Selbsttest: Ich bin's, Ihr Hacker!

Wie gut schützen sich österreichische Unternehmen vor der wachsenden Zahl von Angriffen aus dem Internet? "Die Presse am Sonntag" ließ sich von einem Profi hacken – und wurde kalt erwischt.

20 Stunden: So lang hat Fabian Mittermair gebraucht, um Server und Website der „Presse“ ein Stück weit unter seine Kontrolle zu bekommen. „Wirklich schwer war es nicht, sobald ich die erste Lücke gefunden hatte, ging alles ganz schnell“, sagt der junge Hacker aus Südtirol und tippt ein paar Zeilen Programmcode in die Tastatur. „Schau, jetzt kann ich in deinem Namen E-Mails versenden oder Artikel auf eurer Website platzieren.“

20 Stunden. Lang ist das nicht.

Das große Glück: Fabian Mittermair ist zwar ein Hacker, aber einer von den Guten. Der Endzwanziger arbeitet als sogenannter White-Hat-Hacker beim Wiener Sicherheitsdienstleister SEC Consult. Schon im Herbst hat er sich im Auftrag der „Presse“ darangemacht zu testen, wie gut das Unternehmen sich und seine Daten vor Eindringlingen schützt. Die gute Nachricht: Obwohl der Profi einen Weg hinein gefunden hat, waren Kundendaten nie in Gefahr. Die Lücken, die er damals gefunden hat, sind mittlerweile behoben. Dass der digitale Einbruch überhaupt möglich gewesen ist, sei zwar bedauerlich, sagt er, aber bei Weitem keine Ausnahme.

Österreich unterschätzt die Gefahr. Die meisten Firmen in Österreich sind nur unzureichend auf die Gefahren aus dem Internet vorbereitet. „Die Unternehmen unterschätzen die Gefahr“, sagt Achim Kaspar, Österreich-Chef des Netzwerkausrüsters Cisco. Neun von zehn Firmen glauben sich in Sicherheit – machen sich aber nicht einmal die Mühe, die Programme wenigstens auf dem neuesten Stand zu halten. Andere Unternehmen halten sich für zu klein und zu uninteressant, um Ziel einer Attacke zu werden. „Eine klare Fehleinschätzung“, sagt Markus Robin, Geschäftsführer von SEC Consult. Denn mittlerweile laufen die meisten Angriffe in einem ersten Schritt vollautomatisiert ab.

„Jeder Rechner, der mit dem Internet verbunden ist, wird pro Stunde ein- bis zweimal auf Lücken abgeklopft“, sagt Robin. Dem Angreifer sei es egal, ob das Gerät bei einem Großkonzern in New York oder bei einem Mittelständler in Gramatneusiedl steht. Sobald das Programm eine Lücke finde, schlüpfe der Kriminelle durch und tobe sich aus.

„Ich mache im Grund nichts anderes“, sagt Fabian Mittermair. Auch er hat erst eine Armada von Programmen losgeschickt, die jedermann frei im Internet herunterladen kann. So klopfte er die „Presse“-Seite auf Schwachstellen ab. Ist die erste Lücke gefunden, geht es los: Mit ein paar Klicks manipuliert der frühere Netzwerktechniker zur Demonstration ein anfälliges Log-in-Feld, legt einen neuen Benutzer an – und schon ist er drin im System. „Jetzt habe ich mehr Rechte als ein Administrator. Mehr Macht kann man gar nicht haben“, sagt er. „Das ist eine altbekannte Lücke, die sich auch mit standardisierten Codes aus dem Netz ausnützen lässt“, sagt Mittermair. „Dafür muss ich keine Zeile programmieren können.“

Fake-President-Trick. Die meisten Cyber-Kriminellen verlassen sich heute aber nicht mehr auf die Technik allein. Immer häufiger wird sie nur verwendet, um Menschen zu manipulieren und so an Daten oder Geld zu gelangen. So geschehen vor wenigen Wochen in Ried im Innkreis, am Stammsitz des Flugzeuglieferanten FACC. Niemand Geringerer als der Vorstandsvorsitzende selbst forderte eine Mitarbeiterin in den Weihnachtstagen via E-Mail auf, rasch 50 Millionen Euro zu überweisen. Grund sei eine geheime Firmenübernahme, absolute Verschwiegenheit daher selbstverständlich. Dumm nur, dass das E-Mail nicht vom FACC-Chef kam, sondern von einem Betrüger, der sich Zugang zu den Mailservern des Unternehmens verschafft hatte. Dieser Angriff ist bekannt als Fake-President-Trick und wird bei Kriminellen immer beliebter.

