Es ging einfach alles zu schnell: "In dem Moment, in dem du es siehst, ist dein Rechenzentrum bereits verloren", erzählte der US-Computerexperte Craig Williams hinterher dem US-Fachmagazin Wired. Der Cyberangriff, den Williams meint, traf keine kleine Klitsche, sondern ein Unternehmen, das den globalen Warenverkehr am Laufen hält: Maersk, die größte Containerschiffsreederei der Welt. Und dieser Konzern war nun mit einem Schlag quasi gelähmt, am Laufen war da erst einmal nichts mehr.
Auf 300 Millionen Dollar schätzen Experten den Schaden, der alleine dem dänischen Unternehmen durch den Angriff einer Gruppe von Online-Kriminellen entstand. Aber Maersk war nicht die einzige Firma, die 2017 beim bis dato verheerendsten Cyberangriff auf Unternehmen zu Schaden kam. Es traf unter anderem auch einen Pharmakonzern, einen Paketdienstleister, eine große Baufirma, einen Süßwarenhersteller - der Schaden ging jeweils in Hunderte Millionen.
Angesichts solcher Summen wundert es nicht, dass mehr und mehr Firmen auch ungewöhnliche Wege gehen, um ihre Computernetze besser zu schützen. Sie lassen sie von Leuten prüfen, die in der Lage wären, großen Schaden darin anzurichten: von Hackern.
In der öffentlichen Wahrnehmung gelten Hacker meist als zwielichtige Gestalten, die sich nachts von ihrem Computer aus in Firmennetze einschleichen, um diese zu erpressen oder im Auftrag ihrer Regierungen auszuspionieren. Solche Hacker gibt es auch. Aber die Mehrzahl hat eher einen kindlichen Spaß daran, Dinge auseinanderzunehmen und zu sehen, wie etwas funktioniert. Sie wollen Technik nicht bloß nutzen, sondern verstehen, was dahintersteckt. Viele wollen sogar helfen, digitale Sicherheitslücken zu schließen, finden aber nicht immer Gehör bei Unternehmen, wenn sie ein Problem melden wollen.
Deshalb und weil dort auch die Entlohnung geregelt ist, melden sich viele White-Hat-Hacker - wie man Computerexperten mit guten Absichten nennt - bei Vermittlungsplattformen wie Hacker One oder Yes We Hack an. Die Plattformen stellen die Verbindung zu Unternehmen und Institutionen her, die ihre Systeme auf Schwachstellen checken lassen wollen.
Bezahlt wird dabei nach dem Erfolgsprinzip. Für jede entdeckte Schwachstelle, im Jargon Bug genannt, erhalten sie eine vorher festgelegte Belohnung, genannt Bounty, die sich danach richtet, wie schwerwiegend die entdeckte Sicherheitslücke ist. Die Spannweite reicht von 50 bis 15 000 Euro, sagt Rodolphe Harand, Leiter des Tagesgeschäfts bei Yes We Hack. Konkurrent Hacker One wirbt damit, dass schon sechs seiner etwa 600 000 Hacker mehr als eine Million Dollar verdient haben.
Zwei junge Hacker, die hauptsächlich für die in Frankreich beheimatete Plattform Yes We Hack arbeiten, bestätigen das: Sie verdienten jetzt mehr als früher als Angestellte, sagen Lucas alias BitK und Edgar alias eboda, beide 29. Aber sie sagen auch: Das Hacken für Belohnungen sei nichts, um schnell reich zu werden wie bei einem erfolgreichen Verbrecher-Coup. Edgar hat früher für eine Firma gearbeitet, die sogenannte Penetrationstests, kurz Pentests, anbieten. Die ähneln zwar dem, was er jetzt macht, sind aber nicht ganz vergleichbar.
Das sagt auch der Sicherheitschef einer großen französischen Versicherung, der seinen Namen und den seiner Firma aus Sicherheitsgründen nicht in der Zeitung lesen will. ("Das zieht viele unerwünschte Besucher an.") "Programmierer entwickeln alle zwei Wochen eine neue Version", sagt er, "da kann man nicht jedes Mal einen langwierigen Pentest machen." Denn der dauere, und die Ergebnisse würden dann in einem umfangreichen Bericht zusammengefasst, den man allerdings erst nach zwei Wochen bekomme - viel zu viel Zeit, in der durch unentdeckte Sicherheitslücken große Probleme entstehen könnten. Pentests müsse man zudem immer bezahlen, die Hacker dagegen nur, wenn sie etwas finden.
In seinem Konzern habe es zunächst Bedenken gegeben, aber dann zeigte sich schnell: "Es gab viele Sicherheitslöcher, von denen wir nichts wussten." Und die Information darüber kam sofort. Oft lasse man die Jäger, wie man bei Yes We Hack die Hacker nennt, auch noch einmal checken, ob die Lücken vom eigenen Team erfolgreich beseitigt wurden. Bei seinem Unternehmen, sagt der Sicherheitschef, seien etwa 250 Bugs gefunden worden. "Wir haben uns selbst zu sehr auf die Website konzentriert, aber es gab viele Fehler in den Systemen, die dahinterliegen."
Kann das nicht auch gefährlich werden?
