bedeckt München

Hacker:Für die gute Sache

Weltweit arbeiten Hacker mit der Computerindustrie zusammen, um Softwarefehler zu entdecken und Sicherheitslücken zu füllen. Aber die Szene ist gespalten.

Uli Ries

Hacker sind weltfremde Technikspezialisten, die mit ihrem Treiben nur allzu oft die Grenze zur Illegalität überschreiten? Weit gefehlt. Zwar sind nicht alle Hacker so altruistisch wie der durch seine raffinierten Google-Hacks bekannt gewordene Johnny Long: Er gründete die Stiftung Hackers for Charity und unterstützt mit den Spenden unter anderem Waisenkinder in Uganda.

Hacker, Tastatur, iStock

Firmen wie Microsoft und Cisco arbeiten mit Hackern zusammen, um Sicherheitslücken zu füllen.

(Foto: Foto: IStock)

Seinen gutbezahlten Job bei einer IT-Unternehmensberatung - Aufträge der US-Regierung inklusive - hat er an den Nagel gehängt, um in Afrika Gutes zu tun.

Aber auch andere, White Hats genannte Hacker machen sich um das Wohl der Gemeinschaft verdient: Sie arbeiten, teils gratis, teils gegen Bezahlung, den Hard- und Softwareherstellern zu, deren Produkte jeder PC- und Internetnutzer tagtäglich im Einsatz hat. Die Hacker finden - zufällig oder gezielt, genau ist das nicht auszumachen - beim akribischen Analysieren der Produkte Sicherheitslücken.

Würden die Lücken von Internet-Kriminellen entdeckt und missbraucht, käme es zu Datendiebstählen und Attacken durch Schadsoftware. Entdecken die wohlmeinenden Hacker die Lücke zuerst, melden sie den Fund vertraulich dem jeweiligen Hersteller und der kann sich ohne Druck durch Cyber-Angriffe oder Medieninteresse ans Beheben des Fehlers machen.

Ein Verfechter dieses sogenannten Responsible Disclosure, also des verantwortungsvollen Offenlegens, ist Dan Kaminsky: "Wenn wir Hacker die Unternehmen ein ums andere Mal ins offene Messer laufen lassen und die entdeckten Lücken für uns behalten, dann hat davon niemand etwas. Verursachen IT-Produkte ständig Schäden, tritt über kurz oder lang der Gesetzgeber auf den Plan und macht Vorschriften. Die Zusammenarbeit der Hacker mit der Industrie verhindert meiner Meinung nach eine Regulierung des Internets durch Bürokraten".

Auch der deutsche Hacker Felix "FX" Lindner befürwortet verantwortungsvolles Offenlegen. Lindner ist Spezialist für Cisco-Router, also den Komponenten, die weltweit bei Internet-Providern für den Datenfluss des Netzes sorgen. Der Hacker meldet alle gefundenen Lücken an Cisco und spricht erst öffentlich über seine Entdeckung, wenn das Unternehmen den Fehler ausgebügelt hat. Lindner weiß, dass die Zusammenarbeit nicht immer flüssig verläuft: "Es ist nicht ganz leicht, aber irgendwann gewöhnt man sich aneinander. Wobei Firmen wie Cisco oder Microsoft eine erfreuliche Ausnahme sind hinsichtlich der Professionalität, mit der sie die Zusammenarbeit mit der Hackergemeinde betreiben."

Microsoft beschäftigt ein eigenes Team, das Kontakt zur weltweiten Hackerszene hält und auf allen einschlägigen Szene-Treffs wie der seit 17 Jahren in Las Vegas stattfindenden Konferenz Defcon anzutreffen ist. Gründer der Defcon und ihrer kommerzieller angehauchten Schwesterkonferenz Black Hat ist Jeff Moss.

Moss verlangt von den Sprechern seiner Konferenzen, dass sie den betroffenen Herstellern eine angemessene Zeit zum Beheben des Problems einräumen, bevor die Lücke öffentlich wird. Moss sagt aber auch: "Wenn ein Unternehmen nicht reagiert - Pech gehabt. Dann gibt es eben bei uns alle Details zur Lücke. In den letzten Jahren sind die IT-Unternehmen aber aufgewacht und nehmen die Hinweise aus der Hackerszene weitgehend ernst", so Jeff Moss.

Kaminsky selbst wurde Opfer der Hacker

Aber nicht alle Hacker wollen sich solchen Spielregeln beugen. So machte die ominöse, feindlich gesinnte Gruppe der Anti-Sec-Cracker vor kurzem durch digitale Einbrüche bei prominenten Hackern von sich reden. Laut Jeff Moss gehören zu Anti-Sec "nur zehn bis 20 weltweit versprengte, bösartige Hacker. Sie sind Ewiggestrige, die nicht erkennen wollen, dass es ohne Zusammenarbeit zwischen Industrie und Hackern nicht geht". Eines der Opfer der Anti-Sec-Gruppe ist Dan Kaminsky.

Die Einbrecher veröffentlichten unter anderem private E-Mail- und Chat-Konversationen sowie Kaminskys zu simple Passworte. Sie protestieren durch die Aktion gegen das Veröffentlichen der gefundenen Lücken und die kommerziellen Verstrickungen der Promi-Hacker. Außerdem soll demonstriert werden, dass Kaminsky & Co. als Berater der Industrie nicht taugen, da sie ihre eigene Infrastruktur nicht hinreichend absichern können.

Außergewöhnlich offen gegenüber industriefeindlichen Hackern ist der Wohltats-Hacker Johnny Long: "Uns wurde schon öfter Geld als Spende angeboten, das Black Hats mit dem Verkauf von Sicherheitslücken an andere Cyber-Gangster erlöst haben. Wir haben keine Berührungsängste und nehmen die Spende an. Den Hack können wir nicht mehr verhindern und besser, das Geld finanziert das Überleben von Kindern als den Konsumrausch eines Black Hats."

© SZ vom 17.08.2009/gba
Zur SZ-Startseite

Lesen Sie mehr zum Thema