Die Bedrohungslandschaft: ein Gespräch über die Entwicklung des Hackens mit Adrianus Warmenhoven

Unternehmen stellen sich Hacker immer noch als Programmierer mit Kapuzenpullis vor, die sich in Serverräumen verstecken und endlose Codezeilen schreiben, um ihre Ziele anzugreifen. Allerdings hat sich der gesamte Tätigkeitsbereich der Cyberkriminellen fast bis zur Unkenntlichkeit verändert. Hacking hat sich von einem Hobby der Gegenkultur zu einem Industriebereich entwickelt, in dem auch Wirtschaft und Politik eine maßgebliche Rolle spielen.

Adrianus Warmenhoven, Berater für Cybersicherheit und Pressesprecher bei Nord Security, hat selbst einige Erfahrung mit White-Hat-Hacking. Wir sprachen mit ihm darüber, wie sich das Hacken in den letzten Jahrzehnten verändert hat, was Cyberkriminelle antreibt, welche Auswirkungen die jüngsten Entwicklungen im Zusammenhang mit KI haben und warum die wahre Bedrohung, die im Schatten lauert, nicht Menschen, sondern Bots sind.

Sprechen wir zunächst darüber, wen und was die Hacker eigentlich im Visier haben. Kleinunternehmen glauben zum Beispiel oft, dass sie zu unbedeutend für Cyberkriminelle sind. Was würdest du denen sagen?

A: Unterm Strich ist das Hacken ein Geschäft. Kein Hacker wacht auf und denkt sich: „Ich werde heute das Leben von jemandem wirklich interessant machen.“ Was sie wirklich wollen, ist Geld. Wenn sie von einer Million Menschen fünf Cent bekommen, sind das immer noch fünf Millionen Cent.

Die Methoden, die Hacker anwenden, mögen sich je nach Größe des Ziels unterscheiden, aber das Interesse bleibt dasselbe – wir alle sind potenzielle Opfer. Bei großen Unternehmen haben es Hacker in der Regel auf Administratorkonten abgesehen, aber bei Privatpersonen nutzen sie Tricks wie zum Beispiel Phishing-Angriffe.

Ist der Preis für geschäftliche und private Kontoinformationen im Dark Web derselbe?

Es geht nicht so sehr um den Preis, sondern vielmehr darum, was du mit den Informationen machen kannst. Geschäftskonten sind in der Regel wertvoller, aber sie sind auch kurzlebig und unbeständig – das Sicherheitsteam kann das Problem beheben und die Konten zurücksetzen, sobald das Datenleck bemerkt wird.

Du kannst etwa 10.000 verifizierte E-Mail-Adressen für 5 € bekommen, die sind wirklich günstig. Passwörter sind ebenfalls extrem billig – für ein oder zwei Euro bekommst du schon ein paar tausend. Es kommt wirklich darauf an, was du mit den Informationen anfangen kannst.

Würdest du sagen, dass es den meisten Hackern ums Geld geht?

Ja. Viele Hacker, die für kriminelle Organisationen arbeiten, wissen nicht einmal, dass sie das tun. Sie arbeiten im Grunde nur als Programmierer.

Früher gab es viele Hacktivisten, aber ihre Rolle hat sich im Laufe der Zeit verändert. Damals protestierten sie gegen Ölfirmen und dergleichen. Heutzutage gibt es immer mehr Hacktivisten, die sich mit staatlichen Institutionen zusammentun, um finanzielle Unterstützung zu erhalten. Es geht zwar immer noch um den finanziellen Gewinn, aber die Politik schleicht sich langsam ein.

In Europa sehen wir bei ihnen auch das Bestreben, Anerkennung von Gleichgesinnten zu bekommen – von anderen Hackern. Einem Freund von mir ist das Geld zum Beispiel mittlerweile egal – er hat genug, aber er arbeitet für Microsoft, also kann er sagen: „Ich habe das Xbox-Netzwerk gehackt“, und damit kann er sich einen Namen machen.

