Hinter der Firewall

Was tun, wenn Hacker angreifen? In einem Trainingszentrum in Tschechien proben Firmen den Ernstfall.

Kilian Kirchgessner

Milan Balazik schreitet durch das Zentrum seiner Macht wie ein siegessicherer Feldherr. Er kennt den Knopf im Kontrollraum, der die blauen Fensterläden elektrisch schliesst, so dass kein Lichtstrahl mehr eindringt, er weiss um den Algorithmus, mit dem er sämtliche Handys weit und breit zum Abstürzen bringen kann. Jetzt steht er hier zwischen den Computern, die Beine breit, die Hände in die Hüften gestemmt, und wartet auf den Feind.

Der Ort, von dem aus Milan Balazik seine Feldzüge startet, ist einer der sichersten Plätze in Tschechien. Die Villa steht im Speckgürtel Prags, vom Zentrum aus fährt man eine Dreiviertelstunde über die Autobahn und kurvt dann durch Vorstadtstrassen, in denen sich der wachsende Wohlstand der Tschechen zeigt: Lücken in mannshohen Hecken geben mancherorts den Blick auf Gärten frei, die wie Parks anmuten und die perfekte Kulisse sind für riesige Häuser, steingewordene Träume moderner Architekten, die hier endlich einmal losplanen durften, ohne sich um Budgets und andere Hindernisse kümmern zu müssen. Es ist später Vormittag, junge Mütter schieben Kinderwagen über die Strasse, und kurz bevor sie ganz hinten in ein Wäldchen abbiegen, kommen sie an der Villa vorbei, in der Milan Balazik seine Waffenkammer hütet. Hoch ist der Zaun, an der Klingel fehlt ein Name, und die Kameras an allen Ecken erfassen jeden, der in die Nähe kommt. Für jene, die hereingelassen werden, öffnet sich das erste Automatiktor, das den Weg freigibt in den Sicherheitsstreifen, auf dem nachts die Hunde patrouillieren, und erst wenn sich das Tor wieder geschlossen hat und der Besucher mit dem Auto wie in einer Schleuse steht, gibt das nächste Tor den Weg frei zum Kampfplatz.

Der Kampfplatz befindet sich in der Villa. Sie hebt sich ab von der modernen Architektur auf den anderen Grundstücken. Sie hat geschwungene Dachgauben und ein toskanisch anmutendes Säulenportal – jene Scheusslichkeiten, die einige Neureiche in den 1990er Jahren für einen Beweis ihrer Weltläufigkeit hielten und die in Tschechien heute als «Unternehmer-Barock» verspottet werden. Aber für Ästhetik ist Milan Balazik nicht zuständig. Er steht in der zweistöckigen, komplett verglasten Eingangshalle. Das Parkett hat er verlegen lassen, um den früheren Indoor-Pool zu verdecken, den jetzt, im Kriegszustand, niemand mehr braucht. Ihm geht es um andere Dinge: «Als wir die Villa vor ein paar Jahren gekauft haben», sagt er, «mussten wir als Erstes die Sicherungsschalter austauschen, wir brauchen zehnmal mehr Strom als die Vorbesitzer.» Ein paar Monate lang legte Balazik mit seinen Leuten Elektroleitungen über die Marmorsockel, hängte armdicke Stränge von Datenkabeln unter die Kirschholzvertäfelung und baute in jeden Raum schwere Sicherheitstüren ein. «Wenn wir im Training sind, können wir hier alles hermetisch abriegeln.»

Den Kampf, in den sich Milan Balazik entschlossen hat zu ziehen, kann er nicht gewinnen. Es ist der Kampf gegen Hacker. Balazik hat ihn selbst als Hacker begonnen. Aber als White-Hat-Hacker. Das ist ihm wichtig. White Hat bedeutet: einer von den Guten. Wer sich mit Balazik unterhält, muss erst einmal Vokabeln lernen: Black-Hat-Hacker – das sind die Bösen, die Datenpiraten. White-Hat-Hacker versuchen, die Angreifer zu stoppen. Es klingt fast wie in einem Räuber-und-­Gendarm-Spiel, nur dass es bei der Cyberkriminalität längst um Milliardensummen geht und um die Sicherheit hochtechnisierter Gesellschaften. Seit 21 Jahren mache er das, sagt Milan Balazik, viele Jahre davon habe er in München verbracht.

Reportagen-Recherchefonds:
Jetzt unterstützen

Jeder Beitrag zum Reportagen-Recherchefonds ermöglicht es, dass sich Reportagen als unabhängiges Magazin weiterhin an die grossen und zeitraubenden Themen wagen kann.

