Interview

Hacken ist sein Beruf. Der Netzaktivist und IT-Berater Linus Neumann im Interview

Linus Neumann beim Interview in der Badener Anwaltskanzlei Binder Rechtsanwälte. Er wurde von der Kanzlei für ein Referat für den "Talk im Trafo" eingeladen.

Linus Neumann beim Interview in der Badener Anwaltskanzlei Binder Rechtsanwälte. Er wurde von der Kanzlei für ein Referat für den "Talk im Trafo" eingeladen.

Linus Neumann hat Psychologie studiert, bekannt ist er vor allem als Sprecher des Chaos Computer Clubs (CCC), einer lockeren Vereinigung von Gruppierungen von IT-Spezialisten. Die nennt man auch «Hacker», wenn sie sich mit der Sicherheit von IT-Systemen beschäftigen. Dabei ist nicht immer klar, auf welcher Seite des Gesetzes und der Moral man da steht. Dar­über haben wir uns mit Linus Neumann unterhalten.

Die erste Frage, Herr Neumann, liegt auf der Hand: Haben Sie selbst auch schon gehackt?

Linus Neumann: Ja, Hacken ist mein Beruf.

Entschuldigen Sie, ich meinte natürlich: Illegal oder legal?

(Lacht) Legal.

Alles?

Nun, einmal im Leben kommt der Moment, wo man sich entscheiden muss, wie man seine Talente und Fähigkeiten einsetzen will. Und ich fand, dass die Suche nach Schwachstellen und Löchern in IT-Systemen interessant und vor allem eine Sache ist, bei der man dauernd etwas Neues lernen kann.

Sie weichen aus.

(Lacht wieder) Vielleicht war nicht ganz alles, was ich einmal gemacht habe, legal.

Was reizt Sie am Hacken?

Es ist vor allem eine intellektuelle Herausforderung: Die Suche nach eleganten Lösungen für schwierige Probleme. Man muss sich in etwas hineinknien und dran bleiben. Das Suchen, Finden und beseitigen von Schwachstellen finde ich reizvoll. Ich freue mich, dass ich das heute im Auftrag vieler unterschiedlicher Organisationen machen darf.

Mit „Aufträgen“ meinen Sie legales Hacken?

Ja, da wird ein System oder ein Netz auf Wunsch des Betreibers oder Herstellers untersucht. Wenn man ohne Auftrag forscht, das heisst, sich im Internet bewegt und umschaut, findet man auch interessante Sachen. Die melde ich dann den Betreibern, damit sie die Schwachstellen beseitigen. Trotzdem ist man da schnell in einem rechtlichen Graubereich. Es mag gesetzlich nicht erlaubt sein, aber ich wurde noch nie dafür belangt, denn am Ende erweise ich den Betreibern ja einen Dienst. Und ich bin überzeugt, dass ich da etwas Gutes tue.

Wie fühlt man sich da? Wenn ich im realen Leben etwas Illegales tue, fühle ich mich unbehaglich, da macht sich mein Gewissen bemerkbar. Wie ist das im Internet, wo alles virtuell ist?

Ein Unrechtbewusstsein hätte ich, wenn ich wirklich etwas täte, das moralisch nicht zu rechtfertigen wäre. Wenn ich eine Schwachstelle finde und sie melde, dann arbeite ich ja darauf hin, dass etwas besser wird. Wenn Sie sehen, dass die Haustüre Ihres Nachbarn offen ist und Sie hingehen und sie schliessen, da betreten Sie ja wahrscheinlich auch seinen Privatboden.

Wo liegt die Grenze? Beim Hineingehen?

Ich denke, sie liegt beim Ergebnis. Dass da eine Schwachstelle war, ist ja nicht mein Fehler. Und das Ergebnis, dass sie weg ist, führt zu einer Verbesserung. Würde ich hacken zum Nachteil von Personen, hätte ich sicher auch ein schlechtes Gewissen.

Und hacken gegen Unternehmen?

