G DATA / Cybersicherheit in Zahlen 2024

Was ist ein Hacker? Da gibt es Menschen, die in Computer eindringen, weil sie Daten suchen, die sie stehlen können. Oder die Wege finden, um den Rechner zu verschlüsseln oder sein Netzwerk außer Betrieb zu setzen, um damit Lösegeld zu erpressen – das sind Hacker. Ebenso passend wäre zu sagen: Kriminelle. Sicherheitslücken zu finden und zu schließen, die Kriminelle nutzen könnten – auch das sind Hacker. Beziehungsweise: IT-Schützer. Einige Menschen drängen in Computer ein, um Daten zu finden, mit denen sie Menschen schützen können, etwa im Kampf gegen Kriminelle oder in Kriegen, auch sie sind Hacker. Und oftmals Beamte. Und schließlich gibt es noch hackende Modelleisenbahner. Die haben das Hacking sogar erfunden. Das war Anfang der Sechzigerjahre am Massachusetts Institute of Technology (MIT), als die Mitglieder des universitären Modelleisenbahn-Vereins Tech Model Railroad Club (TMRC) einen Weg suchten, um ihre gigantische Anlage zu automatisieren – es war zu mühselig, die vielen Züge und Signale von Hand zu bedienen. Mit dem Computer der Universität wäre das ein Klacks gewesen, aber Rechner waren damals nicht nur riesig, sonder auch selten, teuer und begehrt. Zeit an den Maschinen bekamen deshalb nur wichtige Projekte. Also mussten sich die jungen Männer etwas anderes einfallen lassen. Und das nannten sie „Hacks". So wurden sie zu den ersten Hackern der Welt. Sie waren also ganz normale Studenten, doch mit den Jahren entwickelten sich viele von ihnen zu Erbauern, Entwicklern und Innovatoren der digitalen Welt: Alan Kotok wurde Mitglied des „World Wide Web Consortium", das bis heute die Standards des Internets entwickelt. John McCarthy war ein Begründer des Forschungszweigs Künstliche Intelligenz. Sein Kommilitone Steve Russell entwickelte das erste professionell vertriebene Videospiel „Spacewar!". Und Richard Greenblatt, der das erste Schachprogramm entwarf, das Turniere spielte, gilt als ein Begründer der Hacker-Community. Im Rückblick scheint es, als hätte sich zufällig eine Gruppe Hochbegabter getroffen und dabei das Hacking erfunden. Aber vielleicht ist es genau umgekehrt – und diese Männer und diverse andere Kommilitonen wurden zu IT-Innovatoren, gerade weil sie Hacker waren. Denn Hacking ist zuerst einmal eine Art des Denkens.

Frühwarnung vom Urvater

Ein Hacker sei jemand, der Würstchen in der Kaffeemaschine warm macht, wenn er keinen Topf hat, soll Wau Holland gesagt haben, der Urvater der deutschen Hackerszene. Holland und andere Hacker seiner Generation waren nicht nur einfallsreich, sonder in den Achtziger die ersten kritischen Beobachter der fortschreitenden Digitalisierung. Sie warnten schon damals vor den Gefahren für die Datensicherheit und durch die Datenfreiheit. Heute würden sie Hacktivisten genannt werden. Um ihren Argumenten Gewicht zu verleihen, verübten sie selber Hacks, die zeigen sollten, wie anfällig viele Systeme waren: 1984 drangen Holland und sein Kollege Steffen Wernéry in das Bildschirmtext-System (BTX) ein, jenes ersten Online-Angebots der staatlichen Bundespost, das Telefon und Fernsehen interaktiv vernetzt hatte. Damit zeigten sie zum ersten Mal öffentlich in Deutschland, wie anfällig Daten in Netzwerken sein können.