Auch „Die „Presse“ war beim Selbsttest nicht gefeit davor. Der beauftragte Hacker konnte problemlos E-Mails im Namen der Chefredaktion oder der Geschäftsführung verschicken. Umso wichtiger sei es, eine zweite Sicherheitsebene einzubauen, sagt Markus Robin: „Ein E-Mail ist wie eine mit Bleistift geschriebene Postkarte. Alles kann verändert und von allen mitgelesen werden.“ Die technischen Mittel, um die Echtheit des Absenders zu überprüfen, seien längst da. Nur verwendet würden sie zu selten. Dann bleibe wenig übrig, als jedem verdächtigen E-Mail nachzutelefonieren.

Verschwinden 50 Millionen vom Firmenkonto, dann hat das immerhin einen Vorteil: Es fällt intern rasch auf. Das ist nicht immer so. Bei digitaler Betriebsspionage etwa haben die Angreifer guten Grund, sich so lang wie möglich zu verstecken. Im Schnitt dauert es daher 205 Tage, bis ein Unternehmen einen digitalen Einbruch entdeckt. Wie viele Zahlen aus der IT-Sicherheitsbranche ist auch diese nur eine Annäherung. So wie die 400 Milliarden US-Dollar, die der Softwareanbieter McAffee als globale Schadenssumme für die zig Millionen Cyber-Angriffe im Jahr 2014 nennt. Klar ist: Kriminelle nutzen das Internet verstärkt, um Firmen anzugreifen und diese haben zunehmend Probleme, den Attacken standzuhalten.

Gefährliche Mythen. Das liegt auch daran, dass sich einige Mythen allzu hartnäckig halten: Die Verschlüsselung von Daten gilt vielen als Allheilmittel, lässt sich aber meist mit geringem Aufwand knacken. Eine Firewall ist nützlich, aber weit davon entfernt, absolute Sicherheit zu bieten. Sie hat hunderte Türen, von denen immer einige offen stehen. Es brauche einen Paradigmenwechsel, sagt Cisco-Chef Achim Kaspar. Statt immer erst aktiv zu werden, wenn etwas passiert, müssten sich die Unternehmen „vor, während und nach einem Angriff“ um ihre Sicherheit kümmern.

Weltweit nehmen sich immer mehr Vorstände diese Warnung zu Herzen und gehen dazu über, Feuer mit Feuer zu bekämpfen. Sie engagieren professionelle Hacker von Unternehmen wie SEC Consult, um sich gegen die Eindringlinge zu wappnen. Das Match heißt fortan: White-Hats gegen Black-Hats. Black-Hats – früher als Cracker bekannt – sind die digitalen Bösewichte, die Betrüger und Erpresser. Diejenigen, die in Unternehmen eindringen, Computer kapern, Lösegeld fordern oder einfach nur zerstören wollen.

White-Hats wie Fabian Mittermair können idealerweise dasselbe oder mehr, stellen sich aber in den Dienst der guten Sache. Er sei stolz darauf, ein Hacker zu sein, sagt der Südtiroler: „Schließlich waren Kopernikus und Galileo auch Hacker.“ Sie suchten nach Möglichkeiten, Dinge anders und kreativ zu nutzen. Was man mit diesem Wissen mache, sei eine Frage der Einstellung. „Es ist wie im echten Leben“, sagt er. „In jeder Branche gibt es Menschen, die dich ausrauben, und Menschen, die dir helfen.“

Der größte Unterschied für ihn: Bei SEC Consult dürfen die Hacker immer nur so weit gehen, wie es die Kunden erlauben. „Man muss seine Neugier schon unter Kontrolle haben“, sagt er. Aber die Verlockung, aus Neu- oder Geldgier auf die dunkle Seite zu wechseln, sei kleiner als man denkt.

