IT-Sicherheit: Guter Hacker, böser Hacker

Von Uli Ries

Digital-Desperados oder beste Freunde der IT-Industrie? Hacker spielen auf beiden Seiten des Spielfeldes: Manche arbeiten gratis oder gegen Bezahlung der Branche zu. Andere bleiben im Untergrund und attackieren mitunter ihre wohlmeinenden Kollegen - verbal, aber auch digital.

Hacker-Treffs: Hilfreiche Helfer der Branche Fotos
Uli Ries

Viele Hacker gehen einem für Außenstehende nicht nachvollziehbaren Zeitvertreib nach: Sie tun ständig neue Schwachstellen in Software und Internetdiensten auf. Ist die Lücke entdeckt, zerfällt die Geek-Familie prompt: Während die einen ihren Fund dem betroffenen Hersteller im Vertrauen mitteilen, verkaufen manche Kollegen die Lücke an Organisationen wie die Zero Day Initiative oder iDefense. Diese wiederum reichen das Wissen an die beteiligten Hersteller weiter. Wieder andere veröffentlichen die Details zur Lücke in einschlägigen Foren. Und die wenigen, wirklich bösartig gesinnten Hacker treten in Kontakt mit Cyber-Kriminellen, um ihr Wissen ums Sicherheitsloch meistbietend zu verkaufen.

Eine der Folgen solcher Schwarzmarktdeals: Millionenfache Infektionen von PCs auf der ganzen Welt durch Trojaner und Würmer, die eine zuvor in Windows entdeckte Sicherheitslücke missbrauchen. Nur wenn die guten, landläufig White Hats genannten Hacker das Rennen beim Aufdecken solcher Lücken machen, können Firmen wie Microsoft, Cisco oder Facebook die Löcher rechtzeitig stopfen. Anschließend ist es an den Abermillionen von PC-Nutzern, die veröffentlichten Sicherheitsupdates auch zu installieren. Andernfalls bleibt der Rechner auf ewig verwundbar.

An der Frage, wie die Hacker mit den entdeckten Sicherheitslücken umgehen sollten, scheiden sich die Geister. Der deutsche Hacker Halvar Flake ist jedenfalls der Ansicht, dass "die Bug-Finder grundsätzlich selbst entscheiden sollen, ob sie ihr Wissen verschenken, verkaufen oder lizenzieren - solange sie sich an bestehendes Recht halten. Man zwingt ja auch keine Antiviren-Hersteller, ihr Produkt für alle kostenfrei zu verteilen."

"Über kurz oder lang tritt der Gesetzgeber auf den Plan"

Ein anderer Vertreter der Zunft der White Hats ist der 30-jährige Amerikaner Dan Kaminsky. Kaminsky, durch das Aufdecken einer fatalen Schwäche im DNS-Konzept bekanntgeworden, sagt: "Wenn wir Hacker die Unternehmen ein ums andere Mal ins offene Messer laufen lassen und die entdeckten Lücken für uns behalten, dann hat davon niemand etwas. Verursachen IT-Produkte ständig finanzielle Schäden, tritt über kurz oder lang der Gesetzgeber auf den Plan." Der Hacker rechnet also mit einer staatlichen Regulierung des Internets und damit mit dem Ende der Anonymität.

Dass die industriefreundlichen White Hats den Untergrund verärgern, bewies sich einmal mehr vor einigen Monaten just am Vorabend der weltweit wichtigsten Hackerkonferenz Black Hat: Eine obskure Gruppe namens ZF0 brach in die Server von Promi-Hackern wie Dan Kaminsky oder Kevin Mitnick ein und veröffentlichte unter anderem deren private E-Mails und Chat-Protokolle.

ZF0 ist gehörig genervt, dass Kaminsky & Co. die Lücken an die Industrie weitergeben, die so gratis ihre eigenen Fehler auf dem Silbertablett serviert bekommt - allerdings ohne negative Konsequenz. Außerdem prangert ZF0 an, dass sich Hacker wie Kaminsky zum Berater aufschwingen, dabei aber ihre eigenen Server nicht ordentlich absichern können. Denn der 30-jährige Hacker, Freund schriller Motiv-T-Shirts, arbeitet beispielsweise gegen Bezahlung unter anderem als Berater für Microsoft und gehört zum illustren Kreis der Hacker, die der Softwarekonzern mit seinen Kronjuwelen hantieren lässt: Kaminsky prüft den Quellcode kommender Windows-Versionen auf potentielle Sicherheitslücken - Jahre bevor das System marktreif ist.

Die Angst der Konzerne vor der Erpressung

Microsoft, das sich vom Lieblingsfeindbild aller Hacker zum respektierten Gesprächspartner in Sicherheitfragen gemausert hat, fremdelt nicht mehr beim Kontakt zu den weltweit verstreuten Technikfreaks: "Früher handelten wir nach dem Motto 'die gegen uns'. Hacker waren für uns ausschließlich Gegner, die wir bestenfalls ignorierten", bestätigt Sarah Blankinship. Sie leitet Microsofts Outreach Team: Eine Hand voll Mitarbeiter, die den Kontakt mit den hellsten Köpfen der weltweiten Hackercommunity pflegt. Geld zahlt Microsoft den Tippgebern aber nicht. Zu groß sei die Furcht, erpressbar zu werden.

Nicht nur Microsoft ist auf Tipps aus der Hackergemeinde angewiesen. Auch Netzwerkspezialist Cisco, durch dessen Produkte der Löwenanteil des weltweiten Datenverkehrs strömt, hört auf Hacker wie den Deutschen Felix "FX" Lindner. Auch Cisco-Spezialist Lindner geht verantwortungsbewusst mit seinen Entdeckungen um: Er meldet gefundene Lücken an den Hersteller und macht den Fund auf Konferenzen wie Defcon Black Hat oder der des CCC erst publik, wenn Cisco die Lücke gestopft hat. Über die Zusammenarbeit mit der Industrie sagt der in Berlin lebende Lindner: "Es ist nicht ganz leicht, aber irgendwann gewöhnt man sich aneinander. Wobei Firmen wie Cisco oder Microsoft eine erfreuliche Ausnahme sind hinsichtlich der Professionalität, mit der sie die Zusammenarbeit mit der Hackergemeinde betreiben."

Auch auf Seiten der Hersteller knirscht es ab und an im Gebälk. So erzählt Microsoft-Manager Andrew Cushman, dass man 2005 einen Tipp aus der Hackergemeinde intern nicht nachvollziehen konnte. Der Hinweis wurde ad acta gelegt. Kurz darauf befiel der Virus Zotob PCs auf der ganzen Welt und verursachte vor allem bei Unternehmen finanzielle Schäden. Zotob missbrauchte das zuvor gemeldete Sicherheitsloch. Seither prüft Microsoft laut Cushman jeden Tipp noch gründlicher - selbst wenn der Hinweis nur aus einigen wenigen chinesischen Schriftzeichen besteht.

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskussion über diesen Artikel
insgesamt 6 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Viren sind das Erdöl einer Milliardenbranche
Umbriel 07.01.2010
Vor längerer Zeit wurde mal nachgewiesen, daß ein Antivirensoftwarehersteller die Virenprogrammierung in Auftrag gegeben hatte. Ist ja auch irre verlockend. Leider ist dieses Thema für die Öffentlichkeit überhaupt nicht transparent.
2. Wo?
ich_bins 07.01.2010
Zitat von UmbrielVor längerer Zeit wurde mal nachgewiesen, daß ein Antivirensoftwarehersteller die Virenprogrammierung in Auftrag gegeben hatte.
Wo? Bitte um Aufklärung. Danke.
3. Weiß ich nicht mehr
Umbriel 07.01.2010
Zitat von ich_binsWo? Bitte um Aufklärung. Danke.
Das ist lang her, vor 10 Jahren so, ging damals durch die Presse. Wenn Sie einen geeigneten Praktikanten frei haben, dann lassen Sie den recherchieren, wird schon zu finden sein.
4. hax00r
silentium2.0 07.01.2010
Ich persönlich kenne nur gute Hacker. Die Hacker, die ich kenne respektieren http://en.wikipedia.org/wiki/Hacker_ethic. Es gibt natürlich auch Hacker, die sich nicht dran halten aber diese sind trozdem in meinen Augen nicht böse. Warum ? In länder wie beispielsweise Russland oder China aber auch in vielen Ländern Latein Amerikas gibt es sehr gute Leute. Diese sind arbeitslos und haben eine Familie zu füttern.... Es gibt auch politisch motivierte hacker, denen vieles gegen den Strich geht und das auch mit recht ! Ich weis noch lang' vor "hypertext zu www wurde" waren wir, die im Internet unterwegs waren, politisch auf gleicher linie und träumten von einer besseren Welt. Leider kam das Web und das Internet wurde zu einer "pubic domain". Und vieles kam nicht wie wir es uns erträumt hatten. Ich finde Lessig hat das sehr gut erkannt und in seinem Buch Code2.0 dargestellt. Ich stehe 100% hinter diesen Jungs ! Und so nebenbei das Internet ist sooooo groß. Suchmaschinen geben nur einen sehr kleinen Teil davon zurück. Wenn ich das so sagen dürfte "Das Internet is wie ein Meer und wir sehen nur die Wellen auf der Oberfläche". Aber zurück zu Hackern und Angriffe, es gibt auch den Virtuellen Kriegsschauplatz. Dabei attackieren Spezialisten, die für Geheimdienste arbeiten, die Infrastruktur ganzer Länder. Dies sind keine Hacker ! Solche Angriffe werden aber gern "unkontrollierbare politisch Motivierte Hacker Gruppen" in die Schuhe geschoben. Das gleiche gillt für Daten Diebstahl. Hier ist die Dunkelziffer in Deutschland erschreckend ! Das sind aber trozdem digitale Industrie Spione und keine Hacker. Und dann gibt es auch noch die Kidies und Deppen. Das sind Leute die keine Ahnung haben und lieber Videos Tuts nachaffen anstatt sich in RFC's einarbeiten. Bezeichnen sich selbst als Hacker oder Hax0r .... sry für die Fehler aber ich hab' grad' kein spell checker :)
5. Ethik muss diskutiert werden
soistdasnu 07.01.2010
In einigen Kreisen werden solche Ethikfragen diskutiert. Diesen Monat gibt es einen Workshop ("Workshop on Ethics in Computer Security Research"), der diese Themen behandelt. http://fc10.ifca.ai/Workshop.htm Der zweite Link tut es: WECSR 2010 (Teneriffa). Auch andere Foren/Kongresse befassen sich mit dem Thema.
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 6 Kommentare

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.