Hacken zum Nachteil von Unternehmen, aber zum Nutzen der Allgemeinheit, da hätte ich keine Probleme.

Können Sie ein Beispiel geben?

Zum Beispiel das Hacken von Systemen, die bei Wahlen verwendet werden.

Das haben Sie ja zusammen mit Martin Tschirsich und Thorsten Schröder vor der Bundestagwahl 2017 getan?

Ja, wir haben uns die Software angeschaut, mit der in einigen Bundesländern die Wahlergebnisse ausgewertet werden. Wir haben mehrere Schwachstellen gefunden und einige Server übernommen – also einen Hack durchgeführt – und am Ende einen langen Bericht geschrieben, veröffentlicht, dem Hersteller und den Behörden mitgeteilt und so dafür gesorgt, dass diese Systeme sicherer wurden. Da hatte ich jetzt gar kein schlechtes Gewissen dabei, ganz im Gegenteil. Ein schlechtes Gewissen hätte der Hersteller haben sollen, der eine Software von so katastrophaler Qualität für eine so wichtige Aufgabe geliefert hat.

Und Ihre Intentionen waren immer gut?

2016 waren ja die Medien voll mit Berichten über russische Gruppen, welche die US-Wahl «gehackt» hätten. Und alle fragten sich: Und bei uns? Wäre das möglich? Das fragten wir uns auch und versuchten es. Und es ging. Ich gestehe, mich reizt es, solche Schwachstellen zu finden, das ist intellektuell und technisch herausfordernd. Man kann sich dann gegenseitig auf die Schulter klopfen und sagen: Toll, was wir da gehackt haben! Und am Ende sorgt man dafür, dass es niemand anderes mehr kann. Das ist doch ein gutes Ergebnis.

Hier liegen Sie ja auf einer Linie mit den Regierungen und Institutionen. Es gibt ja auch Hacks – in anderen Ländern - , die durchgeführt werden, um Daten zu stehlen und der Regierung oder Unternehmen unmoralisches Verhalten vorzuwerfen.

Wenn ich so etwas machen würde, würde ich es wahrscheinlich nicht hier erzählen.

Einverstanden. Aber es gibt es?

Ja, natürlich. Aber ich sehe hier auch eine rote Linie im Sinne der Allgemeinheit. Bei Unternehmen wären das die unbeteiligten Kunden oder andere Dritte. Wenn die dadurch zu Schaden kommen, ist das nicht in Ordnung. Andere würden vielleicht die rote Linie etwas anders ziehen. Aber man muss auch sehen, dass die Firmen, denen wir Schwachstellen melden, das nicht immer gut finden. Sie sehen nicht ein, dass das am Ende uns allen hilft – und es ihr Fehler war, dass es die Schwachstelle überhaupt gab.

Da bin ich jetzt nicht so sicher. Nehmen wir den Stratfor-Fall in den USA. Da wurde ein privater Informationsdienst gehackt und E-Mails geleakt, die auf allerhand illegale Dinge hinwiesen: Korruption, Bestechung, Steuerhinterziehung. Und es ging den Hackern auch darum zu zeigen, dass Stratfor nicht nur ein unabhängiger Beratungsdienst in Sachen Sicherheit ist, sondern eher ein privater Nachrichtendienst.

Ja, den kenne ich. Und was würden Sie jetzt sagen?

Das war kriminell, der geständige Hacker wurde zu zehn Jahren Gefängnis verurteilt, aber seine Gesinnung war ja auch nicht eigennützig. Wo wäre die rote Linie?

Da würden verschiedene Leute wohl zu verschiedenen Einordnungen kommen. Ich kann nur sagen: Es gibt Unternehmen, bei denen habe ich mehr Mitleid, wenn sie gehackt werden, und bei anderen habe ich weniger. Es gibt in der Hackerszene viele Akteure, die in Systeme einbrechen, Daten stehlen und dann die Unternehmen erpressen, indem sie sagen, sie würden sie veröffentlichen. Das finde ich nicht in Ordnung, weil es Hacken zum Eigennutz und nicht im Sinne allgemeiner demokratischer Werte ist.

