichkeiten sehen würde. Unsere Firma stellt soweit Schwachpunkte fest, wie es der Kunde wünscht. Mit einem klaren Auftrag starten wir dann unsere kontrollierten Angriffe – wir «testen» die Unternehmen. Grundsätzlich findet man aber überall Schwachpunkte. Diese zu identifizieren ist nicht hochkompliziert. Unsere Aufgabe liegt vielmehr in ihrer Analyse und der anschliessenden Präsentation von Lösungsansätzen.

zentral+: Wie kann man sich einen solchen Angriff – ob nun als Test oder böswillig – vorstellen?

Porada: Das hängt natürlich immer vom Angriffsziel ab. Es gibt Tools, welche gewisse Schritte automatisiert durchführen, vieles erstellen wir aber auch manuell. Wir sammeln Informationen über die Schwachpunkte. Besonders verwundbar sind bei Webseiten beispielsweise Web 2.0 Inhalte, die Interaktionen mit dem Besucher zulassen. Böswillige Hacker gehen etwas anders vor. Sie schiessen einfach mal ziellos auf alles und schauen, wo etwas umfällt.

zentral+: Unsere Homepage wurde Opfer von sogenannten Dos-Attacken. Dabei wird die Seite in kurzer Zeit tausendfach aufgerufen, mit dem Ziel den Server zum Absturz zu bringen. Wie bedrohlich ist das?

Porada: Naja, in der Szene belächelt man solche Kindergarten-Auftritte. Meist wird eine Erpressung gestartet und bei einer Zahlung stoppt die Attacke. Oder die Forderung geht dann wegen der Zahlung noch viel höher. Allerdings können solche Attacken schnell festgestellt und auch dementsprechend abgewehrt werden. Medienunternehmen sind aber aus anderen Gründen ein begehrtes Ziel von Attacken.

zentral+: Und die wären?

Porada: Medien erreichen mit ihren Inhalten eine Vielzahl an Konsumenten. Das Platzieren von redaktionellem Inhalt kann weitreichende Folgen haben. So kann eine Meldung etwa über eine anstehende Fusion oder wirtschaftliche Turbulenzen eines Unternehmens an den Börsen zu gewaltigen Kursveränderungen führen. Investoren gewinnen oder verlieren riesige Summen, auch wenn die Meldung null Wahrheitsgehalt enthält. Es kann sein, dass die Medien sich anschliessend mit hohen Schadenersatzklagen konfrontiert sehen. Die Argumentation «Ich war das nicht.», wird schwer zu halten sein.

«Die meisten Chefs haben überhaupt kein technisches Verständnis.»

zentral+: Sie sind bekannt dafür, den Mahnfinger zu heben und die technischen Errungenschaften kritisch zu beäugen. Fehlt es am Verständnis für die Gefahren des Internets?

Porada: Absolut. Die meisten Chefs haben überhaupt kein technisches Verständnis. In letzter Zeit lässt sich zwar eine gewisse Tendenz zur vermehrten Wahrnehmung der Bedrohung feststellen – aber eigentlich agieren viele Firmen naiv. Nehmen wir das Beispiel einer Grossbank. Sie sichert sich bei ihren operativen Geschäften rechtlich x-fach ab und nimmt dafür gewaltige Summen in die Hand. Bei der IT wird das Risiko aber als gering eingeschätzt, vielleicht weil es nicht direkt greif- und sichtbar ist. An dieser Stelle erwähne ich gerne das berühmte und häufig belächelte Zitat von Angela Merkel: «Das Internet ist für uns alle Neuland.»

zentral+: Können Sie präzisieren, welche Schäden für Firmen genau entstehen können?

Porada: Da gibt es vieles. Die Plünderung des Kontos als Erstes. Dann kann alles lahmgelegt werden. Das heisst nicht nur die IT, sondern auch ganze Produktionen, welche elektronisch gesteuert werden. Und dann bleibt bekanntlich der Datendiebstahl. Allerdings stellt sich die Frage, ob diese – ich nenne sie einmal materielle Schäden – das Hauptproblem sind. Ein Hackerangriff ist natürlich ein marketingtechnischer Supergau. Das Unternehmen erleidet einen gewaltigen Vertrauensverlust und muss mit einem Shitstorm rechnen.

Zentral+: Sie selbst nennen sich Hacker. Obwohl sie ja völlig im legalen Bereich operieren. Warum nicht IT-Security Berater?

Porada: (lacht) Hacker wirkt einfach viel besser, der Begriff löst gleichzeitig Abscheu und Bewunderung aus. Dadurch wecke ich viel mehr Interesse für meine Referate, wo ich meine Live-Hackattacken präsentiere. Und zugegeben, ich bin technisch versiert und bereits über Jahre im Business.

«Heute geht es vor allem um die Kohle.»

zentral+: Sie kommen aus der Szene, können Sie uns etwas über die Faszination verraten?