Verschwimmt die Grenze zwischen White-Hat-Hacking und Black-Hat-Hacking immer mehr?

Das ganze White-Hat/Black-Hat-Thema ist nicht einfach und wird durch Dinge wie die koordinierte Bekanntmachung von Sicherheitslücken immer komplizierter. Unternehmen sagen: „Wenn du einen Fehler findest und ihn uns meldest, versprechen wir dir eine Belohnung.“ Nord macht das auch. Viele Hacker verdienen ihr Geld mit der Suche nach Bugs für Unternehmen wie Microsoft und Apple – eine einzige Bug-Entdeckung kann ein paar hunderttausend Dollar wert sein.

Bug Hunters (so werden die Personen bezeichnet, die nach Programmfehlern Ausschau halten) machen das nicht wegen des Geldes, sondern wegen des Nervenkitzels. Sie sind technisch äußerst begabt und fühlen sich schnell gelangweilt. Diese Hacker willst du natürlich im Auge behalten, damit sie nicht auf die dunkle Seite wechseln.

In den Niederlanden kennen sich alle untereinander: Hacker, Unternehmen, Geheimdienste, das Militär, die Strafverfolgungsbehörden – das ist einfach Teil der Kultur. Wenn ein Hacker die Strafverfolgungsbehörde anrufen würde, würde diese nicht sagen: „Du bist ein Hacker, wir werden dir nicht zuhören.“ Wenn es um deine persönliche Sicherheit geht, helfen sich alle gegenseitig. Ich hoffe, dass der Rest der Welt davon etwas lernen kann.

Das europäische Recht ist hier sehr entgegenkommend. Du bist durch das Gesetz geschützt, wenn du beweisen kannst, dass du etwas mit guten Absichten gehackt hast. In den Niederlanden gehen wir sogar noch einen Schritt weiter: Wenn ich den Hersteller oder die gehackte Person sofort informiere, kann es keine rechtlichen Konsequenzen geben. Die niederländische Regierung schenkt dir sogar ein T-Shirt, auf dem steht: „Ich habe die niederländische Regierung gehackt und alles, was ich bekommen habe, ist dieses schäbige T-Shirt“. Es ist wirklich sehr begehrt, weil es so etwas wie ein Ehrenabzeichen ist, mit dem du angeben kannst. In den USA verleiht die Regierung Verdienstorden. Diese Anerkennungen sind für Hacker sehr wertvoll.

Motiviert das die Hacker, die Seite zu wechseln?

Ja, und heutzutage arbeiten viele Hacker bei Sicherheitsfirmen. Aber das ist schon seit den 1990er-Jahren Teil der Hacking-Kultur, als du jemanden gehackt hast und er dich dann zurückgehackt hat. Es geht einfach darum, wer das klügste Köpfchen in der Nachbarschaft ist.

Lass uns über Hacking als Dienstleistung sprechen. Können Unternehmen Hacker anheuern, um ihre Mitbewerber zu sabotieren?

Sie können es und sie tun es. Es gibt sogar Auktionen für Sicherheitslücken, bei denen Unternehmen und staatliche Institutionen gleichermaßen mitbieten. Im Dark Web findest du viele „Ich kann hacken“-Angebote, aber auch Nischenangebote wie „Ich kann deinen Konkurrenten bei Google löschen“ oder „Ich kann deinem Gegner 10.000 negative Bewertungen geben“. Wenn du genug Geld hast, kannst du so ziemlich alles kaufen.

Gibt es einen ultimativen Weg, um sich vor Hackern zu schützen, oder kannst du lediglich das Beste aus den dir zur Verfügung stehenden Mitteln herausholen?