Jetzt unterstützen

Genauer will er nicht werden, Fragen zu seiner Person sind tabu, denn in seinem Beruf lebt er von Unauffälligkeit. Auch sein Äusseres ist unauffällig: schütteres Haar, grauer Schnauzbart, Jeans, schwarze Halbschuhe, schwarzes Poloshirt, eine leicht untersetzte Figur wie viele Männer in ihren Fünfzigern. Balazik ist der oberste Hacker einer Firma namens CyberGym. Sie bietet einen Dienst an, der in Europa einmalig ist: Unternehmen schicken ihre IT-Teams hierher in den Prager Speckgürtel, damit Milan Balazik sie mit seinen Leuten systematisch in die Zange nimmt. Er spielt den Black-Hat-Hacker, um den IT-Teams Kundendaten zu klauen, ihre Websites zu manipulieren, die Maschinen in ihren Produktionshallen kaputtzumachen oder Zugang zu geheimen Konstruktionszeichnungen aus der Entwicklungsabteilung zu bekommen.

Die Hacker-Schlacht hat einen klaren Ablauf: In einigen der Räume sitzen Balaziks Kunden und versuchen, die Angriffe zu stoppen, Balazik nennt sie das «Blue Team». Ein paar Zimmer weiter, verschanzt hinter den dicken Türen, sitzen seine eigenen Leute, das «Red Team», die Bösen. «Wir können die Attacken verlangsamen, wenn der Kunde nicht mithalten kann, und wir können immer weiter aufdrehen, je nachdem, welche Skills er hat», sagt Balazik. Mit seiner Firma hat er den Kampf gegen das Böse aufgenommen, er möchte die Leute trainieren, die sich den Black Hats in den Weg stellen. «Das ist genauso wie beim Militär: Die können ja auch nicht bloss üben, wie man eine Pistole auseinanderschraubt und wieder zusammensetzt. Ein Soldat muss wissen, wie es ist, wenn eine Granate hochgeht, er muss erfahren, was zu tun ist, wenn er angeschossen wird: Soll er weiterkämpfen oder weglaufen?»

Milan Balaziks Wortwahl ist martialisch, wenn er über seine Arbeit redet. Zum einen liegt das daran, dass das Konzept seines CyberGyms in Israel entwickelt worden ist, wo in Sicherheitskreisen eine robuste Rhetorik benutzt wird. Der andere Grund ist, dass nun einmal Krieg herrscht im Internet, von dem die meisten Nutzer nur dann etwas mitbekommen, wenn wieder einmal eine Meldung in der Zeitung steht, dass bei einem Onlinehandel Kundendaten gestohlen wurden oder dass Hacker von den Servern eines grossen Filmstudios den neuen Blockbuster geklaut haben und Lösegeld fordern, bevor sie den Film noch kostenlos im Internet veröffentlichen und den Konzern so um milliardenschwere Erlöse bringen.

Im Prager CyberGym trainieren Banken und Versicherungen, wie sie ihre Daten schützen, und immer häufiger kommen Wasserwerke und Energieversorger aus ganz Europa hierher – ihre Leitungen, Turbinen oder Umschaltwerke sind potenzielle Angriffsziele im digitalen Krieg. Milan Balazik deutet auf die Techniker, die durch das Trainingszentrum wirbeln: «Die bereiten gerade alles für den Kunden vor, der morgen kommt. Ein Industrieunternehmen aus der Stromerzeugung.» Mehr dürfe er nicht sagen, nicht den Namen, nicht das Herkunftsland, nicht die Grösse der Firma. Und dabei sein, wenn hier für den Ernstfall geprobt wird, dürfe ohnehin niemand, sagt Balazik, man rede hier schliesslich vom sensibelsten Bereich einer jeden Firma, von der Achillesferse der modernen Welt. Selbst auf die Frage, wie viele Hacker eigentlich in seinen Diensten stehen, hebt er abwehrend die Hand: «Das darf ich Ihnen nicht sagen.» Und dann schiebt er einen Satz nach, der als Scherz gemeint ist, aber hier, im hochgerüsteten Trainingszentrum, wie eine Drohung klingt: «Denn wie man so schön sagt: Danach müsste ich Sie erschiessen!»

 

Der erste Schuss, der auf der Welt jemals im Cyberwar abgegeben wurde, fiel im Jahr 2009 – zumindest war das nach einem langen Vorgeplänkel voller Spionage, Viren und Datenklau das erste Mal, dass Hacker selbst ins Geschehen eingriffen: Physiker in einer Atomanlage in der iranischen Stadt Natanz wunderten sich, dass schon seit Wochen die Zentrifugen, mit denen sie Uran anreichern wollten, immer unzuverlässiger arbeiteten. Das Uran würde in Atomkraftwerken verwendet werden – oder potenziell auch in Atombomben. Iran verfügte zu diesem Zeitpunkt bereits über 800 Kilogramm niedrig angereichertes Uran, würde die Produktion im gleichen Tempo fortschreiten, dann könnte das Material binnen eines weiteren Jahres ausreichen, um zwei Atomsprengköpfe zu bestücken. Die Zentrifugen waren bestens geschützt, die Steuerungscomputer hatten die Ingenieure nicht mit dem Internet verbunden – damit niemand eindringen konnte.

