Wenn die Studenten der TU Darmstadt das Handwerk der Hacker lernen, ist das ein bisschen wie Räuber und Gendarm spielen: Sie werden in Teams eingeteilt, jedes Team bekommt einen Computer. Ihre Aufgabe ist es, das eigene System - eine Datenbank oder einen Web-Server - vor Angreifern zu schützen und gleichzeitig die Rechner der anderen Teams anzugreifen. Dafür knacken sie Passwörter, schleusen Späh-Software auf andere Rechner oder bringen fremde Programme unter ihre Kontrolle.
Ein Semester lang können die Informatik-Studenten in dem Seminar ihre Fähigkeiten als Hacker testen. Für viele ist das eine ganz neue Erfahrung. Sonst schreiben sie selbst Programme; in dem Seminar dürfen sie fremde Anwendungen nach Belieben manipulieren.
Für Jan Schejbal, Student des Masterstudiengangs IT-Sicherheit in Darmstadt, war dieser Seitenwechsel eine wertvolle Erfahrung. "Nur wenn man die Rolle des Angreifers ausprobiert, weiß man wirklich, wie Angriffe funktionieren, wie man sie abwehrt und wie man Sicherheitslücken findet", sagt der 23-Jährige. Um als Hacker Erfolg zu haben, ist seiner Meinung nach mehr als technisches Wissen nötig. "Oft sagt einem das Bauchgefühl, wo die Schwachstellen eines Programms liegen könnten", erklärt er.
Wenn sein Ehrgeiz entfacht ist, probiert er stunden- oder tagelang herum und testet die Grenzen einer Software, auch mithilfe von speziellen Hacker-Werkzeugen beziehungsweise -Programmen. Hacken ist für Schejbal eine "sehr kreative Sache", genau das sei es, was ihn so fasziniere.
Für viele hat der Begriff Hacken aber einen negativen Beigeschmack. Hacker, das sind die, die Daten stehlen oder Webseiten von Unternehmen lahmlegen, wenn ihnen deren Aktionen nicht passen. Auch deshalb spricht Martin Mink, der an der TU Darmstadt Informatik lehrt, nicht so gerne von "Hacker-Seminaren", sondern lieber von "offensiven Methoden in der IT-Sicherheit".
Er hat viele solcher Seminare geleitet. Die Gefahr, dass einer seiner Studenten auf den Geschmack kommt und auch privat Webseiten manipuliert, hält er für gering. "Wir klären sie ausführlich über rechtliche Konsequenzen auf." Eine Gratwanderung ist es trotzdem. So ist es zum Beispiel verboten, Hacker-Werkzeuge herzustellen oder zu verbreiten, nur für eng definierte Grenzen, etwa zu Forschungszwecken, gibt es Ausnahmen. Vorsichtshalber ist das Netzwerk in der Uni, in dem die Studenten ihre Hacks ausprobieren, nach außen hin abgeschottet.
Auch für Jan Schejbal ist die Hacker-Ethik, also was ein Hacker tun darf und was nicht, ein großes Thema, auch weil er keine Lust auf Anwaltsschreiben im Briefkasten hat. Mink ist ein Verfechter dieser offensiven Methode in der Ausbildung von Informatikern. Es sei wichtig, dass sich die Studenten in den Angreifer hineindenken können. Dieses Wissen helfe, Sicherheitslücken ausfindig zu machen und sicherere Anwendungen zu schreiben. "Wer selbst gesehen hat, wie leicht es ist, Passwörter zu knacken oder Emailverkehr mitzulesen, bekommt ein ganz anderes Bewusstsein dafür", sagt der Informatiker.
Eine gute Ausbildung
Seine Studenten sind bei Unternehmen beliebt, regelmäßig bekommt er Anfragen, ob er welche mit Hacker-Kenntnissen vermitteln könne. Ähnlich schätzt der Hightech-Verband Bitkom Erfahrung mit dem Hacken ein. "Der Sicherheitsbeauftragte einer Firma sollte mit den gängigen Methoden von Cyberkriminellen vertraut sein", sagt Lutz Neugebauer, ein Sprecher des Verbands. Das Wissen sei im Prinzip für alle Branchen wichtig, die mit sensiblen Daten umgehen oder deren Prozesse von einer funktionierenden IT abhängen; denn das werden immer mehr.
Laut der Kriminalstatistik des Bundeskriminalamtes stieg 2010 die Zahl der erfassten Cybercrime-Fälle um 19 Prozent im Vergleich zum Vorjahr. Unter Cyberkriminalität versteht man alle Delikte, die mit moderner Informations- und Kommunikationstechnik begangen werden, also beispielsweise das Phishing von Online-Bank-Daten. Der Schaden summierte sich 2010 auf 61,5 Millionen Euro.
Neugebauer vermutet allerdings, dass er weitaus größer ist, weil viele Unternehmen Missbrauchsfälle gar nicht anzeigen. "Entweder sie bemerken den Angriff gar nicht, oder sie verzichten auf eine Anzeige, um die eigene Reputation zu schützen", vermutet der Bitkom-Sprecher. Wenn Unternehmen das Vertrauen ihrer Kunden nicht verspielen wollen, müssen sie deren Daten ausreichend schützen können. Auch aus Mangel an Alternativen haben einige Firmen in der Vergangenheit auf das Wissen von kriminellen Hackern gesetzt - und sie nach verbüßter Gefängnisstrafe als Berater willkommen geheißen und engagiert.
Inzwischen haben die Universitäten und Fachhochschulen aufgerüstet. Bitkom-Sprecher Neugebauer meint, dass es in Deutschland mittlerweile viele Möglichkeiten gebe, sich zum IT-Sicherheitsexperten aus- und weiterbilden zu lassen. Handlungsbedarf sieht er noch in der klassischen Informatiker-Ausbildung. "Das Thema IT-Sicherheit sollte dort flächendeckend als Pflichtfach etabliert werden", sagt er. Mink von der TU Darmstadt befürwortet das ebenfalls. Bislang ist sein Hacker-Seminar für Studenten nur ein Wahlfach.
Jan Schejbal profitiert schon heute von seinen Erfahrungen aus dem Hacker-Seminar. Er arbeitet neben dem Studium für ein Startup, das sogenannte Penetrationstests, kurz Pentests, durchführt. Unternehmen beauftragen ihn damit, Sicherheitslücken in ihrem Netzwerk ausfindig zu machen. Er darf deren Webseiten dann nach Belieben hacken - ganz legal.