Viele leichtgläubig

Ex-Hacker: “Es gibt keinen Patch für Dummheit”

Dunkler Anzug mit Krawatte, Kurzhaarschnitt und polierte Schuhe: So würde man sich einen Cyberkriminellen gemeinhin wohl kaum vorstellen. Aber es ist ja auch schon einige Jahre her, dass der ehemalige amerikanische Computerhacker Kevin Mitnick - der vor seiner Festnahme "unglücklicherweise" einer der meistgesuchten Hacker der USA war - sein Unwesen trieb. Inzwischen zieht er durch die Länder, warnt vor "Social Engineering" und propagiert die "menschliche Firewall".

Durch "Social Engineering", also die Täuschung und Manipulation von Mitarbeitern, damit diese unwissentlich Informationen oder Daten preisgeben, würden herkömmliche Sicherheitsmaßnahmen sehr leicht ausgehebelt. "Ein Anruf genügt und die Technik ist ineffektiv", erklärte Mitnick bei einer Veranstaltung im Tiroler Alpbach.

Das Ausnützen der Schwachstelle Mensch bringe viele Vorteile: "Es ist einfacher als ein technischer Hack, die Werkzeuge dafür sind meist gratis, es wirkt unabhängig vom Betriebssystem und das Bewusstsein dafür fehlt." Außerdem gebe es "keinen Patch für Dummheit", sagte der Experte. Es sei erstaunlich einfach, Informationen zu erhalten, wenn man sich am Telefon etwa als Helpdesk-Mitarbeiter ausgebe. Von 100 nach Username und Passwort befragten Managern hätten 35 bereitwillig Auskunft gegeben.

Neugier kann fatale Folgen für Datensicherheit haben
Der Kreativität seien keine Grenzen gesetzt. Inzwischen würden auch USB-Sticks - also mobile Datenspeicher - beispielsweise in der Kantine "vergessen". Sollte den Finder die Neugier überkommen oder er ihn selber verwenden wollen, wären böse Überraschungen garantiert. Sobald man den Stick an den Computer anschließe, werde ein modifizierter Trojaner installiert, der käuflich zu erwerben und von keinem Virenschutzhersteller erkennbar sei. Anschließend kann der Angreifer beispielsweise live mitverfolgen, was auf dem Rechner vor sich geht, die Kontrolle über den PC übernehmen oder den User über das Mikrophon belauschen.

Ex-Hacker narrte das FBI drei Jahre lang
Begonnen habe seine "Karriere" schon früh, erklärte Mitnick - auch sein Umfeld dürfte eine Rolle gespielt haben. Ein Schulfreund manipulierte beispielsweise Telefonanschlüsse von Verwandten, so dass diese nach dem Abheben von einer Tonbandansage der Telekomgesellschaft aufgefordert wurden, eine Münze einzuwerfen. Insgesamt führte Mitnick die US-Bundespolizei FBI drei Jahre lang an der Nase herum. Schließlich konnten die Ermittler seine elektronischen Spuren aber doch zurückverfolgen und nahmen ihn 1995 nach einer spektakulären Verfolgungsjagd fest. Zeitweise tauchte Mitnick als Eric Weiss unter, dem bürgerlichen Namen des Zauberkünstlers Harry Houdini. "Ich dachte, ich hätte Humor, aber das FBI hatte keinen", sagte der auf Einladung des Tiroler Softwareunternehmens phion angereiste IT-Profi.

Strafe: Fünf Jahre Haft und drei Jahre Computerverbot
Sein Fehler war es, den Computer-Sicherheitsexperten Tsutomu Shimomura verärgert zu haben, der noch raffinierter arbeitete als Mitnick. "Ich habe seinen Rechner angegriffen und daher habe ich diese Reaktion verdient", gibt sich Mitnick heute einsichtig. Auf dieser Geschichte basierte auch ein Spielfilm, später erzählte der New York Times-Reporter John Markoff in exklusiven Artikeln sowie in dem Bestseller "Takedown" über die Festnahme. Mitnick sieht dessen Geschichten aber als "Falschmeldungen". Der damals "meist gesuchte Kriminelle der USA" saß fünf Jahre im Gefängnis. Im Jänner 2000 wurde er mit der Auflage entlassen, drei Jahre lang keinen Computer und kein internetfähiges Gerät mehr anzurühren.

Richtig reich könnte Mitnick werden, wenn er ausführlich über seine Taten und die Festnahme von 1995 berichten würde. Bis zum Jahr 2007 durfte er von einem solchen Buch nicht profitieren, der Verkaufserlös wäre an die US-Regierung gegangen. Eine Anfrage für eine Autobiografie sei aber bereits eingetrudelt, das Buch soll in rund einem Jahr erscheinen, bestätigte Mitnick in Alpbach.