Archiv


Regierungen versuchen gute Hacker für ihre Cyberwar-Strategie zu gewinnen

Auf der Blackhat-Konferenz in Las Vegas kommen sogenannte "ethische Hacker" zusammen, um Sicherheitslücken aufzudecken und diese in Zusammenarbeit mit Herstellern, aber auch mit Regierungen und andern Stellen, zu schließen, sagt Wissenschaftsjournalist Peter Welchering.

Von Peter Welchering |
    Manfred Kloiber:Diese Woche traf sich im Caesar’s Palace in Las Vegas alles, was in der amerikanischen Hackerszene Rang und Namen hat. Immer Anfang August findet dort nämlich die Blackhat-Konferenz statt. Blackhats, das sind die, die einen schwarzen Hut tragen. Und - das wissen wir ja aus den Wildwestfilmen - die Guten tragen immer weiße Hüte und die Bösen die schwarzen Hüte. Wer besucht denn die Blackhat-Konferenz, Peter Welchering?

    Peter Welchering: Ja, das sind ungefähr 4000, hauptsächlich übrigens Männer, aber auch einige Frauen dabei, zunehmend wachsend dieser Anteil. Und einige dieser Teilnehmer und Teilnehmerinnen übrigens, die tragen tatsächlich schwarze Hüte. Aber das ist dann eher so ein Ausdruck einer gewissen Selbstironie.

    Die meisten der Blackhat-Konferenz-Teilnehmer, die würden sich wohl selbst als "ethische Hacker" bezeichnen, also als Hacker, denen daran gelegen ist, Sicherheitslücken aufzudecken, aber diese dann auch in Zusammenarbeit mit den Herstellern und mit anderen Stellen zu schließen.
    Und das tun sie auf der Blackhat-Konferenz seit zwölf Jahren. Den Namen hat übrigens die Blackhat-Konferenz von einer Sitzungsgruppe. Die nennt sich tatsächlich dann "live from the Black Hats", also von den Schwarzen, von den Bösen, die Sicherheitslücken aufgespürt haben, da wird euch etwas gezeigt, nämlich die neuesten Sicherheitslücken, die werden dort nämlich in diesen Sitzungen live präsentiert.

    Kloiber:
    Die Cybersicherheit, die vielen Einbrüche in Computersysteme – das alles hat ja in diesem Jahr eine ziemlich große Rolle in der politischen und gesellschaftlichen Diskussion gespielt wie noch nie zuvor. Hat sich das auf der Blackhat-Konferenz bemerkbar gemacht?

    Welchering: Oh ja, und zwar so deutlich wie noch nie. Denn es waren unglaublich viele Regierungsvertreter dort um mit den Hackern über Sicherheitslücken zu diskutieren. Auch darüber zu diskutieren, was kann man machen, um tatsächlich die Netze sicherer zu machen. Auch darüber zu diskutieren, wie sieht es denn bei unseren Konzeptionen der Cyber-Abwehr aus. Und noch nie sind so viele Sicherheitslücken auch en detail diskutiert worden wie auf dieser Blackhat-Konferenz in diesem Jahr.

    Kloiber: Und diese Computernetzwerke müssen offensiver geschützt werden, fordert Richard Clarke. Er will deshalb den Datenverkehr stärker überwachen und fordert eine offensivere Strategie der digitalen Verteidigung. Wie ist er denn damit bei den Teilnehmern an der Blackhat-Konferenz angekommen, Peter Welchering?

    Welchering: Gerade diese digitale Vorwärts-Strategie ist ein wenig zwiespältig aufgenommen worden. Aber insgesamt hat er da bei den ethischen Hackern eine durchaus beachtenswerte Unterstützung gefunden, mehr sogar, als ich erwartet habe. Und seine Forderung, das beispielsweise Internet-Provider die Datenpäckchen dann stärker auf etwaige Schadsoftware überprüfen sollen, die sogenannten T1-Provider, die großen Provider, und dass sie sogar gesetzlich verpflichtet werden sollen, Deep Packet-Inspektionen zu machen, das lehnt zwar eine Mehrheit der Blackhat-Hacker ab. Aber gar nicht mal so wenige Stimmen haben sich zu diesem Vorschlag von Richard Clarke positiv geäußert.

    Kloiber: Mitten in die Blackhat-Konferenz platzte ja auch die Nachricht des Antiviren-Herstellers McAffee, man habe entdeckt, dass seit 2006 immerhin 72 Behörden und Organisationen in 14 Ländern gehackt und ausspioniert worden seien. Wie waren da die Reaktionen?