„Wir bekommen hier Technik in die Hand, die andere erst in fünf Jahren sehen“, sagt Mittermair. Als die ersten Smart-Meter auf den Markt gekommen sind, waren sie für ihn schon ein alter Hut. „Da verliert man schnell das Interesse, das WLAN vom Wirten aufzumachen, um sich ein Gratisbier zu bestellen.“

Goldene Zeiten für Hacker. Glaubt man der Investmentbank Bank of America Merrill Lynch, haben Hacker wie er eine goldene Zukunft. Schon heute schätzt das Geldhaus den Markt für Hacker-Abwehr auf 75 Milliarden US-Dollar (68,2 Milliarden Euro) pro Jahr. Bis 2020 soll er auf 170 Milliarden Dollar steigen. Dann, wenn nicht nur die Computer, sondern auch Stromzähler, Kühlschränke und Uhren mit dem Netz verbunden sind. Dieses Internet der Dinge bauen Technologiefirmen als nächsten Boommarkt auf. Für die Sicherheitsexperten ist es derzeit die größte Bedrohung. Die Hersteller hätten die Möglichkeit, ihre Geräte technisch sauber und sicher zu bauen, sagt Markus Robin. Nur tun sie es in der Regel nicht.

EU zwingt Firmen zum Aufrüsten. Zumindest in Europa müssen die Unternehmen wohl bald auf die steigenden Gefahren aus dem Netz reagieren. Im Dezember hat sich die EU auf das erste europäische Gesetz zur Cyber-Sicherheit (Richtlinie für Netz- und Informationssicherheit) geeinigt, das Mitte des Jahres in Kraft treten soll. Internetkonzerne, aber auch Firmen aus der Energie-, Verkehrs-, Gesundheits- oder Finanzbranche müssen dann Angriffe auf ihre Systeme melden und sich besser gegen diese schützen. Andernfalls drohen Strafen. Während Österreich erst an der Umsetzung dieser Richtlinie arbeitet, hat Deutschland schon im Sommer gesetzliche Mindeststandards für die Unternehmen festgelegt.

In der Gesetzgebung hinkt Österreich dem Nachbarland also hinterher, in Sachen Hacker-Abwehr mit Sicherheit nicht. Die Speziallehrgänge für IT-Security an der TU Graz sowie an den Fachhochschulen Hagenberg, St. Pölten und Wien zählen zu den besten in der Region. Auch als Fabian Mittermair sich entschieden hat, vom Netzwerkspezialisten zum professionellen Hacker zu werden, war rasch klar, dass es „ohne Uni kaum etwas werden wird“.

Er habe sich für die FH St. Pölten entschieden, „weil hier am wenigsten Mathematik gefordert wird“, sagt er verschmitzt. „Hacken lernt man an der Uni aber nicht.“ Man könne sich dort Handwerkszeug und ein besseres Verständnis für die Zusammenhänge abholen. Zum echten Hacker werde man erst in vielen Stunden Selbststudium vor dem eigenen Computer und im Austausch mit Gleichgesinnten.

Doch er ist überzeugt, dass sich der Aufwand lohnt. Denn Arbeit gibt es für Berufshacker wie ihn mehr als genug. Die Entwicklung aus Deutschland werde „viel schneller nach Österreich kommen, als viele Unternehmen denken“, bekräftigt auch sein Chef, Markus Robin. Wenn sich deutsche Unternehmen künftig besser vor Angriffen aus dem Netz schützen und gewisse Mindestanforderungen erfüllen müssen, dann würden das auch bald ihre Zulieferer diesseits der österreichischen Grenze zu spüren bekommen.

Österreichs Firmenchefs müssen an der digitalen Front aufrüsten – damit auch Profis wie Fabian Mittermaier das nächste Mal länger als 20 Stunden brauchen, um ihr Unternehmen zu knacken.

("Die Presse", Print-Ausgabe, 28.02.2016)