"Hacker" steht auf seiner Visitenkarte. In großen schwarzen Buchstaben. Das ist nicht sein Name, sondern seine Berufsbezeichnung. Ja, Gunnar Porada war einmal ein Hacker und ist es irgendwie immer noch. Auch wenn er gar nicht so aussieht, wie man sich den klassischen Hacker vorstellt. Keine zerrissene Jeans, stattdessen dunkler feiner Anzug. Keine wild zerstrubbelten Haare, stattdessen adrett kurz und gescheitelt. Und er hat nicht mal dunkle Augenringe, nein. Wenigstens, ja wenigstens deutet sich ein leichter Dreitagebart an. Und Krawatte trägt er auch nicht.
Vor zwanzig Jahren, da hat Porada mal die Geheimnummern von EC-Karten geknackt. Aber die betroffenen Kontoinhaber wussten davon, und das war alles nur, um zu gucken, ob er es schafft. Aus Spieltrieb. Und verjährt ist es auch, sagt sein Anwalt. Deshalb darf Porada das so im Spaß erzählen. Er hat die Daten der Karten auch nie weiterverkauft oder gar Geld damit abgezockt. Sagt er.
Stattdessen ist er ziemlich bald dann auf die gute Seite gewechselt. Das heißt: Heute hackt er öffentlich für Publikum bei Vorträgen sein eigenes Konto, um zu zeigen, wie das geht. Oder er durchbricht die Firewalls von Banken und Versicherungen und berät sie, was sie in Sachen Sicherheit besser machen können. Aber Porada ist und bleibt irgendwie ein Hacker. In großen schwarzen Buchstaben.
Und so erzählt er, wie es so zugeht in der Branche der Kriminellen. Dass diese mittlerweile sehr serviceorientiert seien. "Sie bieten Ihnen die passende Spionagesoftware inklusive Schulung", sagt er. Eine Grundversion der Hacker-Software gebe es mittlerweile sogar im Netz. Kostenlos. Und dann zeigt er, wie einfach es ist, ein Konto zu knacken. Und es ist überraschend einfach.
Zweifel am TAN-Verfahren
Dass es überraschend einfach ist, das zeigen auch die Zahlen aus dem Bundeskriminalamt: Von 2009 auf 2010 sind die Fälle, in denen Betrüger online Kontodaten abfischen, um 80 Prozent auf 5300 gestiegen. Der Schaden in Deutschland hat sich im selben Zeitraum auf 21 Millionen Euro verdoppelt, die durchschnittliche Schadenssumme beträgt laut BKA 4000 Euro.
Bei der Pressekonferenz im Sommer 2011 hatte BKA-Präsident Jörg Ziercke gewarnt: Das bisherige TAN-Verfahren, bei dem der Kunde Transaktionen im Netz durch die Eingabe einer TAN-Nummer von einer Liste bestätigt, werde massiv attackiert. Spezielle Trojaner würden das Verfahren austricksen. Und diese Software verbreitet sich rasant, ist auf Tausenden Rechnern installiert, ohne dass es die Besitzer merken.
Sicherheitsberater Porada hat einen seiner eigenen Rechner infiziert. Absichtlich natürlich. Er braucht nur ein paar Sekunden, um sich von seinem anderen Rechner, dem bösen, in ein Konto zu hacken. Der infizierte Computer sendet dem bösen Rechner Passwort und Log-in, die der Kunde eingibt. So ist der Weg frei. Die verlangte TAN kann Porada dann auch entschlüsseln und sich somit Geld überweisen. Schockierend einfach.