Die Gefahr lauert im Verborgenen. In Geräten wie Toaster, Kühlschränken oder Klingeln. "Obwohl sie keine Firewall und keine Anti-Virenschutz-Programme haben, hängen sie plötzlich am gleichen Netz wie unsere Computer", sagt Tobias Madl, 25. Außenstehende mit bösen Absichten könnten das missbrauchen und beispielsweise das Schloss einer Klingel manipulieren. "Und mit 500 Millionen Smart-TVs wäre sogar denkbar, den Server von Google lahmzulegen", sagt Madl. Er muss es wissen, er ist Computer-Hacker, sogar einer der besten Europas. Beim Finale der "European Cyber Security Challenge" (ECSC), einem Wettkampf im Bereich IT-Sicherheit, hat Madl das deutsche Team zur Europameisterschaft geführt.
Wenn der 25-Jährige also wollte, könnte er Server lahmlegen, E-Mails mitlesen oder sich Zutritt zu fremden Facebook-Accounts verschaffen. Doch Tobias Madl ist einer der Guten. Bei it@M, dem zentralen IT-Dienstleister der Landeshauptstadt, sorgt der Computer-Hacker gemeinsam mit einem großen Team für die Sicherheit von Webanwendungen für Münchens Bürger. "Ich muss unter anderem sicherstellen, dass die technische Infrastruktur nicht fremdgesteuert wird und Daten nicht gestohlen oder manipuliert werden können", erklärt der 25-Jährige.
Im Endeffekt hat er dabei die gleiche Absicht wie Angreifer von draußen - er ist ununterbrochen auf der Suche nach Sicherheitslücken. Dafür muss Madl die Software und Technologien besser verstehen als die Entwickler und sie mit oppositionellem Blick betrachten. Als "neue Kreativität" bezeichnet er dieses Querdenken, das die Quelle seiner Faszination für Computersicherheit sei.
Aber wie groß ist die Gefahr? Wie sicher sind die Daten der Stadt München? "Die Stadt steht tagtäglich unter Angriff", sagt Madl. Externen Angreifern gehe es vielmehr darum, die Kapazität der Stadt-Server zu missbrauchen, um Dritte zu schädigen, als um gezielte Attacken gegen die Stadt selbst. "Unsere Daten und Services sind für die Angreifer wenig relevant", sagt Madl. Trotzdem gilt es, zum Teil sehr sensible Informationen zu schützen. Denn wer beispielsweise an der Belehrung nach dem Infektionsschutzgesetzt teilnimmt, muss unter anderem angeben, ob er unter ansteckenden Krankheiten leidet - und das sind natürlich Information, die streng vertraulich bleiben müssen.
Der IT-Sicherheitsanalyst hat sich zur Aufgabe gemacht, andere mit seinem Wissen zu schützen und aufzuklären. "Wir leben in einem digitalen Zeitalter. Eine komplette Abschottung ist kaum möglich", gesteht er. Gerade deshalb sollten digitale Angebote bewusst genutzt und vor allem hinterfragt werden. "Etliche Facebook-Nutzer wissen nicht, dass sie mit ihren Daten bezahlen. Der Service ist umsonst, aber nicht gratis", warnt Madl. Und auch andere Angebote seien mit Vorsicht zu genießen. Das aktivierte Global Positioning System (GPS) auf dem Smartphone mache eine permanente Verfolgung möglich, Amazon-Kassenschlager Alexa höre immer zu und Smart-TVs mit eingebauter Kamera ermöglichten eine ständige Beobachtung ihres Gegenübers. Diese Bedrohung ist irgendwie nachvollziehbar, wenn aber normale Haushaltsgeräte über das Internet in Betrieb genommen werden können, sei dies eine der größten zukünftigen Herausforderungen im Bereich IT-Sicherheit.
Die Computersicherheit stand auch im Mittelpunkt der Hacker-Europameisterschaften. Es galt Lücken im Computersystem ausfindig zu machen. Auch musste jedes Team einen Server angreifen. Mit Erfolg. Nun ist es aber erst einmal vorbei mit der Hacker-Karriere. Im kommenden Jahr kann Madl wegen einer Altersbegrenzung nicht mehr an der EM teilnehmen. Außerdem hat er andere Pläne. Von Januar an wird er im Fraunhofer-Institut im Bereich Automotive Security arbeiten. Dort wird er auch promovieren.