Doch dann fiel plötzlich eine Zentrifuge nach der anderen aus. Obwohl sie bisher zuverlässig gearbeitet hatten.

Der Angriff startete am Dienstag, den 23. Juni 2009, im Morgengrauen, so hat es Kim Zetter später rekonstruiert, Autor des Buches Countdown to Zero Day. An jenem Tag steckte jemand bei der iranischen Firma Foolad Technic einen USB-Stick in einen Computer. Binnen kürzester Zeit waren alle Rechner des Unternehmens mit einem Wurm infiziert, der später als Stuxnet bezeichnet wurde. Ein Wurm ist ein besonders tückischer Angreifer, der sich selbst installiert – anders als ein Virus, das der Nutzer erst einmal selbst aktivieren muss, zum Beispiel, indem er auf einen infizierten Mailanhang klickt. Die Firma Foolad jedenfalls war eines der Unternehmen, das mit den Betreibern der Uran-Zentrifugen zusammenarbeitete. Und ab sofort nistete sich Stuxnet auf jedem USB-Stick ein, den jemand mit einem der Firmencomputer verband, und infizierte von dort aus jeden weiteren Rechner, an den einer der Sticks angeschlossen wurde. So kam der Wurm auch in den Bereich, den die Techniker sicherheitshalber vom Internet getrennt hatten, und nistete sich auf den Steuerungsrechnern der Uran-Zentrifugen ein. Der Wurm griff sofort an: Er liess die Zentrifugen erst langsam laufen und beschleunigte sie dann für wenige Sekunden bis an die Grenzen ihrer Leistungsfähigkeit, immer wieder bremste er sie ab und gab dann wieder Vollgas. Lange hielten die Maschinen das nicht aus. Eine Zentrifuge nach der anderen fiel aus. Wurde eine ausgetauscht, übernahm der Wurm sogleich die Kontrolle über das Ersatzgerät. Im Film Zero Day, der den Cyberangriff einige Jahre später in einen abendfüllenden Thriller verwandelte, diente ein Luftballon als Analogie: Ein elektrischer Blasebalg, der sich eigentlich abschalten sollte, wenn der Ballon gefüllt ist, pumpt einfach immer weiter – so lange, bis der Ballon platzt.

Aus Sicht der Angreifer war Stuxnet ein voller Erfolg: Der Wurm führte dazu, dass das iranische Atomprogramm laut Experten um mindestens zwei Jahre zurückgeworfen wurde.

Milan Balazik winkt mit der Hand, ihm zu folgen. Über eine schmale Treppe im Seitenflügel der Villa steigt er hinunter in den Keller. Natürlich kennt er Stuxnet, natürlich kennt er die Mutmassungen aus der Branche, nach denen der Wurm ein Gemeinschaftsprodukt des amerikanischen und des israelischen Geheimdienstes gewesen sei. «Wir können hier für Fälle trainieren, die sehr ähnlich sind», sagt er. Die Kellerräume sind dafür speziell präpariert. In einem von ihnen, der lang ist wie ein Flur und dessen Wände kaum zu sehen sind hinter isolierten Wasser- und Heizungsrohren, haben Balaziks Leute ein Miniatur-Kraftwerk aufgebaut: Ein zwei Meter hoher Edelstahltank in der Mitte, über Rohre verbunden mit verschiedenen Turbinen und Pumpen. Überall dazwischengeschaltet sind Sensoren, die Drehgeschwindigkeiten, Laufzeiten und Temperaturen messen.

Der zweite Raum ist das Kontrollzentrum. Vom Mini-Kraftwerk ist er durch eine Tür getrennt, die sich hermetisch verschliessen lässt. Es ist ein grosser Eckraum mit Fenstern, die in Lichtschächte führen und etwas vom Tageslicht hereinlassen. Auf einem Dutzend Schreibtischen entlang der Wand stehen Bildschirme, auf ihnen sind Tank, Turbinen und Pumpen aus dem Kraftwerk als Grafiken zu sehen. Die Bildschirme zeigen, was im Kraftwerk passiert. Grüne Zahlenkolonnen leuchten auf ihnen, sobald sie rot werden, stimmt etwas nicht. «Es gibt Hacker, die kapern über das Internet die Sensoren im Kraftwerk und sorgen dafür, dass die Leute hier im Kontrollraum immer grüne Zahlen sehen, als ob alles in Ordnung sei. In Wirklichkeit können sie die Temperatur senken oder erhöhen, sie können Turbinen so hoch drehen lassen, dass sie kaputtgehen.» Bei Stuxnet hat irgendwann jemand erkannt, dass die Zentrifugen nicht aufgrund von Materialermüdung kaputtgingen, sondern wegen gezielter Sabotage. Aber bis dahin dauerte es viele Monate – im Kontrollzentrum war schliesslich alles im grünen Bereich. Die Ingenieure kamen lange nicht auf die Idee, die Werte auf den Computerbildschirmen infrage zu stellen.

