IT-Sicherheit Wo Hacker ihr unheimliches Handwerk lernen

Sie gelten als öffentlichkeitsscheu, verschwiegen und kriminell: IT-Spezialisten, die jeden Code entschlüsseln und in jeden Computer eindringen können. Doch wer bildet sie aus? Eine Reise an deutsche Hacker-Hochschulen.

  • Teilen per:
  • Teilen per:
Hacker Quelle: Dominik Asbach für WirtschaftsWoche

Es dauert nur wenige Minuten. Dann wechseln 182.000 Euro ihren Besitzer. Ein Computerwurm hat sich im System der Bank eingenistet, nimmt das Geld vom Konto des ahnungslosen Kunden und überweist es auf die Konten zweier Hacker. Die erhalten aber keine Strafe, sondern Applaus und eine Urkunde.

Verkehrte Welt? Keineswegs. Die Wurm-Attacke auf das fiktive Geldinstitut ist Teil eines Kurses an der Ruhr-Universität Bochum. Ein Semester lang lernen 20 angehende IT-Spezialisten, wie sie Passwörter knacken, Sicherheitslücken ausnutzen und fremde Konten kapern. Ein Rollentausch vom Studenten zum Computerknacker.

Stetiger Wachstum

Das Hacker-Praktikum gehört zum Studiengang IT-Sicherheit, für den in Bochum derzeit 500 Studierende eingeschrieben sind. Die Stadt im Ruhrgebiet hat sich in den vergangenen Jahren zum Sammelbecken für eine technikbegeisterte Subkultur entwickelt, kurz: für Hacker.

Und die Szene wächst – auch in Deutschland. Vor allem kriminelle Hacker sorgen für Schlagzeilen. Das deutsche Regierungsnetz wird nach Angaben des ehemaligen Bundesinnenminister Thomas de Maizière bis zu fünfmal pro Tag attackiert. 75 000 Fälle von Computerkriminalität gab es laut Bundeskriminalamt im Jahr 2009, so viele wie nie zuvor.

Auch aus diesem Grund ging vorvergangene Woche das „Nationale Cyber-Abwehrzentrum“ in Bonn online. Die neue Behörde, die beim Bundesamt für Sicherheit in der Informationstechnik angesiedelt ist, soll Informationen über Cyber-Angriffe sammeln und das Sicherheitswissen anderen Behörden sowie der Wirtschaft weitergeben. Bisher arbeiten dort aber gerade einmal zehn Spezialisten.

Chaos Computer Club

Deutlich mehr Hacker haben sich im Chaos Computer Club (CCC) organisiert. Der größte und bekannteste deutsche Hackerverein beschäftigt sich schon lange mit IT-Sicherheit und hat aktuell rund 3200 Mitglieder – vor zehn Jahren waren es noch halb so viele.

Besonders aktiv ist der CCC in Darmstadt, Berlin und München. Kein Wunder: Die renommierten Informatikstudiengänge locken regelmäßig computerbegeisterte Abiturienten an. Doch zu diesen klassischen Hacker-Hotspots gesellt sich längst auch die Uni Bochum.

Nur: Warum lehren staatliche Universitäten, wie man fremde Rechner angreift? Und wie verhindern sie, dass die Studenten ihr Wissen später für illegale Zwecke einsetzen? Antworten darauf gibt eine Reise zu den deutschen Hacker-Hochburgen: Darmstadt und Bochum.

Das Bochumer Praktikum ist bei den Studenten äußerst begehrt. Allein auf die aktuell nur 20 Plätze haben sich 50 Studenten beworben, erzählt Professor Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Genommen werden nur die besten.

Die büffeln zunächst Theorie: Welche Möglichkeiten gibt es, den Administrator-Zugang einer Web-Site zu übernehmen? Wie untersuche ich den sogenannten Quellcode, also die Programmierung einer Seite, auf Sicherheitslücken? Wie sind Computerviren aufgebaut?

Szene-Treff im Hinterhof

Danach erhalten die angehenden IT-Spezialisten einen praktischen Auftrag – wobei die Übungen von Woche zu Woche anspruchsvoller werden. Zu Beginn müssen die Hacker in spe meist nur eine verseuchte E-Mail an einen fiktiven Bankmitarbeiter schicken. Am Ende rauben sie mit ihren Würmern die gesamte Bank aus.

Ebenfalls im Ruhrgebiet haben Technikverrückte im Jahr 2005 den Hackerverein „Das Labor“ gegründet. Die Vereinsräume liegen abseits einer großen Hauptstraße in einem Hinterhofgebäude. Dort sitzen die Hobby-Hacker in einer Couchecke, die Laptops auf den Knien, die Augen auf den Bildschirm fixiert.

