zur Navigation springen

IT-Sicherheit : Hacker Tobias Schrödel: „Auf der weißen Seite“

vom

Der Hacker, Sicherheitsberater und Buchautor Tobias Schrödel kennt die Tricks der Kriminellen - und erklärt, was Nutzer davon lernen können.

Flensburg | Tobias Schrödel ist bekannt als „Deutschlands erster IT-Comedian“. Der Fachinformatiker hat viele Jahre international tätige Dienstleister der Informations- und Kommunkationsbranche beraten. In unterhaltsamen Vorträgen klärt er außerdem Mitarbeiter und Manager über IT-Sicherheit auf. Daraus entstand das Buch „Ich glaube, es hackt!“ Es erklärt in 149 Kapiteln, welche Waffen Hacker einsetzen und welche Abwehrmöglichkeiten es gibt. Im Interview sprach er darüber mit Redaktionsmitglied Tobias Fligge.

Herr Schrödel, haben Sie heute schon eine Spam-Mail bekommen?

Tatsächlich, mir wurde von einem unbekannten Absender ein elektronisches Fax als ausführbare zip-Datei geschickt. Die habe ich natürlich nicht geöffnet. Dahinter versteckt sich garantiert ein Virus. Kriminelle probieren es im Internet immer wieder mit neuen Methoden. Die Gefahr ist, dass sich die Menschen zu sehr auf ihren Virenschutz verlassen. Der findet nur die Viren, die der Hersteller bereits kennt.

Sind Antiviren-Programme also wirklich nutzlos, wie es kürzlich in den Medien zu lesen war?

Nein. Die Frage ist: Gegen wen wollen wir uns schützen. Bei unspezifischen Angriffen gegen eine große Zahl von Nutzern, zum Beispiel durch Trojaner, bleiben die Programme weiterhin sehr wichtig und gehören auf jeden Rechner. Wenn sich aber Unternehmen gegen Wirtschaftsspionage und im schlimmsten Fall sogar gegen ausländische Geheimdienste absichern wollen, wird ein Antiviren-Programm heute nicht mehr ausreichen.

Sondern?

Mensch und Maus müssen permanent das System überwachen und Anomalien suchen. Das können Maschinen heute nicht mehr alleine leisten.

Das klingt kompliziert. In Ihrem Buch veranschaulichen Sie IT-Sicherheit mit Kaugummi-Automaten.

Früher haben alle versucht, den Kaugummi-Automaten mit ausländischen Münzen auszutricksen. So läuft es auch beim Hacking: Man überlistet Systeme mit Tastenkombinationen oder Methoden, die dafür nicht vorgesehen waren, an die der Hersteller schlichtweg nicht gedacht hat.

Es gibt Hacker, denen Sie großen Respekt zollen. Auf welcher Seite stehen Sie eigentlich?

Ich stehe ganz klar auf der weißen Seite und habe noch nie Systeme angegriffen, um mich zu bereichern oder andere zu schädigen. Im Auftrag des Herstellers Systeme wie Geldautomaten zu überprüfen, bedeutet aber auch, Hacker zu sein. Das ist eine Form der Qualitätssicherung wie bei Crashtests in der Automobilindustrie. Der Begriff „Hacker“ ist nur negativ belastet.

Sie beschreiben in Ihrem Buch, wie so etwas funktioniert. Machen Sie Ihre Leser damit auch zu Hackern?

Bei diesen Beschreibungen fehlen die Details, um sie eins zu eins umzusetzen. Mir ist es wichtig, dass Laien verstehen, wie so ein Angriff funktioniert. Ein Beispiel: Es ist möglich, mit dem Telefon die Rufnummer eines beliebigen Anschlusses vorzutäuschen. Ich sehe Ihre Flensburger Rufnummer. Die kann ich bei einem Anruf auf dem Display Ihres Handys anzeigen lassen, obwohl ich hier in München sitze. Sie denken dann, dass Sie einen Anruf aus dem Büro bekommen. Ich könnte sagen, dass ich der Hausmeister bin und wir einen Wasserschaden haben. Ich brauche den Schlüssel für Ihre Schublade. Wenn Ihnen bewusst ist, dass es einen solchen Hack gibt, würden Sie vorher zurückrufen. Denn ich kann mit dieser Nummer zwar anrufen, bin aber nicht darunter erreichbar. Und darum geht es auch in dem Buch: Lernen was möglich ist und wissen, wie so etwas ausschaut. Ohne Fachbegriffe, für jeden verständlich und spannend.