Die Liste der Ziele, die Hacker in den vergangenen Jahren angegriffen haben, zeigt die gewaltigen Dimensionen des Problems, mit dem Leute wie Milan Balazik kämpfen. Eine Auswahl: Im Jahr 2007 fielen in Estland wochenlang zahlreiche Computer der Regierung aus, Geldautomaten und Computer, die an Notrufnummern gekoppelt sind, funktionierten nicht. Im April 2011 stahlen Hacker die Daten von 75 Millionen Playstation-Spielern von den Servern der Firma Sony, inklusive Postadressen und Kreditkartendaten. Im Februar 2013 kaperten Hacker die Twitter-Accounts von Burger King und verkündeten, das Unternehmen gehöre jetzt zu McDonald’s. Im gleichen Jahr hackten sich Unbekannte in die Rechner der Firmenzentralen von Apple und Facebook ein. Im Oktober 2014 meldete die Grossbank JPMorgan, ihr seien Datensätze von mehr als 80 Millionen Kunden gestohlen worden. Und der Deutsche Bundestag in Berlin musste 2015 öffentlich machen, dass offenbar monatelang Hacker Zugriff auf das System gehabt hatten. Welche Dateien sie sich angeschaut oder kopiert hatten, liess sich laut Bundestag nicht mehr rekonstruieren. Mindestens so schwer wiegt die jüngste Datenpanne, wieder aus der deutschen Politik: Im März wurde bekannt, dass Hacker das Datennetz der Bundesverwaltung infiltriert hatten. Besonders betroffen sei das Aussenministerium. Offenbar war es den Hackern gelungen, in das schwer gesicherte Netzwerk einzudringen, das die beiden deutschen Regierungsstandorte Bonn und Berlin verbindet. Verantwortlich war nach Angaben der Ermittler eine russische Hackergruppe.

«Das Erste, was wir hier den Kunden beibringen, ist, einen Hackerangriff überhaupt zu bemerken», sagt Milan Balazik. Die besten Angreifer schaffen es, die Rechner etwa von Automobilherstellern zu kapern, sich schier unbezahlbare Konstruktionsskizzen fürs nächste Modell anzuschauen und dann das System wieder zu verlassen, ohne dass jemand die Spionage überhaupt auch nur bemerkt hätte. Oft landen solche Daten bei der Konkurrenz. «Im Idealfall stoppst du den Hacker», sagt Balazik. «Aber das ist ein aufwendiges Unterfangen. Gut ist es auch, ihn zu verlangsamen oder zu verhindern, dass er zu den entscheidenden Dateien vordringt. Du kannst ihn ein paar Daten klauen lassen, damit du so die grossen Geheimnisse schützt. Der Kampf gegen die Hacker ist so wie draussen beim Militär: In der Schlacht wird der General immer ein paar Soldaten verlieren. Der Gegner kann viel grösser sein, er kann strategisch geschickter sein. Aber wenn du deine Stellung verteidigst, selbst bei Verlusten – dann ist das ein Gewinn.»

Wie bei den alten, analogen Schlachten gibt es auch im Cyberwar unterschiedliche Frontverläufe. Wenn Russland im Verdacht steht, den Wahlkampf in Amerika zu manipulieren, und wenn behauptet wird, dass chinesische Hacker Industriespionage im Westen betreiben – dann stehen auf dem Kampfplatz Staaten anderen Staaten gegenüber, ganz ähnlich wie in konventionellen Kriegen. Dass Milan Balazik das Trainingszentrum im kleinen, unscheinbaren Tschechien aufgebaut hat, ist clever: Militärisch spielt Tschechien keine grosse Rolle, muss also in grossen Konflikten keine Partei ergreifen. Zugleich hat sich das Land unbemerkt zu einer der europäischen Technikhochburgen entwickelt: Die Universitäten bilden überdurchschnittlich viele IT-Experten aus, Startups aus Tschechien sind weltweit erfolgreich, und zwei der am weitesten verbreiteten Anti-Viren-Programme – AVG und Avast – stammen von tschechischen Firmen. Das hat historische Gründe: Tschechien wurde zu Zeiten der österreichisch-­ungarischen Monarchie stark industrialisiert. Im Kommunismus baute das Land Strassenbahnen, Waggons und Panzer für den gesamten Ostblock; nach der politischen Wende verlagerten etliche westliche Firmen ihre Produktion nach Tschechien, weil die dortigen Arbeiter für ihre «goldenen tschechischen Hände» berühmt waren. Und jetzt, im Zuge der Digitalisierung, verlagern sie ihre technische Gewandtheit in den virtuellen Raum.

