IT-Sicherheit: Guter Hacker, böser Hacker

Digital-Desperados oder beste Freunde der IT-Industrie? Hacker spielen auf beiden Seiten des Spielfeldes: Manche arbeiten gratis oder gegen Bezahlung der Branche zu. Andere bleiben im Untergrund und attackieren mitunter ihre wohlmeinenden Kollegen - verbal, aber auch digital.

Viele Hacker gehen einem für Außenstehende nicht nachvollziehbaren Zeitvertreib nach: Sie tun ständig neue Schwachstellen in Software und Internetdiensten auf. Ist die Lücke entdeckt, zerfällt die Geek-Familie prompt: Während die einen ihren Fund dem betroffenen Hersteller im Vertrauen mitteilen, verkaufen manche Kollegen die Lücke an Organisationen wie die Zero Day Initiative  oder iDefense . Diese wiederum reichen das Wissen an die beteiligten Hersteller weiter. Wieder andere veröffentlichen die Details zur Lücke in einschlägigen Foren. Und die wenigen, wirklich bösartig gesinnten Hacker treten in Kontakt mit Cyber-Kriminellen, um ihr Wissen ums Sicherheitsloch meistbietend zu verkaufen.

Eine der Folgen solcher Schwarzmarktdeals: Millionenfache Infektionen von PCs auf der ganzen Welt durch Trojaner und Würmer, die eine zuvor in Windows entdeckte Sicherheitslücke missbrauchen. Nur wenn die guten, landläufig White Hats genannten Hacker das Rennen beim Aufdecken solcher Lücken machen, können Firmen wie Microsoft, Cisco oder Facebook die Löcher rechtzeitig stopfen. Anschließend ist es an den Abermillionen von PC-Nutzern, die veröffentlichten Sicherheitsupdates auch zu installieren. Andernfalls bleibt der Rechner auf ewig verwundbar.

An der Frage, wie die Hacker mit den entdeckten Sicherheitslücken umgehen sollten, scheiden sich die Geister. Der deutsche Hacker Halvar Flake  ist jedenfalls der Ansicht, dass "die Bug-Finder grundsätzlich selbst entscheiden sollen, ob sie ihr Wissen verschenken, verkaufen oder lizenzieren - solange sie sich an bestehendes Recht halten. Man zwingt ja auch keine Antiviren-Hersteller, ihr Produkt für alle kostenfrei zu verteilen."

"Über kurz oder lang tritt der Gesetzgeber auf den Plan"

Ein anderer Vertreter der Zunft der White Hats ist der 30-jährige Amerikaner Dan Kaminsky. Kaminsky, durch das Aufdecken einer fatalen Schwäche im DNS-Konzept bekanntgeworden, sagt: "Wenn wir Hacker die Unternehmen ein ums andere Mal ins offene Messer laufen lassen und die entdeckten Lücken für uns behalten, dann hat davon niemand etwas. Verursachen IT-Produkte ständig finanzielle Schäden, tritt über kurz oder lang der Gesetzgeber auf den Plan." Der Hacker rechnet also mit einer staatlichen Regulierung des Internets und damit mit dem Ende der Anonymität.

Dass die industriefreundlichen White Hats den Untergrund verärgern, bewies sich einmal mehr vor einigen Monaten just am Vorabend der weltweit wichtigsten Hackerkonferenz Black Hat : Eine obskure Gruppe namens ZF0 brach in die Server von Promi-Hackern wie Dan Kaminsky oder Kevin Mitnick ein und veröffentlichte unter anderem deren private E-Mails und Chat-Protokolle.

ZF0 ist gehörig genervt, dass Kaminsky & Co. die Lücken an die Industrie weitergeben, die so gratis ihre eigenen Fehler auf dem Silbertablett serviert bekommt - allerdings ohne negative Konsequenz. Außerdem prangert ZF0 an, dass sich Hacker wie Kaminsky zum Berater aufschwingen, dabei aber ihre eigenen Server nicht ordentlich absichern können. Denn der 30-jährige Hacker, Freund schriller Motiv-T-Shirts, arbeitet beispielsweise gegen Bezahlung unter anderem als Berater für Microsoft und gehört zum illustren Kreis der Hacker, die der Softwarekonzern mit seinen Kronjuwelen hantieren lässt: Kaminsky prüft den Quellcode kommender Windows-Versionen auf potentielle Sicherheitslücken - Jahre bevor das System marktreif ist.

Die Angst der Konzerne vor der Erpressung

Microsoft, das sich vom Lieblingsfeindbild aller Hacker zum respektierten Gesprächspartner in Sicherheitfragen gemausert hat, fremdelt nicht mehr beim Kontakt zu den weltweit verstreuten Technikfreaks: "Früher handelten wir nach dem Motto 'die gegen uns'. Hacker waren für uns ausschließlich Gegner, die wir bestenfalls ignorierten", bestätigt Sarah Blankinship. Sie leitet Microsofts Outreach Team: Eine Hand voll Mitarbeiter, die den Kontakt mit den hellsten Köpfen der weltweiten Hackercommunity pflegt. Geld zahlt Microsoft den Tippgebern aber nicht. Zu groß sei die Furcht, erpressbar zu werden.

Nicht nur Microsoft ist auf Tipps aus der Hackergemeinde angewiesen. Auch Netzwerkspezialist Cisco, durch dessen Produkte der Löwenanteil des weltweiten Datenverkehrs strömt, hört auf Hacker wie den Deutschen Felix "FX" Lindner. Auch Cisco-Spezialist Lindner geht verantwortungsbewusst mit seinen Entdeckungen um: Er meldet gefundene Lücken an den Hersteller und macht den Fund auf Konferenzen wie Defcon  Black Hat oder der des CCC  erst publik, wenn Cisco die Lücke gestopft hat. Über die Zusammenarbeit mit der Industrie sagt der in Berlin lebende Lindner: "Es ist nicht ganz leicht, aber irgendwann gewöhnt man sich aneinander. Wobei Firmen wie Cisco oder Microsoft eine erfreuliche Ausnahme sind hinsichtlich der Professionalität, mit der sie die Zusammenarbeit mit der Hackergemeinde betreiben."

Auch auf Seiten der Hersteller knirscht es ab und an im Gebälk. So erzählt Microsoft-Manager Andrew Cushman, dass man 2005 einen Tipp aus der Hackergemeinde intern nicht nachvollziehen konnte. Der Hinweis wurde ad acta gelegt. Kurz darauf befiel der Virus Zotob PCs auf der ganzen Welt und verursachte vor allem bei Unternehmen finanzielle Schäden. Zotob missbrauchte das zuvor gemeldete Sicherheitsloch. Seither prüft Microsoft laut Cushman jeden Tipp noch gründlicher - selbst wenn der Hinweis nur aus einigen wenigen chinesischen Schriftzeichen besteht.