Düsseldorf Fast 1100 Bewerber für rund 20 Plätze. Selten sind Studenten so begierig, etwas lernen zu dürfen. Doch dieses Praktikum hat es in sich: Sie lernen, Geld von Bankkonten abzuzweigen, Viren, Würmer und Trojaner im Internet zu verbreiten oder Passwörter zu entschlüsseln – kurz: Hacking.
Einmal in der Woche lernen die Studenten der Fachrichtung Sicherheit in der Informationstechnik an der Universität Bochum, wie sie in fremde Computersysteme und Internetseiten eindringen und Daten manipulieren können. Der Grundgedanke hinter dem „Hacker-Praktikum“ sei eigentlich ganz einfach, sagt Betreuer Mario Heiderich: „Ein System ist häufig verstärkt angreifbar, weil jemand einen Fehler bei der Programmierung oder Einrichtung gemacht hat. Und nur wenn man diesen Fehler kennt, kann man ihn beheben.“
Die Übungsmöglichkeiten der Praktikanten sind allerdings stark begrenzt. Hacking ist illegal. Wer ertappt wird, muss mit einer Anklage und im Zweifelsfall mit Gefängnis rechnen. Im „HackerPraktikum“ versuchen sich die Studenten deswegen auf speziellen Testseiten, wie nahezu original getreue Kopien von Bankenwebseiten.
Die Liste von Unternehmen, die Opfer von Hackerangriffen wurden, ist lang: Sony, Rewe, Citygroup und selbst der amerikanische Rüstungshersteller Lockheed Martin wurden bereits erfolgreich gehackt. Jüngst warnte Shells IT-Manager Ludolf Lühmann vor den Folgen einer neuen Dimension von Hackerangriffen. Direkter Zugriff auf Produktionsbereiche, wie etwa Öffnen oder Schließen von Ventilen, könne im Zweifelsfall Leben kosten. Als Beispiel nannte er laut einem BBC-Bericht den Stuxnet-Virus, der im vergangenen Jahr die Rotationsfrequenz von Anreicherungszentrifugen eines iranischen Atomkraftwerks manipuliert hatte.
Bisher blieb es in den meisten Hacking-Fällen jedoch beim Klau von Daten. Sie sind gefragt: Der Markt für Adressen, Kontonummern, Passwörter, aber auch Produktdaten, floriert. Zum Teil sogar auf öffentlich einsehbaren Internetseiten werben die Cybereinbrecher für ihr Diebesgut. Und dennoch bleiben viele Kriminelle unbehelligt: Sie wissen gut, wie sie ihre Spuren verwischen können, während den Opfern die Hände gebunden sind – denn „zurückhacken“ ist illegal.
Manche Website ist nicht sicher programmiert
Hundertprozentig kann sich niemand vor Hacking schützen, solange das Computersystem ans Internet angeschlossen ist. „Heutzutage existiert verschiedenste Software, die es jedem einfach ermöglicht, eine Website zu betreiben“, sagt Tilman Frosch, nicht jede davon sei sicher programmiert. Er gehörte zu den ersten Organisatoren des „HackPra“, wie sie es nennen, und teilt sich ein Büro mit Mario Heiderich.
Die beiden sind Experten auf ihrem Gebiet. Ihre Hacking-Fähigkeiten machen sie auch für Firmen besonders interessant. Mario Heiderich hilft Microsoft und Dax-Unternehmen bei der Suche nach Sicherheitslücken. Bei der Frage, wem und wie er Konzernen gegen Hacker helfen würde, verstummt Heiderich. Er habe Verträge unterschrieben, begründet er seine Verschwiegenheit. Die Nachfrage nach Sicherheitsexperten steige jedoch. Viele Unternehmen hätten sich in den vergangenen zehn Jahren angesichts der wachsenden Bedrohung in einem Dornröschenschlaf befunden, so der Doktorand.
Darüber sprechen will kaum jemand, Sicherheitsprobleme sind schlecht fürs Geschäft. Dass es auch anders geht, zeigen Unternehmen wie Google, Mozilla oder Facebook. Sie zahlen sogenannten „Whiteheads“, Hacker ohne kriminelle Absicht, einen Erfolgsbonus um die 3000 Dollar, wenn sie auf einen Fehler aufmerksam machen.
Diesen zu finden, ist jedoch alles andere als einfach. „Viele denken, in ein System einzudringen ist so einfach, wie über eine Mauer zu klettern“, sagt Stephan Frank. Der 23-Jährige ist im fünften Semester und sitzt ebenfalls im „HackPra“. Aber es gelte eben nicht, etwas aktiv zu überwinden, sondern einen Fehler zu suchen. Und das sei wesentlich schwieriger, sehr technisch und gar nicht so „cool“, wie es oft in Büchern oder Filmen dargestellt werde.