Klone, Trojaner und ein Einbruch bei der Nasa

Solche Aktionen gab es hierzulande immer wieder: 1987 drangen deutsche Hacker in ein von der Nasa betriebenes System ein. 1997 zeigten sie, wie sich Mobilfunkkarten klonen lassen. 2006 demonstrierten sie, dass sich Wahlcomputer manipulieren lassen. 2011 veröffentlichten sie den „Staatstrojaner", eine staatliche Spionagesoftware. Die meisten dieser Aktionen münden in eine „Responsible Disclosure*: Werden Schwachstellen gefunden, informieren die Hacker den Hersteller und geben ihm eine gewisse Frist, um das Problem zu beheben oder zumindest darauf zu reagieren. Im Gegensatz dazu steht die „Full Disclosure", wo alle Funde sofort veröffentlicht werden. Das kann ethisch und juristisch allerdings sehr heikel sein, zum Beispiel wenn es um potenziell gefährliche Maschinen wie Waffen geht. Oder um weitverbreitete Systeme und Programme, deren Ausfall bei einem Angriff massive Schäden verursachen kann. Hacker, die ohne Erlaubnis in ein System eindringen, aber grundsätzlich gute Absichten hegen, werden „Grey Hats" genannt, Grauhüte. Daneben gibt es „White Hats", Hacker, die im Auftrag von Unternehmen und Organisationen in Computer eindringen, um die Systemsicherheit zu überprüfen. Und Cyberkriminelle heißen „Black Hats". Lange war das Bild des Hackers vor allem von den „Grey Hats" geprägt – und von Kids, die aus Spaß irgendwo eindringen, ohne zu wissen, was sie tun. Der Hollywood-Film „War Games“, in dem ein jugendlicher Hacker fast einen Atomkrieg auslöst, hinterließ dabei im kollektiven Bewusstsein eine tiefe Spur. Inzwischen aber stehen die „Black Hats" im Fokus, was auch ein Symptom für den durchschlagenden Erfolg der Digitalisierung ist. Ihre kriminellen Raubzüge sind nur deshalb möglich, weil die Welt vernetzt, der Geldverkehr weitgehend digitalisiert und Unternehmen von Daten abhängig sind, beziehungsweise Daten den Kern ihres Geschäftsmodells bilden. Es heißt, jede größere kriminelle Vereinigung, von der Mafia bis zu den Triaden, betreibt inzwischen Cyberkriminalität. Das ist nicht überprüfbar, aber realistisch, denn der Bereich ist lukrativ: Betrug der Umsatz im Drogenhandel 2023 weltweit rund 500 Milliarden Dollar, lag – allein in Deutschland – der Schaden durch Cyberkriminalität 2023 bei 148 Milliarden Euro! Ein erheblicher Teil dieser Summe beziffert zwar Betriebsausfälle, die Kriminellen kein Geld einbringen, aber auch sie nützen ihnen – als der Wirtschaft angsteinflößende Beispiele. Zudem stehen dem Versprechen eines potenziell hohen Gewinns Investitionen gegenüber, die sich im Vergleich zu anderen Verbrechen in Grenzen halten: Wer Drogen schmuggeln wil, braucht eine Lieferkette, an der zahllose Menschen mitverdienen, von den Kurieren bis hin zu korrupten Staatsdienern. Für Cyberverbrechen hingegen sind neben der technischen Ausrüstung nur gute Hacker nötig. Und die werden oft in Ländern rekrutiert, in denen selbst für hochbegabte IT-Spezialisten mit ehrlicher Arbeit wenig zu holen ist. Allein in der Ransomware-Gruppe, die Anfang des Jahres Ziel der internationalen Polizeiaktion LOTeration Endgame* (siehe Seite 56) war, kamen sieben der acht Mitglieder aus Russland. Wer solche Leute anheuern will, muss zumindest anfangs nicht viel bezahlen. Und ist erst mal jemand Teil der Mafia oder ähnlicher Organisationen geworden, ist der Ausstieg fast unmöglich.

Kriminelle im Staatsdienst

Das gilt erst recht für kriminelle Hacker im Staatsdienst. Nordkorea etwa ist bekannt für Hacks bei Kryptowährungen; 2022 soll die Diktatur damit 1,7 Milliarden Dollar eingenommen haben. Mit Konsequenzen muss dort niemand rechnen: Wo der Staat Auftraggeber ist, haben Black Hats nichts zu befürchten. Das gilt in gewissem Rahmen allerdings auch für die Organisierte Kriminalität, deren Attraktivität nicht zuletzt auf dem Versprechen von Schutz beruht. Wer in der Lage ist, Leute zu schützen, die auf offener Straße Koks verkaufen, kriegt das erst recht bei Personen hin, die ständig am Rechner sitzen und nie das Haus verlassen. Jedenfalls steigen die polizeilich erfassten Falle von Cyberkriminalität stetig. Waren es 2007 in Deutschland noch rund 34.000 Fälle, sind es 2023 schon rund 134.000 gewesen. Ein bescheidener Anstieg? Nur von Weiter betrachtet: Der Branchenverband Bitkom geht davon aus, dass gerade mal 14 Prozent der Geschädigten zur Polizei gehen. Stimmt das, liegt die Zahl der Geschädigten bei rund einer Million. Die steigende Cyberkriminalität ließ in den vergangenen Jahren auch die Nachfrage für Cybersecurity wachsen, zu der unter anderem die Einsätze von Hackern gehören, die Systeme auf ihre Lücken überprüfen und Schwachstellen suchen – das sogenannte Pentesting. Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2), die in Deutschland ab Oktober 2024 umgesetzt wird und Organisationen wie Unternehmen zu Sicherheitsmaßnahmen gegen Cyberattacken verpflichtet, wird diesen Bedarf noch verstärken. Die zuständigen Behörden rüsten in dem Bereich ebenfalls seit Jahren auf – und so ist Hacker mitterweile ein Berufsbild mit hohem Marktwert. Pür die allgemeine Sicherheit ist das gut, für staatliche Stellen allerdings ein echtes Problem. Denn sie müssen auch Hacker nach Tarif bezahlen und können deshalb nicht annähernd Gehälter wie in der freien Wirtschaft bieten. Was also zieht mehr als viel Geld? Commitment. Wirksamkeit. Und ein bisschen der Thrill. Das erfährt man von Lukas, der anders heißt, aber als Hacker des Bundesnachrichtendienstes (BND) anonym bleiben muss. Lukas ist ein Staatshacker des Geheimdienstes. Im Gespräch wirkt er ruhig und überlegt, vielleicht ein wenig emotionslos. Doch das trügt:

