Beruf: Hacker
Ein Profi-Hacker plaudert aus dem Nähkästchen
Er hackt Firmennetze, Online-Shops und Router. c’t traf den Profi-Hacker, um zu erfahren, wie er die Schutzmaßnahmen unserer allgegenwärtigen Technik austrickst – und wie man sich vor ihm schützen kann.
Die Universitätsstadt Tübingen hat rund 90.0000 Einwohner. Überdurchschnittlich viele davon sind Hacker, die einen guten Teil ihrer Zeit damit verbringen, Schlupflöcher zu suchen und in Unternehmensnetzwerke einzudringen. Doch die schwäbische Stadt hat nicht etwa ein Cybercrime-Problem. Die Hacker arbeiten für das in Tübingen beheimatete Unternehmen SySS, eine der ältesten und größten Pentesting-Firmen Deutschlands. Genau genommen lautet ihre Berufsbezeichnung „Penetration Tester“ oder auch „Security Consultant“, also Sicherheitsberater.
Faktisch geht es jedoch vor allem ums Hacking. Die Berufshacker nutzen durchaus ähnliche Techniken wie die Cyber-Schurken – es gibt allerdings einen wesentlichen Unterschied: Pentester arbeiten nicht gegen ihre Angriffsziele, sondern für sie. Unternehmen beauftragen Spezialfirmen wie SySS damit, ihre Infrastruktur und Produkte auf Schwachstellen abzuklopfen. Anschließend erstatten die Pentester Bericht und das Unternehmen kann die Schlupflöcher stopfen, ehe sie von einem echten Angreifer missbraucht werden.
Einer der rund 70 Auftragshacker von SySS ist Gerhard Klostermeier. Der 31-Jährige stammt ursprünglich aus dem baden-württembergischen Villingen-Schwenningen, seit mehr als vier Jahren ist er Pentester bei SySS. Er klopft auch Webanwendungen auf Sicherheitslücken ab, vor allem aber Hardware. Eines seiner Steckenpferde ist der Nahfunkstandard NFC. So entwickelte der studierte Informatiker schon im Rahmen seines Praxissemesters das Mifare Classic Tool für Android, mit dem man NFC-Karten auslesen und klonen kann. Er kennt und nutzt zahlreiche der Hacking-Gadgets, die wir in dieser Ausgabe vorstellen. Für ihn sind die Geräte jedoch Werkzeuge, die ihm seinen Berufsalltag erleichtern. Ich habe Klostermeier getroffen, um zu verstehen, wie ein Profi-Hacker arbeitet und welche Rolle unsere Gadgets dabei spielen.
Als wir an meinem Schreibtisch in der c’t-Redaktion Platz nehmen, ist Klostermeier sofort in seinem Element. Als er sieht, wie ich meinen Arbeits-PC mit einer Windows-Hello-Kamera entsperre, legt er direkt los: „Wir haben dazu ein YouTube-Video gemacht. Wir haben mit einem Laserdrucker einen Ausdruck erstellt, der dem Bild der Infrarotkamera stark ähnelt. Das reicht als Trugbild, um den Rechner zu entsperren.“ Es ist unter anderem dieser schwierige Spagat zwischen Komfort und Sicherheit, der dafür sorgt, dass Pentestern wie ihm die Aufträge nicht ausgehen.