Welchen Trick empfehlen Sie Laien, die ein Gefühl der Problematik bekommen wollen?

Spannend finde ich Metadaten in Dokumenten. Angenommen, mir schickt jemand ein Foto aus dem Urlaub. Ich kann mit wenig Aufwand herausfinden, wo er sich aufhält. Bilder lassen sich mit einem Exif-Viewer analysieren. Exif-Daten sind die Metadaten von Bildern. Sie sagen mir, mit welcher Kamera das Bild aufgenommen wurde, wie die Blende eingestellt war und so weiter. Viele Geräte, gerade Smartphones, speichern auch GPS-Informationen. So findet man sehr schnell heraus, wo das Bild aufgenommen wurde. Mit einfacher Recherche in Telefonbüchern und auf sozialen Netzwerken kann man sich schnell ein umfassendes Bild der Person machen, die das Foto geschossen hat. Wenn man das sieht, versteht man auch, was tatsächlich hinter den angeblich unspezifischen Datensammlungen der NSA steckt. Solche Informationen liest übrigens auch Facebook aus Bildern heraus.

Einige Menschen fühlen sich sicher, weil sie glauben, sie hätten nichts zu verbergen.

Ein Argument, dass immer wieder kommt. Aber wir reden hier von verfassungsmäßigen Rechten. Ich könnte auch bei der Bundestagswahl mein Kreuz öffentlich machen. Aber es gibt gute Gründe dafür, dass das geheim ist. Ich muss nicht zwingend etwas zu verbergen haben, um nicht zu wollen, dass der Staat alles mitlesen darf. Zum Vergleich: Im Straßenverkehr bin ich jemand, der auf andere achtet. Trotzdem möchte ich nicht, dass ständig ein Polizeiauto hinter mir herfährt und guckt, ob ich blinke oder nicht. Sind Instrumente zur Überwachung der Bürger erst vorhanden, können diese zu einem späteren Zeitpunkt von radikalen Kräften missbraucht werden. Dann ist es einfacher, Überwachungsstrukturen wie in der DDR einzuführen.

In Schleswig-Holstein gab es Diskussionen über die technische und personelle Ausstattung der Polizei. Wie schätzen Sie das Kräfteverhältnis zwischen Kriminellen und Sicherheitsbehörden ein?

Leider nicht gut. Die Polizei ist unter anderem mit dem sogenannten Hackerparagrafen 202c des deutschen Strafgesetzbuches rechtlich eingeschränkt. Wie allen Bürgern ist auch den Behörden der Einsatz von Software verboten, die es erlaubt, Systeme zu knacken. Das verhindert, dass unsere Polizei mit den gleichen Programmen arbeitet, die auch die Hacker nutzen. Denen ist es nämlich herzlich egal, ob man solche Programme nutzen darf oder nicht. Das ist so, als wenn Sie einen Polizisten zu einem bewaffneten Banküberfall schicken, ihm aber verbieten, seine Pistole mitzubringen. Es ist richtig und wichtig, dass Sicherheitsbehörden nicht alles dürfen. Aber bei digitalen Ermittlungen ist das oft absurd. Hier gerät die Polizei dadurch ins Hintertreffen, wobei ich auch zugeben muss, dass die Grenze zwischen schützenswerten Persönlichkeitsrechten und dem hohen Ziel eines Fahndungserfolgs eine juristische und ethische Gratwanderung ist.

Lebt es sich heute unsicherer als vor der Digitalisierung unseres Alltags?

Es hat sich nicht viel geändert. Wir bekommen Straftaten nur schneller und medialer mit. Trotzdem gibt es durch die Digitalisierung bisher nicht dagewesene Straftaten. Cybermobbing halte ich für die Pest unseres Jahrhunderts. Menschen sind heute in der Lage ihre Mitmenschen anonym fertig zu machen. Wenn das so weitergeht, wird die Politik irgendwann den Zuspruch erfahren, das Netz komplett zu überwachen. Das widerspricht allen Idealen des freien Internets. Die Bevölkerung muss mitmachen, um so ein Szenario zu verhindern.

Tobias Schrödel: Ich glaube, es hackt! Springer Spektrum, 371 Seiten, 17,99 Euro, ISBN 978-3-658-04245-5

zur Startseite

von
erstellt am 15.Mai.2014 | 04:00 Uhr

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen