Wozu brauchen Hacker einen Playground?

Eine Betrachtung der moralischen Fragen vor dem Hintergrund des praktischen Nutzens eines Playgrounds für Hacker

Das theoretische Wissen um Sicherheitslücken lässt sich nur durch die praktische „Erforschung“ dieser aus der Sicht eines Angreifers komplettieren. Dieser Satz ist der Dreh- und Angelpunkt meines Verständnisses von IT-Sicherheit. Es sind nicht nur meine eigenen Erfahrungen, die mich zu dieser, in gewisser Hinsicht radikalen, Philosophie geführt haben, sondern auch meine Beobachtungen bezüglich populärer Angriffe auf Webseiten und andere IT-Infrastrukturen.

Wir sind in der Softwareentwicklung heute an einem Punkt angelangt, an dem wir zwar die mathematische Beweisbarkeit der Sicherheit kryptografischer Verfahren voraussetzen (zumindest kann Software, bei der das nicht so ist, nicht als professionell gelten), im Gegenzug aber sehr häufig auf den Einsatz solcher Verfahren verzichten oder die praktische Sicherheit dieser Verfahren nicht zur Genüge gewährleisten.

Beispiele für solche Versäumnisse findet man en masse. Ohne ein Unternehmen im Speziellen kritisieren zu wollen, lässt sich die abundante Praktik des unverschlüsselten Abspeicherns von Benutzerdaten wie E-Mail-Konten, Adressen, Telefonnummern oder gar Kreditkartendaten als Exempel anprangern. Ähnlich verhält es sich mit Verfahren, bei denen die mathematische Sicherheit zwar sehr hoch ist, die praktische Sicherheit jedoch zuweilen sehr gering ausfällt. Hier ist vor allem das kryptografische Hashing von Daten wie Passwörtern zu benennen, das trotz der allgemeinen Kenntnisnahme von Angriffstechniken wie Rainbow-Tables immer noch eine sehr weite Verbreitung genießt.

Natürlich kommen dazu noch fehlerhafte Implementierungen von konzeptionell sicheren Systemen und Verfahrensweisen[1], die zusätzliche Sicherheitslücken aufwerfen.

Will man derartige Sicherheitslücken erkennen, tut man sich natürlich schwer, wenn man mit all diesen Praktiken „aufgewachsen“ ist und nie einen Grund hatte, diese zu hinterfragen. Deshalb ist das praktische Wissen darum, wie sich Sicherheitslücken ausnutzen und aufdecken lassen unabdingbar für einen gewissenhaften und sicheren Softwareentwicklungsprozess.

Sind Hacker grundsätzlich böse?

Doch wer praktisches Wissen auf dem Gebiet des Hackings erlangen möchte ist oftmals gezwungen, sich in der gesetzlichen Grauzone zu bewegen, oder schlimmer noch, diese hinter sich zu lassen. Das kommt daher, dass die Gesetzgebung in vielen Ländern, darunter auch Deutschland, bereits die Entwicklung von Werkzeugen, die dazu geeignet sind, Angriffe durchzuführen, unter Strafe stellt. In Deutschland ist das der sogenannte Hackerparagraph (§202c StGB).

Auch in den Medien herrscht trotz der jahrelangen Bemühungen von Sicherheitsexperten, dieses Bild gerade zu rücken, ein sehr düsterer Eindruck von Hackern. Es sind nicht nur gesellschaftliche Klischees, die vor allem von Medien der Axel Springer Verlagsgruppe immer wieder mit Freuden aufgegriffen werden, sondern auch die undifferenzierte Verwendung der Bezeichnung „Hacker“, die dazu beitragen, dass die Gesellschaft heute ein sehr einseitiges Bild von Hackern gewonnen hat.

Diese Problematik wollte man durch eine Einteilung der Hacker-Community in White-Hat-, Grey-Hat- und Black-Hat-Hacker lösen, wobei letztere häufig auch als Cracker bezeichnet werden. Die Klassifizierung wird dabei anhand dessen vorgenommen, wie genau es die einzelnen Gruppen mit dem Gesetz nehmen. So halten sich White-Hat-Hacker laut dieser Klassifizierung stets an geltende Gesetze und befolgen die heute vielzitierte und dennoch erstaunlich frei ausgelegte Hackerethik. Black-Hat-Hacker dagegen verstoßen regelmäßig und in vollem Bewusstsein gegen die Gesetze; ihre Absicht ist es in der Regel, Schaden anzurichten oder Daten zu stehlen. Natürlich muss es auch noch eine Gruppe in der Mitte geben, die sogenannten Grey-Hat-Hacker, die im Namen eines höheren, oft ideologischen Ziels zuweilen gegen die Gesetze verstoßen, sich jedoch im wesentlichen an das geltende Recht halten.

Eine derartige Klassifizierung kann den Begriff des „Hackers“, nur schwer davor schützen, durch Medien und Justiz negativ belegt zu werden, schließlich ist sie im Grunde ein Eingeständnis der Community, dass sie auch diejenigen, die gegen Gesetze verstoßen, also die Black-Hat- und Grey-Hat-Hacker unter sich duldet und als ihresgleichen anerkennt. Doch das ist nicht die einzige Problematik einer derartigen Unterteilung. Viel besorgniserregender sind die unscharfen Abgrenzungen zwischen den einzelnen Gruppen, mit denen viele Hacker eine Art Seilspringen veranstalten.