Viele Kunden hätten dennoch Angst, sich auf die Zusammenarbeit mit Hackern einzulassen, die irgendwo auf der Welt sitzen, sagt Mårten Mickos, Chef von Hacker One. Schon die Erkenntnis, dass bei nahezu jeder Firma Löcher in der IT klafften, dauere bei vielen lange. Die IT-Verantwortlichen hätten zudem Angst, dass man sie zur Rechenschaft ziehen könnte, wenn tatsächlich etwas gefunden wird. "Und viele wissen auch nicht, ob sie die gefundenen Löcher überhaupt stopfen können."
Aber ist es nicht tatsächlich gefährlich für Unternehmen, Hacker regelrecht einzuladen? Nun, die könnten sich auch so einhacken, sagt Mickos. Und: "Echte Kriminelle melden sich nicht bei uns an." Hacker bildeten eine Gemeinschaft, es entstünden Freundschaften, "die sind so was wie die Pfadfinder des Digitalzeitalters". Rodolphe Harand von Yes We Hack argumentiert ähnlich: "Alles, was getestet wird, ist von außen zugänglich, jeder kann es hacken." Und, fügt er hinzu, "einen besseren Weg hat noch niemand gefunden". Jeden Tag würden irgendwo Firmen gehackt, trotz vieler Sicherheitsmaßnahmen und ständig steigender Budgets für IT-Sicherheit. Auch das Bundesamt für Sicherheit in der Informationstechnik sieht Belohnungen für Hacker grundsätzlich positiv, teilt ein Sprecher der Behörde auf Anfrage mit.
So viele Dollar haben amerikanische Firmen im vergangenen Jahr über die Vermittlungsplattform HackerOne für Belohnungen für Hacker ausgegeben. Diese suchten im Auftrag der Unternehmen nach Schwachstellen in den IT-Systemen. HackerOne ist die größte Plattform dieser Art in den USA, in Europa liegt das französische Unternehmen YesWeHack vorne. Viele Firmen wollen gerne vermeiden, dass Hacker aus aller Welt ihre Systeme checken. Sie lassen sich dann nur Computerexperten aus bestimmten Ländern vermitteln. Oftmals kommen Hacker auf diese Weise an einen Job bei einem Unternehmen - Sicherheitsexperten sind ja sehr gefragt. Wenn sie das denn wollen. Viele von ihnen schätzen auch die Freiheit, zu arbeiten, wann sie Lust dazu haben und sich die Art der Arbeit selbst aussuchen zu können.
Einen ehemaligen Kriminellen beschäftigt Hacker One allerdings, Tommy DeVoss alias dawgyg. Der stand wegen verschiedener Delikte in Zusammenhang mit Hacks schon mehrmals vor Gericht und beim jüngsten Mal drohte ihm der Richter im Wiederholungsfall mit lebenslanger Haft. Nun verdient er seinen Lebensunterhalt als Bounty-Jäger, und das nicht schlecht: Er gehört zu denen, die bereits mehr als eine Million Dollar durch Belohnungen verdient haben. DeVoss fand Sicherheitslücken unter anderem beim Telekommunikationsunternehmen Verizon, beim US-Verteidigungsministerium und eine kritische Lücke beim Bezahldienstleister Paypal.
Die Arbeit wird den Hackern nicht so schnell ausgehen
Attraktiv sind die Hacker-Vermittlungsplattformen aber vor allem für IT-Experten in weniger gut entwickelten Ländern. Die Höhe der Prämie bleibt dieselbe, und für einen Hacker aus Myanmar oder Zentralafrika sind Prämien von einigen Hundert Dollar eine Menge Geld. "Manche der Jäger sind sehr talentiert", sagt Harand, "einer zum Beispiel hat es einmal geschafft, von der Webseite eines großen Handelskonzerns ins Intranet zu gelangen, das ist ein Game-Changer."
Aber wie wird man eigentlich Hacker? "Erst einmal muss man lernen zu programmieren", sagt der deutsche Hacker mit dem Pseudonym eboda. "Man muss nicht guten Code schreiben können wie ein Programmierer, man muss nicht total drinstecken", sagt er, "aber man braucht einen Überblick." Spaß an ihrem Job haben beide Hacker. "Es ist wie ein Spiel", sagt BitK. "Man freut sich, wenn man es geschafft hat." eboda arbeitet von zu Hause aus. Manchmal sei er selbst verwundert und sage zu sich selbst: "Oh, ich habe gerade eine der größten Firmen der Welt gehackt." Ein Kinderspiel sei das Hacken aber nicht: "Das ist harte Arbeit", bestätigt BitK.
So wie es aussieht, wird ihnen die Arbeit nicht so schnell ausgehen. Denn mehr und mehr Firmen setzen auf die Dienste der Hacker-Vermittler. Das Beratungsunternehmen Gartner prophezeit, dass bereits in zwei Jahren die Hälfte aller Unternehmen weltweit Belohnungen für das Entdecken von Sicherheitslücken aussetzen wird.
Aber technische Lücken sind nur ein Teil des Problems. Viele erfolgreiche Attacken basieren auf menschlichen Fehlern. Angreifer versuchen, Nutzer zu manipulieren, indem sie ihnen in E-Mails Angst machen oder sie mit allerlei Versprechungen locken. Dann sind da noch die Passwörter, die auf Post-its an Monitoren kleben, und schließlich - ein oft unterschätztes Problem - Insider-Attacken. Von verärgerten Mitarbeitern. Oder solchen, die erst klicken und dann nachdenken.