„Ich habe mich schon zu Schulzeiten fürs Hacken interessiert. Später habe ich an ,Capture The Flags' teilgenommen, also diesen offiziellen Hacker-Wettbewerben. Bei denen müssen Schwachstellen gefunden und andere Aufgaben gelöst werden. Um was zu lernen, muss man es üben, und da konnte ich hacken, ohne illegal zu sein. Außerdem hat das einen sportlichen Charakter. Denn es kommt unter anderem auf Zeit an. Wer schafft es am schnellsten? Das war cool. Da hat mich auch mein erster Arbeitgeber gescoutet, eine Pentesting-Firma, wo ich quasi professionell nutzen konnte, was ich vorher sportlich gemacht habe. Mir ging es bei den Wettbewerben vor allem darum, mir selbst zu beweisen, dass ich etwas schaffe, selbst wenn ich vorher tausendmal gescheitert bin. Das ist etwas, das ich auch von Freunden kenne, die ebenfalls Hacker sind. Dieser Erfolgsmoment ist ein großer Motivator. Und der zieht sich auch bei unseren Hackern beim BND durch. Es gibt sicherlich Leute, die das machen, weil sie damit viel Geld verdienen können. Aber bei denen, die ich kenne, ist die Motivation eher: Das macht Spaß, ich habe Lust darauf, es ist irgendwie interessant. Bei uns ist es sehr, sehr wichtig, die Technik wirklich zu beherrschen und immer auf dem neuesten Stand zu sein, zu wissen, was gerade benutzt wird, Trends zu kennen. Außerdem braucht man in unserem Bereich ein leicht abgeändertes Mindset. Anders als bei den Pentests. Die sind am Ende Aufträge, um die Sicherheit eines Systems zu überprüfen. Sie haben einen festen zeitlichen Rahmen, und es gibt bestimmte Sachen, die erlaubt sind oder eben nicht. Das ist mit unseren Operationen nicht vergleichbar. Ich sage es mal provokant: Wir machen das echte Hacking. Wir dringen in Netze im Ausland ein, zur Informationsbeschaffung für die Bundesregierung. Und das Eindringen darf ebenso wenig bemerkt werden wie der Export von Daten. Wir wollen dort möglichst lange drinbleiben. Deshalb kommen bestimmte Skills zum Tragen: Wie sorge ich dafür, dass ich nicht entdeckt werde: Wie halte ich mich in Netzwerken langer auf? Wie schaffe ich unsichtbar Daten raus? Das sind alles Dinge, die man im Pentesting nicht so intensiv hat. Ein einfaches Beispiel: Ich sitze bei einem Einsatz auf keinen Fall am Rechner, tippe und drücke Enter. Ich bereite die Befehle vor, kopiere sie rein und drücke dann Enter, um Tippfehler zu vermeiden. Das alles ist wirklich sehr spannend. Und das ist genau der Punkt, warum ich gewechselt habe. Als Pentester war immer klar, wenn ich auffalle, sage ich, wer ich bin, und es ist erledigt. Jetzt führe ich echte Operationen durch mit echter Informationsbeschaffung. Und wenn ich hinterher sehe, was der Auswerter geschrieben hat, habe ich das gute Gefühl, dass meine Arbeit einen Effekt hat. Sie hat einen Wert. Also, die Leute kommen nicht wegen des Gehalts zu uns, sondern weil sie hier geilen Scheiß machen. Zwar wird jeder im Bereich Hacking, der möchte, nach einer Wartezeit verbeamtet. Aber man muss ehrlich sagen, das Tarifrecht ist für Hacker nicht so attraktiv. Wir zablen eine Zulage, brutto etwa 1.000 Euro, was den Schmerz ein bisschen lindert. Es ist eben nur nicht konkurrenzfähig mit Google. Privat über meinen Job reden kann ich natürlich nicht. Meine engste Familie, Eltern, Geschwister und so, wissen, wo ich arbeite. Die fragen nicht nach Details. Im Freundeskreis ist es unterschiedlich. Ich habe zwei sehr enge Freunde, die auch Hacker sind und meinen Werdegang kennen. Denen kann ich nicht sagen: Ich mache im Finanzamt Schöneberg die IT. Denen habe ich die Wahrheit gesagt. Aber wenn mich sonst jemand fragt, was tch mache, antworte ich: Ich bin Beamter, ich richte die Drucker in einer Verwaltungsbehörde ein. Da will garantiert keiner mehr Genaueres wissen."