Es gibt einen Weg: Gehe offline. Okay, Spaß beiseite. Die digitale Identität ist etwas, das ich den Leuten immer wieder zu erklären versuche. Die Leute denken, dass die physische Person am wichtigsten ist, aber das ist sie wirklich nicht. Deine digitale Identität ist mehr wert als du selbst. Wenn du jetzt tot umfallen würdest – und ich hoffe wirklich, dass du das nicht tust –, würde deine digitale Identität immer noch Transaktionen durchführen, Nachrichten empfangen und einen Wert in der Welt haben. So schrecklich das auch klingt, aber sobald dein physischer Körper entsorgt ist, war's das mit dir. Aber deine digitale Identität ist ein Teil von dir, und du musst dich um sie kümmern. Selbst wenn du offline gehst oder stirbst, macht sie weiter ihre Arbeit. All deine Profile, Bankkonten, Benachrichtigungen – was auch immer du hast, es ist immer noch ein Teil von dir, wie dein Avatar in der digitalen Welt, der weiterhin funktioniert.

Hilft KI Hackern beim Erraten und Stehlen von Passwörtern?

Erraten? Nein. Stehlen? Ja. Lass mich das erklären.

Eine KI kann Passwörter aufgrund der Art und Weise, wie sie gespeichert sind, nicht erraten. Passwörter sind einfach komplexe Kombinationen, deren Schwierigkeit von ihrer Länge abhängt. Sie mit KI zu knacken ist eine mathematische Unmöglichkeit, vor allem, weil KI keine besseren Vermutungen anstellen kann als die optimierten mathematischen Formeln, die bereits existieren.

Allerdings gibt es da auch ein paar feine Unterschiede. Wenn du immer dieselbe Art von Passwort verwendest, kann eine KI das Muster deiner Passwortverwendung vorhersagen. Hacker fangen nicht mit AAAAA an, sondern mit den wahrscheinlichsten Passwörtern des Benutzers. Im Grunde genommen kann ein Hacker alle deine Passwörter von einem Datenleck kaufen. Dann füge ich ein paar zusätzliche Informationen hinzu, z. B. deine Social-Media-Konten, und lasse die KI vorhersagen, wie die erste Million an Passwortversuchen ausfallen würde. Eine KI kann dir also dabei helfen, das Passwort zu erraten, aber sie kann es nicht besser erraten als die bisher verwendeten Algorithmen.

Was das Stehlen von Passwörtern angeht, kann KI sehr wohl hilfreich sein. Menschen entwickeln mithilfe von KI alle möglichen Arten von bösartigem Code, ohne eine einzige Programmiersprache zu kennen. Sie müssen ihn nur kopieren und einfügen. Du kannst KI auch zum Imitieren einer Identität nutzen, indem du analysierst, wie und mit wem jemand in den sozialen Medien kommuniziert.

Nehmen wir an, du sprichst mit einer vertrauenswürdigen Person in den sozialen Medien. Wenn ich die KI mit den Antworten dieser Person trainieren würde, könnte ich wie sie schreiben. Dann könnte ich versuchen, dir eine E-Mail zu schicken, die genau so klingt, als wäre sie von dieser Person, um dein Vertrauen zu gewinnen.

Heißt das, dass KI genutzt werden kann, um ein Passwortmuster vorherzusagen?

Ja. Wenn du zum Beispiel den Namen des Albums eines Musikers als Passwort verwendest, kann die KI vorhersagen, dass, sobald ein neues Album erscheint, du auch diesen Namen als Passwort verwenden könntest. Deshalb solltest du einen Passwort-Generator verwenden – er erzeugt eine zufällige Zeichenfolge, bei dem es nichts vorherzusagen gibt, und nimmt die KI komplett aus der Gleichung.

Richtig oder falsch: Das altmodische Bild des Hackers im Kapuzenpulli ist Geschichte. Die Opfer sind der Gnade von Bots ausgeliefert.

Das Lustige ist, dass ich persönlich nie einen Hoodie getragen habe. Ich finde es wirklich unangenehm, damit zu arbeiten. Aber mal im Ernst: Die Idee des Hackers im Hoodie stammt eigentlich aus Filmen, doch darum geht es jetzt nicht.