Im Raum nebenan steht noch eine Werkstatt mit Lötkolben, Platinen und Oszilloskopen. Hier versammeln sich nicht nur Computerfreaks, sondern auch Elektrotechniker, Maschinenbauer und Physiker. Sie nennen sich ebenfalls Hacker, denn so heißen in der Szene alle, die einen „kreativen Umgang mit Technik“ pflegen.

Räuber gegen Gendarm

Ein Euphemismus, gewiss. Schon oft haben Hacker geheime Daten oder sogar Geld erbeutet. Entsprechend viel Kritik erntete die TU Darmstadt, als sie 1999 als erste deutsche Hochschule ein Hacker-Praktikum anbot. Noch mehr Computerfreaks könnten ihre Fähigkeiten für kriminelle Zwecke missbrauchen, wurde befürchtet.

Um der Gefahr vorzubeugen, klären die Dozenten ihre Studenten zu Beginn jedes Vertiefungskurses über rechtliche Konsequenzen auf und verwiesen auf die Hacker-Ethik: Wer das Know-how nutzt, um damit illegal Profit zu machen, ruiniert in der Szene seinen Ruf und wird geächtet.

Datenklau ist daher – zumindest offiziell – nur unter Wettbewerbsbedingungen erlaubt. Weil aber gerade das die IT-Freaks immer wieder reizt, gibt es für Nachwuchshacker virtuelle Räuber-und-Gendarm-Spiele. Deren Ziel ist es, den eigenen Server zu schützen und gleichzeitig die Daten der gegnerischen Mannschaften auszuspionieren.

Regelmäßig treffen sich die Teams aus Bochum und Darmstadt zum Training, um sich auf den Saisonhöhepunkt im Dezember vorzubereiten. Dann findet der weltweit größte Hacker-Wettbewerb statt, bei dem über 70 Teams gegeneinander antreten. Knapp 1000 Hacker aus der ganzen Welt sitzen dann vor ihren Rechnern und programmieren um die Wette.

Es ähnelt einem Agenten-Thriller, wie sich die Hacker-Elite in den verschiedenen Kommandozentralen versammelt. In einem abgetrennten Netzwerk verschicken sie Viren und überlegen, wie sie ihre Schadprogramme unbemerkt auf dem gegnerischen Computer unterbringen.

In erster Linie geht es zwar um Spaß, doch der Ehrgeiz der Hacker groß. Das Team der TU Darmstadt, die Wizards of DOS, schafften es schon zweimal aufs Treppchen.

Genau darum geht es den Universitäten: Die Studenten sollen denken wie ein Angreifer – aber nicht, um das System auszuspionieren, sondern um es zu sichern.

Dass das ein schmaler Grat ist, weiß auch Thorsten Holz, Juniorprofessor an der Ruhr-Universität Bochum. Wer sich mit IT-Sicherheit beschäftigt, müsse „immer ein bisschen kriminelle Energie besitzen“. Zumindest im Geiste, wie er hinzufügt.

Kriminelle Energie

Der 29-Jährige spricht aus Erfahrung. Er ist selbst Hacker und seit Jahren Mitglied im CCC. 2010 erhielt er für einen seiner Coups einen Preis von der amerikanischen Netzwerkfirma Cisco. Gemeinsam mit einer internationalen Spezialistentruppe enttarnte er Server, auf deren Kommando täglich rund 50 Milliarden Spam-Mails verschickt wurden.

Holz erinnert sich mit Stolz an den Erfolg gegen die „Cracker“ – so nennen Insider die „bösen Jungs“ in der Szene. Solche Aktionen fördern sein Ansehen bei den Studenten. Doch selbst wenn erfahrene Sicherheitsexperten Vorlesungen halten – mit Zuhören ist es nicht getan.

Keine Freizeit

Vincent Immler hat schon vor seinem Studium viel Zeit investiert, um programmieren zu lernen. Es sei unerlässlich, sich in der Freizeit ausgiebig damit zu beschäftigen, wenn man irgendwann zum elitären Kreis der Hacker gehören wolle. „Das Studium alleine reicht nicht“, sagt er.

Deshalb besucht er das Bochumer Clubhaus, sooft er kann. Ständig hat dort eines der 60 aktiven Mitglieder eine neue Idee. Im Labor findet der Austausch statt, den die Universität nicht bieten kann. Und natürlich auch der Tratsch von Insidern über Insider.

Erst im Januar ergaunerten Hacker CO2-Zertifikate im Wert von 28 Millionen Euro. Daraufhin stoppte die EU vorübergehend den Emissionshandel. Auch der Stuxnet-Virus zeigte durch den Angriff auf eine iranische Atomanlage im vergangenen Jahr, dass der Cyberkrieg längst Realität ist.