Etwas von dieser Bedeutung Tschechiens ist in einem Hotel zu besichtigen, das im Prager Zentrum steht und «Haus der Armee» heisst. Einige Einrichtungen der tschechischen Streitkräfte haben hier ihren Sitz, und ein Teil des ehrwürdigen Hauses aus den 1950er Jahren dient jetzt als Kongresshotel. Die Kellner wirken wie würdevoll gealterte Soldaten, sie bewegen sich aufrecht und stolz, ihre Anzüge sind perfekt gebügelt, die Haare kurz geschoren. Das Hotel ist die perfekte Kulisse für einen Kongress, der sich «Future Forces Forum» nennt und bei dem es zwei Tage lang um die Verteidigung von IT-Systemen gegen Black-Hat-Hacker geht. Teilnehmer aus ganz Europa sind angereist, auf den Podien sitzen fast nur Männer, sie halten gelehrte Vorträge über Sicherheitsbedrohungen im Internet und darüber, wie man künstliche Intelligenz zur Absicherung der eigenen Netzwerke nutzen kann. Auch die Firma CyberGym ist vertreten, das Unternehmen, für das Milan Balazik arbeitet. Sein Kollege Martin Uher steht gerade am Rednerpult und wirbt für seinen Arbeitgeber: «Natürlich haben Sie alle gut ausbildete Sicherheitsleute in der IT-Abteilung», sagt er. «Aber ein Fussballtrainer, der jeden Spieler einzeln trainiert, wird keine Meisterschaft gewinnen. Sie müssen ein Team bilden!» Uher zeigt auf einer grossen Leinwand apokalyptische Fotos von brennenden Hochhäusern und entgleisten Zügen, er spricht davon, dass sich das nächste Pearl Harbour im digitalen Bereich ereignen werde – ein Angriff, gegen den keine der bisher üblichen Strategien helfen werde. Beunruhigt ist im Publikum niemand, sie alle wissen, dass sie auf einem Pulverfass sitzen. Dass es, wie Milan Balazik sich in seinem Trainingszentrum ausdrückt, schon längst nicht mehr die Frage ist, ob eine Firma Opfer von Hackern werde. Sondern nur noch, wann.

 

Genau deshalb pilgern ganze IT-Abteilungen zu Milan Balazik in die umgerüstete High-Tech-Villa vor den Toren Prags. Während sein Kollege auf Messen und Konferenzen um Aufträge wirbt, sitzt Balazik mit seinem Hacker-Team vor den Computern und bereitet den Angriff auf den nächsten Kunden vor. «Es ist ja so», sagt er: «Nachdem Stuxnet bekannt geworden ist, haben einige Firmen richtig viel Geld investiert, sie haben teure Netzwerktechnik gekauft, Anti-Viren-Programme und aufwendige Firewalls aufgebaut. Das ist auch gut so. Aber sie haben keine Vorstellung davon, wie es ist, angegriffen zu werden.» Das sei so ähnlich, als wiege sich jemand in Sicherheit, weil er für sein Haus die dickste Tür und das beste Schloss gekauft habe und den Schlüssel niemals aus der Hand gebe – «aber wenn dann der Einbrecher durchs Fenster kommt, dann weiss er nicht mehr weiter. Game over.»

Natürlich klingt Milan Balazik so, wie er als guter Verkäufer klingen muss: Je schwärzer er die Abgründe malt, desto bereitwilliger greifen potenzielle Kunden in ihr Portemonnaie, um Sicherheitsdienste anzuheuern. Tatsächlich hat sich rund um die Netzwerksicherheit innerhalb weniger Jahre eine milliardenschwere Branche entwickelt: Spezialisierte Consultants bieten ihre Dienste an, Sicherheitsfirmen gehen auf Patrouille, konvertierte Black-Hat-Hacker dringen für horrende Honorare in Firmennetzwerke ein, um Schwachstellen rechtzeitig zu enttarnen. Sie alle wollen etwas vom Kuchen abhaben, und weil nahezu alle grossen Firmen gerade gewaltige Summen für die Digitalisierung ausgeben, fallen für die Anbieter von IT-Sicherheitsdiensten nicht nur Brosamen vom Tisch, sondern ganze Kuchen­stücke. Und natürlich trommeln sie für ihre Dienste – genauso wie eben Milan Balazik.