Es stimmt, dass Hacker, die alleine agieren, heutzutage praktisch ausgestorben sind. Klar, du kannst sie hier und da finden, aber sie sind keine strukturelle Bedrohung. Sie hacken eine Schule oder einen Nachbarn, den sie nicht mögen. Das ist jetzt ungefähr so, als würde man auf der Straße von jemandem ins Gesicht geschlagen werden.

Was Bots angeht, so haben Kriminelle – vor allem kriminelle Organisationen – entdeckt, dass viele Schritte automatisiert werden können. Je mehr du automatisierst, desto mehr kannst du herausholen: Die fünf Cent, die ich am Anfang erwähnt habe, können jetzt nicht mehr nur von einer Million Menschen, sondern von einer Milliarde geholt werden. Um das zu erreichen, brauchst du eine Menge Bots, und das wiederum führt dazu, dass alle zur Zielscheibe werden. Du wirst wahrscheinlich nicht von einem einzigen Hacker ins Visier genommen, es sei denn, du bist dessen Spezialgebiet. Sogar das Hacken eines Krankenhauses ist jetzt ein ganz formeller Prozess. Nehmen wir an, jemand hackt ein Krankenhaus. Das Krankenhaus schickt jemanden zur Ransomware-Verhandlung, während die Hacker ihre eigene Kontaktperson für die Verhandlungen haben, die aber nicht weiß, wer die echten Hacker sind. Dadurch werden auch neue Arbeitsplätze im Bereich der Cybersicherheit geschaffen. Es ist alles ein Geschäft, und Bots sind nur ein weiteres Werkzeug – wie ein Gabelstapler für schwere Ladungen.

Liegt Supply-Chain-Hacking heutzutage im Trend?

Das kommt darauf an. In den Niederlanden betrieben die Geheimdienste einen Verschlüsselungsdienst, bei dem alle Kriminellen einkauften, und die niederländische Polizei lehnte sich einfach zurück und lachte, als alle Kaufinformationen im Klartext auf ihren Servern ankamen.

Das Hacken von Lieferketten wird in naher Zukunft sicherlich das Mittel der Wahl für staatliche Institutionen sein. Und das kann ein Nachbeben an Konsequenzen mit sich bringen. Nehmen wir an, du hast ein wichtiges Stück Hardware gehackt – wie ASML, ein niederländisches Unternehmen, das Teile herstellt, die für die Herstellung von Chips benötigt werden –, um nicht nur den Hersteller, sondern auch dessen Kunden zu erpressen. Intel, Apple, Nvidia – alle Unternehmen, die von ASML abhängig sind, wären in Schwierigkeiten, weil sie keine neuen Chips mehr produzieren könnten. Du kannst darauf wetten, dass sie alle mit anpacken würden, um dich ausfindig zu machen, und auch die Geheimdienste würden sich an der Jagd beteiligen. Du würdest in den Fokus der Strafverfolgungsbehörden auf der ganzen Welt geraten.

Supply-Chain-Poisoning, also das Einschleusen von Malware in die Lieferkette, wird sich dank der vielen billigen Produkte, die wir online kaufen, immer mehr ausbreiten. Es gibt vielleicht acht Produktionsstätten auf der Welt, die all das Dropshipping-Zeug herstellen, das wir kaufen. Sie kleben einfach ein anderes Etikett darauf, aber letztendlich kommt alles aus der gleichen Quelle. Ein Hacker kann diese Anbieter bezahlen und sagen: „Für jeden dieser USB-Sticks, die ihr mit meiner Firmware ausliefert, zahle ich euch einen Euro.“ Dann kaufen die Leute diese USB-Sticks, stecken sie in ihre Geräte und jeder Rechner wird gehackt – so einfach ist das.