Hinter solchen Aktionen steckt kein jugendlicher Einzeltäter, sondern oft ein professionelles Team oder gar Geheimdienste. Um die Bundesrepublik und ihre Bürger künftig besser vor Computerkriminellen zu schützen, fördert die Regierung nicht nur das Bonner Cyberabwehrzentrum, sondern seit Februar auch drei Kompetenzzentren für IT-Sicherheit an Universitäten. Für eine der drei Forschungseinrichtungen erhielt die TU Darmstadt den Zuschlag. Die Hessen bekommen mehrere Millionen Euro, um Internet-Betrug und Sabotage zu bekämpfen.

Digitale Attacken sind nach Diebstahl und Einbruch die größte Gefahr für den deutschen Mittelstand, resümierte die Unternehmensberatung Corporate Trust in ihrem Gefahrenbarometer 2010. Inzwischen haben auch Konzerne das Potenzial der Hobby-Hacker erkannt – meist unfreiwillig: Immer wieder veröffentlichen Cybereinbrecher Sicherheitslücken im System.

Belohnung für Hacker

Um dem vorzubeugen, zahlen manche Unternehmen lukrative Prämien, wenn ein Hacker Schwachstellen findet und diese diskret meldet. Bis zu 3000 Euro können die IT-Experten damit abstauben.

Ein weiterer Trend ist das Ausloben von Wettbewerben. Erst Ende 2010 gewannen IT-Spezialisten der Uni Bochum den Security Cup der Deutschen Post. 16 Teams aus aller Welt testeten dabei die InternetAnwendung des E-Postbriefs. Sechs Wochen lang überzogen Studenten der Ruhr-Universität die Seite mit Angriffen.

Bezahlte Hacker

Mit von der Partie war auch Frederik Braun. Er lässt keine Gelegenheit aus, seine Hacker-Fähigkeiten zu trainieren – denn nur wer ständig übt und gleichzeitig forscht, kann in der schnelllebigen Welt der IT-Sicherheit einen guten Job machen.

Am liebsten wollen Braun und viele seiner Kommilitonen sogenannte Pentester werden. Das sind bezahlte Hacker, die von Unternehmen angeheuert werden, um die eigenen IT-Systeme mit Angriffen zu attackieren und Sicherheitslücken zu finden.

Die jungen IT-Spezialisten haben aber noch andere Möglichkeiten. Viele Computerfirmen arbeiten eng mit den Universitäten in den Hacker-Hochburgen Deutschlands zusammen. Das Softwareunternehmen G Data zum Beispiel unterhält gemeinsame Forschungsprojekte mit der Ruhr-Universität Bochum, die Software AG mit Hauptsitz in Darmstadt wiederum lockt Informatik-Talente als studentische Hilfskräfte ins Unternehmen.

Gute Arbeitsplätze sind nur ein Anreiz, um sich dem Hacken zu verschreiben. Viele Nachwuchskräfte verfolgen damit auch ideelle Vorstellungen und sehen den Job als netten Nebeneffekt an. Jan Schejbal ist einer von ihnen.

Der 22-Jährige studiert in Darmstadt IT-Sicherheit und hat dort viele Informatiker getroffen, die seinen Technikwahn verstehen. Viele von ihnen identifizieren sich mit den politischen Ansichten der Piratenpartei. Seit 2009 ist auch Schejbal dort Mitglied und hat es sich zur Aufgabe gemacht, unbedarfte Internet-Nutzer vor den Risiken des Webs zu schützen.

Erst im vergangenen November knackte der gebürtige Frankfurter die Ausweis-App der Bundesregierung, zwei Monate später musste der elektronische Personalausweis dran glauben. Schejbal war es gelungen, den Pin des Benutzers ohne dessen Wissen abzugreifen. Solche Entdeckungen veröffentlicht der Hacker in seinem privaten Blog. Eine Möglichkeit, die viele IT-Freaks zur Kommunikation und Information nutzen.

Virenbaukästen

Ebenfalls beliebt sind sogenannte Mailinglisten. Über „bugtraq“ und „full-dis-closure“ erhält Schejbal täglich Neuigkeiten und Diskussionsbeiträge zum Thema IT-Sicherheit. Am wichtigsten ist dem Studenten der direkte Austausch mit seinen Hackerfreunden – entweder persönlich oder via Messenger. Wenn Freunde etwas empfehlen, kann er sicher sein, dass es interessant ist.

Von den zahlreichen Foren, in denen sich ausschließlich Cracker tummeln, hält sich Schejbal indes fern. Dort stellen die Bösen Virenbaukästen online und handeln mit ergaunerten Kreditkartennummern. Diesem kriminellen Treiben können auch die gewieften IT-Spezialisten der Hacker-Universitäten kein Ende setzen. Selbst wenn sie wissen, wie sie der Bank 182 000 Euro stehlen.  

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%