Porada: Das Schadenspotential ist einfach gigantisch. Wenn ich nur ein Prozent davon verdienen würde, was ich heute an Schaden verhindern kann, wäre ich ein reicher Mann. Ich würde mich fast als Samariter bezeichnen (lacht). Es schwingt sicher eine grosse Portion Idealismus mit. Auch im Netz gibt es mittlerweile viele Hacker, die Schwachstellen transparent machen, statt diese zu missbrauchen.

zentral+: Und was treibt die «Bösen» an?

Porada: Anfänglich war es wohl die Technikverliebtheit. Man versuchte, was alles möglich ist. Heute geht es vor allem um die Kohle. Die Frage, warum man arbeiten soll, wenn Geld auf andere und einfachere Weise verdient werden kann, ist doch legitim. In Teilen der Welt gibt es hochqualifizierte Leute, welche keinen Job kriegen und unter Armut leiden. Die Hemmungsschwelle zu hacken, ist niedrig. Zudem habe ich in gewissen Ländern kaum Konsequenzen zu fürchten, hacken ist beinahe legal.

zentral+: Wie würden Sie einen Hacker beschreiben?

Porada: In der Gesellschaft werden Hacker kritisch beäugt. An den Vorurteilen von Freaks mit langen Haaren, welche die ganze Nacht vor dem PC sitzen, ist definitiv etwas dran. Obwohl ich mich nun wirklich nicht mehr dazu zähle (lacht).

zentral+: Müssen sich auch Personen wie Sie und ich Sorgen machen? Warum soll eine Privatperson gehackt werden?

Porada: Warum nicht? Fragen Sie sich mal, wieso man bei Ihnen einbrechen sollte. Weil es was zu holen gibt. Und dass es illegal ist, zählt als Argument gegen Kriminelle nicht. Im schlimmsten Fall wird eine ganze Identität geklaut. Die Daten von Personen (Meta-Daten genannt) sind beispielsweise für die USA ausreichend für militärische Aktivitäten bis hin zur Tötung. Daraus ergeben sich auch viele rechtliche Probleme. Sie müssen beweisen, dass sie damit nichts zu tun haben. Auch wenn Ihnen der Richter noch glauben sollte, sieht die Faktenlage meist düster aus, weil alles über Ihren PC lief. Die Hacker können ihre Spuren gut verwischen.

«Es gibt zwei Gruppen Internetnutzer: die Gehackten und jene, die es noch nicht wissen.»

zentral+: Welches sind die dümmsten Fehler, die man als Internetnutzer machen kann?

Porada: Das ist wohl der Glaube daran, nicht angegriffen zu werden. Es gibt eigentlich nur zwei Gruppen Internetnutzer: die Gehackten und jene, die es noch nicht wissen. Ich empfehle Firewall und Anti-Viren-Programm stets aktuell zu halten. Sie bieten zwar nicht ultimativen Schutz, wehren aber doch einiges ab. Bei kostenlosen Downloads ist zudem Vorsicht geboten.

zentral+: Sie machen einem ja fast Angst. Muss ich mir etwa beim E-Banking Sorgen machen? Meine Bank versichert mir doch, dass E-Banking sicher ist.

Porada: E-Banking bietet grosse Angriffsflächen, weil die Benutzer quasi den Zugang zu ihrem Bankkonto freigeben. In kleineren Fällen zeigen sich die Banken jedoch kulant. Allerdings: Wird ein grösserer Betrag auf ein unbekanntes Konto überwiesen, muss der Kontobesitzer nachweisen, dass er wirklich gehackt wurde. Sie sind bereits in der Beweisschuld. Es gab auch Betrugsfälle, wo den Banken weisgemacht werden sollte, dass ein Angriff vorliegt. Es ist wirklich schwierig, Täter und Opfer auseinander zu halten. Kommt hinzu, dass sich die Banken in den AGB’s natürlich gegen solche Fälle absichern und im Zweifelsfall der Kunde auf dem Schaden sitzen bleibt.

zentral+: Dann ist wohl auch die Privatsphäre im Internet eine Utopie?

Porada: Kann man so sagen. Mittlerweile wird etwa über das Mobiltelefon jede Bewegung aufgezeichnet. Bei Autos wird dies auch bald möglich sein. Ein Ergebnis davon ist, dass sich die Werbung immer mehr den Bedürfnissen anpasst und bald auch personalisierte Fahrzeugversicherungen angeboten werden. Dazu werden Informationen über Ihr Natelguthaben gesammelt oder die letzten Einkäufe mit der Kundenkarte herangezogen. Auch die Krankenkasse interessiert sich für Ihren Lebensstil und Google weiss bereits im Voraus, was Sie als Nächstes suchen werden (zentral+ berichtete). Das Geschäft mit Massendaten ist riesig.

zentral+: Was bringt die Zukunft? Ich nehme an, man kann immer nur auf neue Bedrohungen reagieren?

Porada: Absolut, es ist ein ständiges Wettrennen. Bis ein neues Produkt, das Schutz bieten soll, eingearbeitet ist, dauert es in der Regel ewig. Die Hacker können von Tag eins des Auftretens einer Schwachstelle angreifen, wir sind ständig in der Defensive. Je wachsamer die Unternehmen und Privatpersonen sind, um so bessere Chancen haben sie.