Ich kann mir vorstellen, dass Hacker noch gezielter vorgehen werden. Im Moment haben Cyberkriminelle noch nicht herausgefunden, wie sie das effizient und ohne viel Aufsehen zu erregen machen können, aber das wird in Zukunft immer bedeutender werden. Die physische und die digitale Geschäftswelt sind heute unausweichlich miteinander verknüpft. Nehmen wir zum Beispiel den Hafen von Rotterdam. Es wird extrem viel Geld für Cybersicherheit ausgegeben, weil Drogenhändler in den Niederlanden immer wieder für Störungen sorgen. Erst dieses Jahr wurden einige Leute verhaftet, die versuchten, einen Container mit Vorräten auszuladen.

Supply-Chain-Attacken sind also noch nicht das Maß aller Dinge, aber ich bin mir ziemlich sicher, dass sie das in den nächsten Jahren sein werden, vor allem wegen des Einflusses von Hackern aus staatlichen Institutionen.

Was ist für Hacker profitabler: Daten zu stehlen und zu verkaufen oder Lösegeld zu verlangen?

Ransomware macht beides. Früher ging es entweder nur um Lösegeld oder nur um Diebstahl, aber inzwischen deckt Malware alles ab. Hacker senden alle gestohlenen Dateien verschlüsselt an einen entfernten Speicherort. Wenn das Opfer das Lösegeld nicht zahlt, können sie die Daten weiterverkaufen – so haben sie nicht den ganzen Aufwand umsonst betrieben.

Die größeren Malware-Gruppen halten sich tatsächlich an eine Art „Ehre unter Dieben“-Prinzip. Wenn du das Lösegeld bezahlst, werden sie deine Festplatte entschlüsseln und die Sicherungsdateien auf ihrer Seite löschen, denn – und ich weiß, es klingt unsinnig, den Kriminellen zu vertrauen – gerade das Vertrauen ist es, das die Leute eher zahlen lässt.

Ein weiterer Grund für einen Diebstahl ist, dass sie so keine Entschlüsselungsprogramme in ihre Malware einbauen müssen. Unternehmen in Europa können zum Beispiel kostenlose Entschlüsselungsprogramme über nomoreransom.org, ein Tool von Europol, weiterleiten. Sobald sie Schwachstellen im Verschlüsselungscode finden, können sie herausfinden, wie sie ihn kostenlos entschlüsseln können. Die Polizei gibt dann diese Entschlüsselungsprogramme weiter. Wenn deine Malware keine Entschlüsselungsprogramme enthält, kann sie nicht analysiert werden. Selbst wenn du die Verschlüsselung vermasselst, kannst du immer noch ein Backup in deinem eigenen Speicher haben. Wenn jemand schließlich bezahlt, schickst du ihm einfach das Backup.

Viele zahlen trotzdem kein Lösegeld, weil man immer gesagt hat, dass die Kriminellen aufhören würden, wenn du nicht zahlst. Aber Kriminelle drehen sich nicht einfach um und sagen: „Schon wieder nichts, lass uns einfach etwas anderes machen.“ Selbst wenn sie zu anderen Methoden greifen, sorgen sie dafür, dass sie ihr Geld bekommen, egal wie.

Du hast erwähnt, dass manche Leute nicht wissen, dass sie mit Cyberkriminellen zusammenarbeiten. Wie finden Hacker diese unfreiwilligen Verbündeten?

Es gibt ein ganzes Forschungsgebiet, das sich mit der Psychologie von Cyberkriminellen befasst und untersucht, wie sie Menschen manipulieren. Callcenter-Angestellte, die den Support für Ransomware übernehmen, wissen zum Beispiel oft nicht, dass sie für Kriminelle arbeiten. Sie werden einfach als billige Arbeitskräfte angeheuert, die hinter einem Chat-Bildschirm sitzen und einem Skript folgen, als würde es sich um ein gewöhnliches Produkt handeln. Sie wissen nicht, für wen sie arbeiten, und es ist ihnen auch egal – heute machen sie Support für einen Hacker, morgen bearbeiten sie Anrufe für IBM oder wo auch immer sie ihr Gehalt hernehmen.