Wenn er einen Auftrag gewonnen hat, baut er mit seinen Leuten zunächst die IT-Systeme des Kunden möglichst originalgetreu nach – die gleichen Firewalls, die gleichen Virenscanner, die gleichen Programme wie in deren Büro, nur eben auf den Rechnern im Trainingszentrum, damit die echte Software keinen Schaden nimmt. Denn bei den Manöverübungen geht es schonungslos zur Sache: Das Red Team, die Hacker von Milan Balazik, eröffnet das Feuer. «Wir proben die gleichen Szenarien, die es im echten Leben auch gibt: Zum Beispiel, dass die Hacker einen aufwendigen Angriff starten, um dort die Kapazitäten der Verteidiger zu binden. Und dann nehmen sie gleichzeitig eine andere Tür, die unbewacht ist, und kommen mit einem zweiten Angriff zum Ziel.» Und immer stellt sich die Frage der Kapazität: «Viele Firmen schaffen es, eine Reihe von Angriffen abzuwehren. Aber wir können das Trommelfeuer verstärken – und dann brechen auch Verteidigungsringe, die am Anfang noch sicher gehalten haben.» Bei manchen Unternehmen, die in der Prager Arena trainieren, kommt der komplette Vorstand mit. Denn oft stehen im Ernstfall Entscheidungen an, die eine Firma zugrunde richten können: Ab wann soll die Internetseite eines Online-Geschäfts vom Netz genommen werden? Soll man den Server herunterfahren, auch wenn dadurch die gesamte Produktion lahmgelegt wird? Und wie informiert man die Kunden, dass gerade Hacker die Kontrolle über ihre Kreditkartendaten übernommen haben?

«Natürlich hatten wir schon Kunden, die sich hervorragend verteidigen können gegen virtuelle Angriffe.» Milan Balazik lacht, und es klingt ein wenig diabolisch. Hier, auf seinem Kriegsspielplatz, kann er die Schlagzahl vorgeben. Die richtigen Einfalltore findet er eigentlich immer. Manchmal sitzen die IT-Leute von grossen Unternehmen zum Beispiel in verschiedenen Stockwerken oder sogar an unterschiedlichen Standorten. Die schickt er während des Trainings in verschiedene Räume. «Und nun stellen Sie sich vor», sagt Milan Balazik, «dass die Hacker die Telefonleitungen lahmlegen. Dass sie die Mobilfunkgeräte zum Absturz bringen und schliesslich sogar die Walkie-Talkies ausschalten. Da ist dann plötzlich jeder auf sich allein gestellt. Das alles können wir hier simulieren. Aber die meisten verlieren schon die Nerven, wenn die E-Mails plötzlich nicht mehr ankommen.» Für die ganz Hartgesottenen hält Balazik noch eine weitere Steigerung auf Lager: Das Licht geht aus, die Rollos fahren herunter, aus dem Kraftwerk quillt dichter Rauch, und über allem liegt der schrillende Warnton von Sirenen. Schritt für Schritt steigt der Druck – wer unter solchen Bedingungen einen Angriff abwehrt, davon ist Balazik überzeugt, ist auch gut für den Ernstfall gerüstet. Und Ernstfälle gibt es öfter, als sich Laien das vorstellen mögen.

Die Ukraine am 23. Dezember 2015. In der Westukraine fällt der Strom aus, hunderttausende Haushalte sind betroffen; es ist einer der grössten Blackouts, die es jemals gegeben hat. Ein Hacker ist in das System des Stromversorgers eingedrungen, und im Nachhinein finden Sicherheitsexperten heraus, wie er den Coup gelandet hat. Es ist ein Vorgehen, das geradezu mustergültig scheint – und immer wieder vorkommt. Ein perfider Fünf-Stufen-Plan. Erstens: Über einen infizierten Mail­anhang gelingt der Zugang zum System. Zweitens: Der Hacker schaut sich in aller Ruhe in der Software um und sammelt Informationen über Sicherheitslücken und die verwendete Steuerungssoftware. Drittens: Dank dieser Informationen bewegt er sich im System immer weiter vor und gelangt immer tiefer in immer besser geschützte Bereiche. Viertens: Er stösst zum Kern vor und infiltriert die sogenannte Scada-­Software, mit der Industrieanlagen gesteuert werden. Fünftens: Er legt den virtuellen Schalter um – ein ganzes Land sitzt im Dunkeln.

«Es gibt unter Hackern eine klare Hierarchie», sagt Milan Balazik. Alle fangen als «Script Kiddies» an, so heissen die technisch begabten Schüler im Hacker-Slang. Sie lesen ein paar Anleitungen, laden sich von einschlägigen Internetseiten einen Code herunter und fahren eine kleine Attacke gegen das Netzwerk ihres WG-Mitbewohners. Oder gegen das örtliche Rathaus. «Von diesen Script Kiddies gibt es jede Menge, meistens sind sie ungefährlich», sagt Milan Balazik. Die nächste Stufe sind Hacker, die für Geld arbeiten. Sie dringen in Firmensysteme ein und verkaufen Informationen im Darknet, einem abgeschotteten Bereich des Internets, in dem Kriminelle allerhand dunkle Geschäfte abwickeln. Oder sie finden eine Schwachstelle in einem neuen Betriebssystem, durch die andere Hacker dann fremde Computer infiltrieren können – «solche Sicherheitslücken werden für richtig viel Geld gehandelt», sagt Milan Balazik. In der nächsthöheren Hacker-Kaste geht es um Industriespionage: Ausländische Konzerne heuern ein Team von Hackern an, um gezielt Informationen bei der Konkurrenz zu beschaffen. «Je höher man steigt, desto grösser werden die Möglichkeiten: Da ist immens viel Geld im Spiel, die Hacker haben mehr Zeit, um Schwachstellen zu finden. Wer ein globales Bankennetz angreifen will, der braucht sehr viel Geld.» Und schliesslich kommt die Königsklasse, die Liga der Geheimdienste und des Militärs.