Ist politisch intendiertes Hacking immer unmoralisch?

Sobald es politisch wird, bewerten wir in der Regel anders. Es gibt interessante Fälle. Nehmen wir den Fall, dass die USA und Israel eine Schadsoftware bauen, mit der die iranischen Zentrifugen, welche das Uran anreichern, gestört werden, …

… haben sie das wirklich gemacht? Ich glaubte, es sei immer noch offen, wer das war.

Nun, sie streiten es mittlerweile nicht mehr ab und es kommt kaum jemand anderes in Frage.

Und wie müssen wir das einschätzen?

Es kommt natürlich darauf an, ob ich das als Amerikaner oder Israeli bewerte oder als iranischer Bürger. Der würde das als einen Angriff auf die Infrastrukturen des Landes bewerten, der Amerikaner würde es als die friedlichste Intervention darstellen, die möglich war. Die Alternative wäre gewesen, die Anlage kaputt zu bomben mit der Gefahr von Kollateralschäden bis zu Toten und Verletzten. Es wäre eine der schonendsten Interventionen, die sie je durchgeführt haben.

Ja, meistens fliegen sie mit einer Drohne hin und töten einen General. Oder die Israeli schicken die Jets.

Je mehr Absichten im politischen Bereich dahinter liegen, desto schwieriger wird es. Meine grundsätzliche moralische Überzeugung ist: Ich bin ein Forscher. Ich finde Schwachstellen und melde sie. Ich bin kein Angreifer.

Kann man das unterscheiden?

Ja, das kann man schon. Der Unterschied liegt darin, ist es eine neue, eine unbekannte Schwachstelle? Forscher ist, wer Neues findet. Nun werden Schwachstellen nicht immer gefixt, wie es sein müsste. Dann haben wir ein Wissen, das man ausnützen kann. Mit welchen Absichten auch immer. Ich versuche auf der Seite zu sein, welche Schwachstellen sucht.

Ist man da schon auf der guten Seite?

Nein, man kann natürlich mit diesem Wissen auch anders umgehen. Man kann Schwachstellen verkaufen anstatt sie öffentlich zu machen. Es muss nicht einmal ein übler Kunde sein wie die organisierte Kriminalität oder ein Geheimdienst: Es gibt Unternehmen, die den Forschern Angebote machen à la: Wir zahlen dir viel Geld, wenn du uns eine Schwachstelle meldest, mit dem man ein Gerät angreifen kann, ohne dass es der Besitzer merkt. Diese Unternehmen verkaufen das Wissen dann weiter an «interessierte Stellen.»

Also die Siemens-Software hacken für den Stuxnet-Angriff auf die iranischen Zentrifugen?

Dass die Siemens-Software angreifbar war, das wussten auch die Iraner. Entscheidend war der Angriff des Windows-Systems das darunter lief. Die Iraner hatten ja ihre Anlage abgesichert und vom Internet abgeschottet betrieben. Die Angreifer haben eine Kombination bis dato unbekannter Schwachstellen genutzt, um dennoch einzudringen.

Sie trennen also die Schwachstelle und den kriminellen Akt?

Genau. Es gibt die Schwachstelle im Betriebssystem und es gibt das, was ich damit tun kann. Ich kann sie melden und damit allen Benutzern zu mehr Sicherheit verhelfen oder ich kann sie zu Geld machen oder anders ausnützen.

Und vorerst geheim halten?

Wir kennen ja die Fälle. „WannaCry“ und „Notpetya“ verursachten 2017 Milliardenschäden. Sie kamen maßgeblich in dem Ausmaß zustande durch eine Windows-Schwachstelle, die wenige Monate zuvor bekannt geworden war. Vorher hatte die NSA die Existenz der Schwachstelle mindestens fünf Jahre verheimlicht. Das Logistikunternehmen Maersk, die Pharmaunternehmen Beiersdorf oder Merck Sharp & Dohme und viele andere hatten riesige Schäden – und doch war es nur ein Bruchteil des Risikos, das die NSA für 5 Jahre täglich eingegangen ist, indem sie die Schwachstelle wissentlich auf Abermillionen von Rechnern beließen.