Wenn man so will, arbeiten amtliche Hacker wie Lukas für die Vorwärtsverteidigung moderner Staaten. Sie werden gebraucht, solange es Autokraten, Diktatoren, Oligarchen gibt, die für ihr Ego, ihre Macht, ihren Reichtum die Welt bedrohen. Dagegen ist landläufige Cyberkriminalität so etwas wie der Gradmesser für den Entwicklungsstand der Digitalisierung. Am Anfang gab es solche Verbrecher nicht, weil es schlicht nichts zu holen gab. Heute gleicht die Situation eher dem Wilden Westen: Noch haben Datenräuber und -hehler allzu gute Chancen, nach ihren Beutezügen unbehelligt davonzukommen. Immer wieder bieten Banden Hacking als „Service" an: Für kleines Geld, oft wohl weniger als 1.000 Dollar, werden entsprechende Schadprogramme plus Web-Adressen potenzieller Opfer verkauft. Doch vermutlich haben es viele Möchtegern-Diebe bei einem Versuch belassen. Denn kriminelles Hacken erfordert Geduld, Geschick, Einfallsreichtum und Organisation. Allein die nötige Geldwäsche, die in der Regel über die Konten ansonsten unbeteiligter Menschen läuft, ist immens aufwendig – und nichts für Amateure. Es sind nur wenige Fälle bekannt, in denen ein Einzeltäter ein populäres, weitverbreitetes Programm mit einer illegalen „Hintertür" versehen hat, die es ermöglicht, über lange Zeit in unzählige Computer einzudringen und dort Schaden anzurichten. Für das Gros der Angriffe braucht es Opfer, die ahnungslos oder leichtsinnig in die Fallen der Täter tappen. Denn die weitaus meisten Cyberstraftaten fußen auf der unfreiwilligen Mitarbeit der Opfer – ob es nun um Schadprogramme geht, den Aufbau von Botnetzen oder den Identitätsdiebstahl durch Doxing. So nennt man das Sammeln personenbezogener Daten im Internet, die zu einer Art Fake-Profil zusammengeführt werden. Immer braucht es jemanden, der gedankenlos Daten hinterlässt, auf fragwürdige Links klickt, dubiose Anhänge öffnet oder einen Datenstick in den Computer steckt, den er auf der Straße gefunden hat. Passiert tatsächlich.

Hacking ist schlau und ansteckend

Um jemanden zur Freigabe sensibler Daten zu bewegen, sind die schwarzen Schafe unter den Hackern zunehmend raffinierter geworden im Ausnutzen von Hilfsbereitschaft und Empathie. Ein beliebte Betrugsmasche war vor einigen Jahren ein E-Mail-Scam, bei dem häufig „nigerianische Prinzen" behaupteten, sie hätten ganz viel Geld, bräuchten aber Hilfe (also echtes Geld), um es zu nutzen. Auch heute versuchen vorgeblich wohlhabende Menschen noch, mit dieser Masche Beute zu machden. Es sind aber auch gefakte Hilfsaufrufe zum Schließen vermeintlicher Sicherheitslücken, die zum Desaster führen: ein Klick – und ganze Stadtverwaltungen werden lahmgelegt. Doch die Gesellschaft lernt dazu. Wer einmal verstanden hat, dass unangekündigte E-Mails von fragwürdigen Absendern nicht vertrauenswürdig sind, klickt nicht mehr drauf. Der Wilde Westen wird gezahmt. Denn die gute Nachricht ist: Hacking ist schlau und ansteckend. Gute Hacker sind Menschen, die fragen: Wie funktioniert das? Wie komme ich damit weiter als angenommen? Die andere Art zu denken – sie ist ein Erfolgsmodell, und die ganze Geschichte der Digitalisierung ließe sich als permanenter Hack erzählen, der äußerst gut funktioniert. Übrigens, der Computer, den die MIT-Studenten Anfang der Sechziger ersetzen wollten, um ihre Modelleisenbahn zu automatisieren, hatte nur einen Bruchteil der Kapazität jener Gerate in unseren Taschen, die wir nur noch aus Gewohnheit Telefone nennen.

Dieser Text stammt aus unserer Redaktion Corporate Publishing.