    Welchering: Ach das haben die Hacker auf der Blackhat-Konferenz überwiegend lustig aufgenommen. Denn hier haben wir es ja tatsächlich zu einem ganz großen Teil mit älteren Sicherheitslücken zu tun, und einige Hacks waren den Insidern ach schon länger bekannt, teilweise sogar schon drei Jahre.

    Also insgesamt wurde gesagt, naja, also McAffee hat da nicht viel Neues gebracht. Allerdings, dass McAffee dann das Spear-Phishing als große Gefahr gekennzeichnet hat, also das Schadsoftware an Mail angehängt wird, dann eben angeklickt wird, und fortan beispielsweise sich auf den PCs von Anwendern eben dann verbreiten kann, das hat die ethischen Hacker dann doch schon zu einigen Lachattacken herausgefordert. Denn das ist wirklich eine uralte Methode und so etwas als neue große Gefahr zu verkaufen, das sorgte tatsächlich für Heiterkeit.

    Aber immerhin gab es eben auch die Warnung auf der Blackhat-Konferenz, auch der Anwender ist ein Sicherheitsrisiko. Das ist nicht von Natur aus, sondern das ist er wenn er nachlässig, wenn er fahrlässig handelt, deshalb muss er sensibel gemacht werden für bestimmte Sicherheitslücken, für sicherheitskritische Anwendungen. Und genau diesen Ansatz, den nutzt auch Richard Clarke sehr massiv aus bei seiner Kampagne für den Cyber-Krieg und das kommt bei den Hackern überwiegend und insgesamt gut an.

    Kloiber:
    Wir haben es eben ja schon angesprochen. Clarke bemüht sich ja, in seiner Cyber-War-Kampagne, die ethischen Hacker von seinen Zielen zu überzeugen, sie zu einer stärkeren Zusammenarbeit mit der Regierung zu überreden. Wie wird das in der Hackerszene diskutiert?

    Welchering: Clarke hatte ein recht gutes Ansehen und zwar nicht nur als Chef einer Consulting, einer Beratungsfirma, sondern er ist, weil er sich tatsächlich auf diese Zielgruppe einlässt, seit 2009 sich sehr aktiv in die Blackhat-Konferenz einbringt, überaus beliebt bei den Teilnehmern der Konferenz. Und 2002, da gab es so eine Art Durchbruch, denn damals war er Cyber-Sicherheitsbeauftragter der amerikanischen Regierung und er hat im Jahr 2002 gegen viele Widerstände, auch des Weißen Hauses, eine Rede gehalten auf der Blackhat-Konferenz, und da fühlten sich die Blackhat-Aktivisten eben ernst genommen, auch von der Regierung. Und das hat für Clarke eine Situation grundgelegt, die er jetzt wirklich für sich entscheiden kann.

    Kritische Infrastrukturen nicht über das Internet zu betreiben, das ist ja auch beispielsweise eine Forderung, die Richard Clark erhoben hat, ja sagen die meisten Hacker auf der Blackhat-Konferenz, da brauchen wir so etwas wie eine Entnetzung. Oder stimmen sie ihm auch zu, wenn er sagt, es muss mehr in Sicherheitsforschung investiert werden. Keine Frage. Security und Safety von Software zu garantieren, also das die Software das tut, was sie tun soll nach der Bedienungsanleitung, nach der Requirement-Management-Analyse und Ähnlichem, und dass die Software von außen nicht verändert werden soll, auch das findet überaus große Zustimmung.

    Die von Clarke geforderte Rüstungskontrolle bei den Cyberwaffen, die ist prinzipiell sinnvoll, da machen sie alle mit. Nur die konkrete Umsetzung, darüber wird sehr intensiv diskutiert. Da ist man dann nicht mehr bei den sehr massiven Forderungen von Richard Clarke und insbesondere dann nicht mehr, wenn er eben mehr Überwachung fordert, dass wird in der Hackerszene mehrheitlich abgelehnt.

    Immerhin aber: Clarke hat es geschafft, viele Hacker zur Zusammenarbeit mit Sicherheitsbehörden zu gewinnen. Er hat es geschafft, sie in Sicherheits-Beratungsfirmen zu holen, die Regierungsstellen beraten. Und jetzt will er eben sein Cyber-Verteidigungskonzept namens "Defensive Triade" dem Weißen Haus schmackhaft machen indem er darauf hinweist: Schaut her Leute, die Leute, die wirklich etwas von Cybersicherheit verstehen, die ethischen Hacker, die geben mir recht. Und die arbeiten mit


    Kloiber: Peter Welchering über die Blackhat-Konferenz in Las Vegas. Vielen Dank