«Meistens», sagt Milan Balazik, und es soll wie eine Ermunterung klingen, wie ein Trost, «meistens verlaufen die Kämpfe horizontal.» Geheimdienst A kämpft gegen Geheimdienst B, Firma A gegen Firma B. Dass hingegen ein Geheimdienst einen Mittelständler irgendwo auf dem Land ins Visier nähme, das komme so gut wie nie vor. Und dass Script Kiddies beim Pentagon einbrechen, auch nicht – «obwohl», sagt Balazik und schmunzelt: «Die versuchen es natürlich, das gehört dazu.»

 

Dieses anerkennende Schmunzeln verrät viel über die Hackerszene: Wem ein Husarenstück gelingt – ein besonders dreister Hack, ein Einbruch durch ein unbekanntes Schlupfloch, ein Rachefeldzug gegen eine ungeliebte Firma –, der wird zur Legende. Die Zahl dieser Legenden ist hoch, die ersten Hacker gab es schon lange bevor jeder zu Hause seinen eigenen Computer hatte. In den 1960er Jahren trieb John T. Draper sein Unwesen, genannt Captain Crunch. So hiess eine Cornflakes-Sorte, deren Packungen stets eine Spielzeugpfeife beilag. Er klebte auf diesen Plastikpfeifen ein paar Löcher zu und erreichte so beim Reinpusten einen Ton in einer speziellen Frequenz. Damit konnte er die damals gängigen Telekommunikationssysteme täuschen, in denen Töne auf verschiedenen Frequenzen im Hintergrund die Anrufe steuerten. So konnte Captain Crunch kinderleicht Telefonate manipulieren, indem er in den Hörer pfiff. Selbst die Mafia machte sich seine Technik zu eigen.

Dann gab es da Karl Koch, einen deutschen Hacker: Er nannte sich im Internet Hagbard Celine und drang in den 1980er Jahren in die Netzwerke von Atomkraftwerken und US-Unis ein, um gestohlene Daten an den russischen Geheimdienst KGB zu verkaufen. 1989 wurde seine verbrannte Leiche gefunden, nach offiziellen Angaben hatte er Selbstmord begangen. Oder Kim Schmitz, der sich selbst zum Hackerkönig ausrief und am Anfang seiner zwielichtigen Karriere damit Geld verdiente, dass er amerikanische Telefonkarten hackte, mit denen er kostenpflichtige Nummern anrief, die er zuvor selbst eingerichtet hatte – jeder betrügerische Anruf liess ihn reicher werden. Oder der Hacker mit dem Decknamen Tron: Er knackte die Verschlüsselungen von Bezahlsendern und Telefonunternehmen, ohne daraus Profit zu schlagen, er wollte nur auf Sicherheitslücken aufmerksam machen. 1998 fand ihn ein Spaziergänger erhängt an einem Baum, offizielle Todesursache: Selbstmord. Oder Robert Tappan Morris: Im Jahr 1988 programmierte er den ersten Wurm, den es jemals gegeben hat. Die Legende besagt, dass er mit seiner Software das noch überschaubare Internet vermessen wollte und ihm dann seine gross angelegte Exploration aus dem Ruder lief. Zur Strafe musste er Sozialstunden abarbeiten und ist heute Professor am berühmten Massachusetts Institute of Technology. Der Grat zwischen Genie und Kriminellem scheint sehr schmal.

Milan Balazik sitzt auf einem Designersessel in der Eingangshalle der säulenverzierten Villa, unter sich das abgedeckte Schwimmbad und über sich die Technikräume im Obergeschoss, in die noch nie ein Besucher hineinschauen durfte. «Zwei Sachen gibt es, die mache ich als Privatperson niemals in der digitalen Welt», sagt er. «Ich nutze zwar Online-Banking, aber nicht vom Handy aus, das erscheint mir zu unsicher. Und ich bin nicht bei Facebook oder anderen sozialen Netzwerken aktiv.» Bei Bankgeschäften vom Smartphone aus sind die Sicherheitslücken grösser als am stationären Computer – allein schon deshalb, weil viele Kunden ihre Banking-App und die TAN-App, mit der eine Geheimzahl erzeugt wird, auf demselben Gerät laufen lassen. Oder sich per SMS eine Geheimnummer auf das Handy schicken lassen, von dem aus sie auch online sind. Datendieben erleichtert das ihr Handwerk. Und Facebook: Viele Cyberangriffe beginnen nicht mit einem digitalen Manöver, sondern mit einer simplen Falle, in die ein analoges Gehirn tappen soll. «Wenn jemand auf Facebook sieht, dass ich gern Golf spiele, schickt er mir eine E-Mail, die so exakt auf mich zugeschnitten ist, dass ich garantiert in den Köder beisse – ein Schnupper­angebot auf meinem Traum-Golfplatz zum Beispiel, klick, ich öffne den Anhang, und schon ist er im Computersystem drin.» Deshalb sagt Balazik lieber nichts: nichts über seine Familie, nichts über seine Hobbys, nichts über sein früheres Leben in München und schon gar nichts über sein derzeitiges in Prag.