Was müsste man tun?

Die Unternehmen, die mir wirklich leid tun, sind die KMU. Sie kaufen sich eine IT, sogar mit Service und Wartung, und können doch nie sicher sein, dass sie nicht irgendeinem Angriff zum Opfer fallen.

Woran liegt das?

Eigentlich kann man in Europa nicht viel verkaufen ohne Haftung. Aber IT-Systeme sind ähnlich unreguliert wie verbotene chemische Substanzen. Sie können sich nirgends beschweren, man habe ihnen schlechten Stoff verkauft und können auch niemanden haftbar machen, wenn sie Schaden nehmen. Man hat den Software-Markt 20 Jahre lang ähnlich laufenlassen, da muss man sich nicht wundern.

Aber totale Sicherheit gibt es nicht.

Richtig. Jedes System hat Schwachstellen, bei einem System ohne Schwachstellen kennt man sie einfach noch nicht. Genau deshalb müssen wir dauernd darauf hinarbeiten, dass die Schwachstellen weniger werden und vor allem, dass wir die bekannten Schwachstellen nicht auf unseren Rechnern haben.

Die Hersteller in die Pflicht nehmen?

Ich weiss nicht, ob das so ohne weiteres geht. Das Einzige, was Hersteller bei Schwachstellen machen können, sind Updates. Das hat auch Vorteile. Nehmen wir zum Vergleich den Automobilmarkt. Der ist total reguliert, hat aber auch sehr hohe Eintrittsbarrieren. Ein neues Auto auf den Markt zu bringen, ist sehr anspruchsvoll. Bei Software ist das einfacher. Da wird die Innovation nicht behindert.

Wie gut sind die Programmierer der Riesen? Machen die den Hackern wirklich das Leben schwer?

Zuerst das Gute: In den letzten Jahren haben wir große Fortschritte gemacht. Die Unternehmen prügeln uns dazu, up-to-date zu bleiben. Auf der anderen Seite gibt es Einstiegslöcher, die seit Jahren bekannt sind, ohne dass etwas dagegen unternommen wird.

Ein Beispiel?

Bestes Beispiel ist Microsoft Office. Word hat ja diese Makro-Funktion, die jedes Word-Dokument in ein Programm mit beliebigem Eigenleben verwandeln kann – und somit auch in eine Schadsoftware.

Deshalb wird uns eingetrichtert, solche Dinger nie aufzumachen.

Wir können es aber! Und in vielen Unternehmen gibt es auch legitime Anwendungen von Makros. So werden die Nutzer darauf trainiert, Warnungen weg zu klicken und Makros auszuführen. Das geht jahrelang gut, bis ein einziger folgenschwerer Fehler das Unternehmen in den Abgrund reißt. Ist es wirklich ein Fehler der Nutzer, wenn eine Warnung, die viele Jahre lang jedes einzelne Mal bedeutungslos war, ignoriert wird?

Gäbe es andere Möglichkeiten?

Natürlich. Alle modernen Betriebssysteme unterstützen die Funktion, Software nur aus definierten vertrauenswürdigen Quellen auszuführen – eine der effektivsten Methoden gegen Schadsoftware.
Theoretisch geht das auch mit Office-Makros. Praktisch ist das in großen Organisationen aber kaum sinnvoll umsetzbar, weil Microsoft keine sinnvoll umsetzbaren Lösungen dazu anbietet. So haben wir dieses Problem inzwischen seit 20 Jahren ohne nennenswerten Fortschritt.

Und warum schränkt man Word nicht entsprechend ein?

Wenn ich das wüsste! Der Computer unterscheidet leider nicht zwischen gut und böse. Und deshalb funktioniert hacken.

Meistgesehen

Artboard 1