Hacker-Messe: Die bösen Buben von Las Vegas

In Western tragen die bösen Cowboys stets schwarze Hüte. Heute tragen sie schwarze Sonnenbrillen, nennen sich Cracker und zeigen auf den IT-Messen Black Hat und Defcon die neuesten Lecks und Hacks der Szene.

Fällt das Wort "Betrug" im Zusammenhang mit der Wüstenstadt Las Vegas, denkt der dank Hollywoodfilmen geschulte Deutsche zuerst an illegales Glücksspiel und schmierige Casinobosse. Einmal im Jahr kommt ein ganz neuer Aspekt hinzu: Tausende Hacker, IT-Sicherheitsexperten, Angehörige der US-Regierung und des US-Militärs fallen in der ersten Augustwoche in Las Vegas ein. Sie zeigen und diskutieren die neuesten Lecks und Hacks der IT-Szene.

Angelockt werden sie von zwei IT-Sicherheitskonferenzen. Zieht die seriöse Black Hat mit ihrem 1800 Dollar teuren, mehrtägigen Trainingsprogramm wissbegierige Unternehmensvertreter und Mitarbeiter der US-Behörden an, konzentrieren sich die dem digitalen Untergrund zugetanen Hacker auf der günstigeren Defcon. Die Teilnahmegebühr: 100 Dollar, zahlbar nur cash - die Anonymität der Teilnehmer bleibt gewahrt, die Veranstalter muten ihnen keine Kreditkartentransaktionen zu.

Die Schnittmenge der über 10.000 Teilnehmer ist dennoch groß - schließlich bringt die Defcon den Spaß, den die seriöse Black Hat vermissen lässt. Andreas Wuchner, beim Pharmariesen Novartis weltweit für IT-Sicherheitsstrategien verantwortlich, sagte zu sueddeutsche.de: "Black Hat und Defcon sind für mich schon seit Jahren Pflichttermine. Einerseits, um technisch fit und auf dem Stand der Hacker-Forschung zu bleiben, andererseits, um Kollegen und Freunde wiederzutreffen."

Bei beiden Konferenzen lag in diesem Jahr ein Schwerpunkt beim Thema "Attacken per Web-Browser". Internetnutzer müssen sich heutzutage keine Viren mehr herunterladen oder auf obskure E-Mail-Anhänge klicken, um ihren Rechner zu infizieren.

Inzwischen reicht der Besuch einer bösartigen Webseite, damit dem Browser - unbemerkt vom Anwender - Schadprogramme untergeschoben werden können. Liegen diese erst einmal auf dem PC, kann sie der Angreifer später aus der Ferne zum Leben erwecken und so beispielsweise PIN- und TAN-Codes erhaschen oder die Login-Daten für E-Mail- oder Ebay-Konten abgreifen.

Besonders beliebt bei den Crackern sind millionenfach frequentierte Seiten wie MySpace oder YouTube. Aufgrund der schieren Größe dieser Seiten ist es den Betreibern unmöglich, alle von ihren Usern ins Netz gestellten Profile oder Videos zu checken.

Der Cracker dankt es und präpariert seine Seiten mit bösartigen Bestandteilen. Außerdem sind diese Webseiten einem der Defcon-Referenten zur Folge auch deswegen gut für Angriffe geeignet, da sie technisch sehr komplex und damit oftmals voller sicherheitsrelevanter Fehler sind.

"Ich fordere Sie auf, weiter zu hacken. Andernfalls droht technischer Stillstand". Mit diesem und anderen, ähnlich markigen Sprüchen wandte sich Richard Clarke in seiner Eröffnungsrede zur Black Hat an sein hack- und technikbegeistertes Publikum. Clarke war Nationaler Koordinator für Sicherheit, Infrastrukturschutz und Antiterrorismus der Clinton- und der Bush-Regierung und so auch zuständig für die Abwehr von Cyber-Terrorismus.

In seiner Rede stellte er klar, dass Politik ein Hindernis für den Fortschritt sein kann. Er beklagte nicht nur den Widerstand gegen die Forschung mit Stammzellen, er prangerte auch die Kürzung der IT-Forschungsbudgets an. Er meint, dass Politiker noch nicht verstanden haben, wie wichtig IT-Sicherheit für die globale Wirtschaft ist. Nicht ohne ein Schmunzeln fügte Clarke hinzu, das sei "aber nur einer der Punkte, die die Bush-Regierung noch nicht verstanden hat". Es müsse deutlich mehr Geld in die Sicherheit des Internets fließen. Andernfalls werden die Fundamente unserer stetig stärker vernetzten Welt immer brüchiger.

Von sueddeutsche.de auf das Vorhaben der Bundesregierung angesprochen, Online-Durchsuchungen zur Terror- und Kriminalitätsbekämpfung einzusetzen, äußerte sich Clarke ebenfalls deutlich: "Prinzipiell ist das ein tolles Mittel zur Terrorismusbekämpfung. Aber wer stellt sicher, dass in der Praxis nicht auch die Rechner von Unschuldigen belauscht werden? Der Feind ist der Terrorist, nicht der Bürger."

Fair Play - Hacker informieren Hersteller

Pressevertreter, die Fotos der auf ihren Defcon-Teilnehmerausweisen "Human" genannten Hacker machen wollen, müssen vorher jeden Einzelnen um Erlaubnis fragen. Selbstverständlich schwirren auch während der Defcon reichlich Staatsmitarbeiter durchs Publikum. In diesem Fall aber nicht nur, um ihren eigenen Informationshunger zu stillen, sondern um eventuell auf offener Bühne begangene Straftaten zu ahnden.

In diesem Jahr hatten die Feds (FBI-Agenten) jedoch nichts zu tun. Kritische Vorträge wurden entweder im Vorfeld weichgespült, oder die Referenten ließen die von Sicherheitslücken betroffenen Hersteller bereits im Voraus um die Schwächen ihrer Produkte wissen, bevor diese vor versammelter Hacker-Gemeinde im Vortrag zerpflückt werden. Mit dem Effekt, dass viele Demonstrationen nicht mehr klappten, weil die Hersteller die Lücken beseitigt hatten.