Einerseits war es für den Studenten finanziell kein Pappenstiel, mal eben für einen Computer-Wettbewerb nach Kanada zu fliegen. Andererseits sah er aber auch beste Chancen, dass sich das Problem mit den Reisekosten am Ende schon lösen würde. Also buchte er im März den Flug nach Vancouver. Schließlich hatte er sich schon mit der Thematik der Veranstaltung befasst, "hobbymäßig", wie er im Nachhinein trocken erzählt.
"Ich dachte mir: Im September werd' ich mit meinem Informatik-Studium fertig, da zeige ich vorher mal, was ich kann." Als er den Heimweg antrat, hatte er nicht nur 15.000 Dollar Preisgeld und einen Laptop gewonnen - er war der Star der Veranstaltung.
Der 25-Jährige aus Oldenburg hatte die versammelten Computerexperten nicht nur mit seinen Fähigkeiten verblüfft. Manchen Teilnehmer erstaunte noch mehr, dass er diese ausgerechnet bei dem offiziellen Wettbewerb vorführte. Was er herausgefunden und in Vacouver zeigte, wäre auf dem Schwarzmarkt der Computerkriminalität ein Vielfaches Wert gewesen, und dort hätte er Kasse machen können, ohne Oldenburg überhaupt zu verlassen.
Er programmiert nicht irgendwelche Software - er ist Spezialist darin, Lücken in Programmen aufzuspüren, mit denen man über das Internet in fremde Computer eindringen kann. Solches Wissen zu Geld zu machen, indem man es an die Internet-Mafia verkauft, davon hält der 25-Jährige aber so wenig, dass er die Experten ein weiteres Mal in Erstaunen versetzte. Er bat sie, nur seinen Vornamen zu publizieren, damit die dunkle Seite der Macht ihn nicht so leicht aufspüren könne: "Nennt mich einfach nur Nils." Aus der kriminellen Szene hat zwar bis heute niemand Interesse an Nils bekundet, trotzdem möchte er seinen Nachnamen noch immer lieber nicht in der Zeitung lesen.
Kongress für Computersicherheits-Experten
Die Veranstaltung, auf der der junge Deutsche Furore machte, heißt CanSecWest und ist ein Kongress für Computersicherheits-Experten. Als öffentlichkeitswirksamer Höhepunkt gilt der Wettbewerb Pwn2own, ein Code, der ähnlich vertrackt ist wie die Kniffe, die die Computerknacker dabei einsetzen. Pwn2own ist Hackerslang und bedeutet: Wem es als Erstem gelingt, über das Netz in einen Computer einzudringen, der darf ihn als Preis mitnehmen.
Die Veranstaltung, die jährlich in Vancouver stattfindet und von Firmen wie Adobe, Microsoft und Intel unterstützt wird, zählt zu den wichtigen Treffs der Hacker-Szene. Die Wettbewerbsregeln werden jedes Jahr neu festgelegt. Eine Grundregel aber gilt immer: Falls sicherheitsrelevante Lücken in irgendeinem handelsüblichen Programm gefunden werden, geht die Information darüber an die betroffene Firma, damit diese die Chance hat, das Loch zu stopfen, bevor es kriminell ausgenutzt wird.
In diesem Jahr ging es darum, Browser auf Rechnern anzugreifen, die unter den Betriebssystemen Windows7 von Microsoft und Leopard von Apple laufen. Als Browser traten an: Microsofts Internet Explorer8, Firefox3 und Safari von Apple. Am Ende erwischte es alle. "Keine Software ist hundertprozentig sicher", sagt Nils, "es ist nur die Frage, welchen Aufwand man reinsteckt."
Internet-Kriminelle suchen Lücken
Lücken, auf die es Internet-Kriminelle abgesehen haben, tun sich beispielsweise auf, wenn eine Abfolge von Befehlen einen Browser wie Firefox zum Absturz bringt. Quasi im Fallen versucht der Angreifer der Software dann noch schnell Befehle unterzuschieben, die auf dem angegriffenen Rechner ausgeführt werden sollen. Der Benutzer merkt davon erst dann etwas, wenn plötzlich seine Kreditkartendaten oder seine Passwörter im Internet auftauchen.
Bereits vor dem Abflug hatte Nils solche Lücken in allen drei Browsern des Wettbewerbs gefunden. Doch als er in Kanada ankam, war der Firefox-Browser gerade in einer neuen Version erschienen, und das Loch, das er daheim entdeckt hatte, gestopft. "Da musste ich nochmal ein bisschen nachlegen", erzählt der 25-Jährige. Browser, in den vergangenen Jahren häufig Ziel von Angriffen, könnten eigentlich sicherer sein, sagt Nils, aber wenn sie jeden Befehl erst daraufhin prüfen würden, wie gefährlich er ist, wären sie nicht so schnell wie es Internet-Nutzer erwarten.
Im Internet gibt Nils dennoch Daten wie seine Kredikartennummer an: "Man muss versuchen, das Risiko zu minimieren", sagt er. Um eines muss er sich im Moment nicht Sorgen. Nach dem spektakulären Auftritt in Kanada machten ihm einige Sicherheitsfirmen Job-Angebote. Er kann sich nun bis zum September aussuchen, bei wem er am liebsten arbeiten möchte.