Eine Person die heute einen dubiosen Auftrag ausführt und sich morgen wieder ausschließlich mit professionellen Penetrationstests befasst wird bei der nächsten lukrativen Gelegenheit vermutlich erneut für die Gegenseite arbeiten. Dass die Öffentlichkeit angesichts dieses Verhaltens zahlreicher Hacker dazu neigt, die ganze Community zu verurteilen ist verständlich.

Förderlich sind da auch „Hacker-Gruppen“ mit einem mehr als sonderbaren Verständnis von Freiheit, Gerechtigkeit und dazu einer gestörten Selbstwahrnehmung nicht. Die Rede ist hier, vielleicht haben Sie es bereits erraten, von der Gruppe, oder vielleicht sollte man besser sagen von dem Decknamen, Anonymous. Bei den Aktivisten handelt es sich ohnehin meist weniger um Hacker als vielmehr um Skriptkiddies, die dank frei verfügbarer Werkzeuge für Hacker in die Lage versetzt werden, Webseiten durch DDoS-Angriffe zu attackieren und davon auch regen Gebrauch machen, im Namen der Freiheit, der Gerechtigkeit oder irgendeines anderen ideologischen Ziels, versteht sich. Das ist nicht nur jene Form von Selbstjustiz, die in Superhelden-Comics des Marvel-Verlags heroisiert wird[2], sondern häufig auch eine Rechtfertigung der Mitglieder vor sich selbst und Kritikern, die davon ablenkt, dass das Nervenkitzeln und das Zusammengehörigkeitsgefühl die eigentlichen Gründe für diesen Aktionismus sind. Diese geistige Unreife gipfelte in der Vergangenheit in Vergeltungsangriffen auf Kreditkarteninstitute, Unternehmen die Klagen gegen Hacker eingereicht hatten oder auf Staaten wie Israel, mit deren Regierungsstil die Aktivisten unzufrieden waren.

Dazu kommt die Tatsache, dass heute sehr viele Hacker (meist) legal für Geheimdienste arbeiten und sich dennoch zu moralisch höchst fragwürdigen Handlungen hinreißen lassen.

Beispiele dafür sind nicht nur globale Spionagenetzwerke wie sie jüngst von Edward Snowden aufgedeckt wurden oder nationale Firewalls die zur Zensur des Internets eingesetzt werden, wie das Projekt Goldener Schild in China, sondern auch Computerviren, deren Ziel die gezielte Sabotage von so sicherheitskritischen Versorgungseinrichtungen wie Atomkraftwerken ist.

Dabei ist Hacking ursprünglich nichts weiter als eine ausgelebte Begeisterung für Technik und der damit verbundene Drang, die Grenzen des Machbaren auszuprobieren. Natürlich wird das dem Begriffe des Hackers in der Computersicherheit längst nicht mehr gerecht, doch die ursprüngliche Idee ist erhalten geblieben. Solange ein Hacker also durch sein Wissen und seine Fertigkeiten ausgemacht wird, wie das heute noch der Fall ist, gibt es keinen Grund, diesen Begriff zu kriminalisieren, denn Wissen sollte in einer modernen Gesellschaft kein Verbrechen sein und auch die Schritte die zur Erlangung von Wissen erforderlich sind, sollten meiner Meinung nach nicht kriminalisiert werden.[3]

Wie kann man auf legalem Weg Hacking-Techniken erlernen?

Leider gibt es nur sehr wenige Möglichkeiten, Hacking auf legalem Weg zu erlernen, zumindest erfordert das ein enorm großes Grundlagenwissen. So wird die Einstiegshürde für angehende Hacker immer höher und Hacking entwickelt sich zunehmend mehr zu einer elitären Disziplin.

Das halte ich für falsch, schließlich geht dadurch jede Menge Potenzial, Sicherheitslücken aufzudecken, verloren. Im Playground haben Sie deshalb die Möglichkeit, zahlreiche Techniken in der Praxis auszuprobieren und so erste Erfahrungen zu sammeln. Außerdem wird dem Angreifer durch zusätzliche Hilfestellungen und teilweise vereinfachte Szenarien die Möglichkeit geboten, auch „historische“ Techniken kennenzulernen, die viel zum Verständnis moderner Angriffstechniken, bei denen es sich meist um Abwandlungen davon handelt, beitragen.

[1]Ein jüngeres Beispiel dafür ist der Heartbleed-Bug in der Open-Source-Bibliothek OpenSSL.

[2]Alleine die Tatsache, dass sich manche dieser Aktivisten tatsächlich auf die Moral von Comics wie Batman, Spiderman und Co. berufen, macht klar, wie kindisch und weltfremd diese Form des Aktionismus ist.

[3]Vergleichen kann man das etwa mit der Ausbildung eines Polizisten. Nur weil dieser lernt, mit einer Waffe zu schießen (und zu treffen), kann man ihn kaum als Verbrecher bezeichnen.