Bei Stuxnet, dem Wurm, der die iranischen Uran-Zentrifugen sabotierte, müssen die Hacker von einem ganzen Team realer Spione unterstützt worden sein, darin sind sich Experten heute einig. Genau dieses Wissen um persönliche Vorlieben, die vermeintlich freundschaftliche Kontaktaufnahme mit dem Nachbarn, der zufällig im iranischen Atomprogramm arbeitet – das alles muss dem tatsächlichen Hacker-­Angriff vorangegangen sein. «Die meisten Hackerangriffe, die zum Ziel gelangt sind, haben keine technischen Schwachstellen genutzt, sondern menschliche», sagt Milan Balazik. Berühmt geworden sind die Fälle, in denen sich Firmenmitarbeiter an ihrem Arbeitsplatz für die Unternehmens-Homepage fotografieren liessen – und im Hintergrund, scharf zu erkennen, hingen an ihren Bildschirmen bunte Klebezettel mit feinsäuberlich notierten Passwörtern.

Solche Schwachstellen kalkuliert Milan Balazik bei seinen Trainingsprogrammen gezielt mit ein. Sein Lieblingstrick, mit dem er bislang auch hartgesottene Verteidiger in die Knie zwingen konnte: Wenn alle in einer Besprechung sitzen, lässt er eine Agentin am verschlossenen Raum der Teilnehmer klopfen, verkleidet als Putzfrau. Während sie Kaffeebecher und leere Wasserflaschen einsammelt, steckt sie kurz einen USB-Stick in einen der Rechner. «Da können Sie sich technisch absichern, wie Sie wollen», sagt Milan Balazik: «Spätestens beim Faktor Mensch kriegen wir wirklich jeden.»

 


Von Hackern und Hacktivisten

Der deutsche Computeraktivist und Journalist Wau Holland prägte die Formulierung: «Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann.» Seit Aufkommen des Begriffs «Hacker» in den Achtzigern umgibt die Computertüftler nicht nur ein Hauch von Verrücktheit und der Ruch des Kriminellen – sondern auch eine Art «Robin Hood»-Aura. In den 1990ern etablierte sich der Begriff «Hacktivist» für jene, die sich politisch engagieren. Zum Beispiel, indem sie auf die Manipulierbarkeit von Wahlcomputern hinweisen. Es gibt auch eine ganz eigene «Hacker-Ethik», die von Institutionen wie dem Chaos Computer Club proklamiert wird. Dort heisst es unter anderem: «Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein», «Alle Informationen müssen frei sein» und «Öffentliche Daten nützen, private Daten schützen».

Digitalität und Kriminalität

Die Nachrichten von spektakulären Hacker-Coups kommen in immer kürzeren Abständen. Je stärker wir uns vernetzen, desto häufiger sind wir mit der Kehrseite der Digitalisierung konfrontiert. In der Schweiz wurden Unternehmen befragt, ob sie im Jahr 2017 Opfer von Internetkriminalität wurden: 88 Prozent gaben an, dass dies der Fall gewesen sei, das ist eine Zunahme von über 30 Prozent gegenüber dem Jahr 2016. Und laut dem Schweizer Bundesamt für Polizei gibt es auch im Privatbereich eine Steigerung von digitalen Angriffen: 2011 gingen über 5000 Meldungen zu Cyber-Kriminalität ein, 2016 hatte sich die Zahl auf über 14 000 fast verdreifacht. In Deutschland waren 2017 über 23 Millionen Menschen von Internetkriminalität betroffen, wie eine Befragung durch die Symantec-Kooperation, ein amerikanisches Software-Unternehmen, ergab.

Autor

Kilian Kirchgessner ist, was sein eigenes digitales Leben betrifft, eher altmodisch, wie er selbst sagt: «Am liebsten würde ich meine Computer nie updaten und nie austauschen, sondern immer weiter alles so laufen lassen, wie es sich bewährt hat.» Auch bei seinem Mobiltelefon stemmt er sich konsequent gegen den Zeitgeist: «Ich habe kein Smartphone, sondern ein uraltes Nokia-Handy mit Schwarz-Weiss-Display. Das kommt mir – ganz ohne Anti-Viren-Software – sicherer vor. Und ich lasse mich auf diese Weise nicht durch Social-Media-Postings aus den Gedanken und den Beobachtungen bringen.»

Mehr vom Autor:

Reportagen #29 — Königin der Früchte

Kilian Kirchgessner unterwegs:
Kilian Kirchgessner