„Wir kommen überall rein“
Die Hacker von CodeWhite hacken im Auftrag der Sicherheit. Sie lassen sich eigentlich nicht auf die Finger schauen. Für diesen Artikel haben sie eine Ausnahme gemacht und vor den Augen einer Journalistin eines der größten Unternehmen Europas gehackt.
Thomas Fischer weiß an diesem Morgen noch nicht, dass er noch vor dem Mittagessen knapp Zehntausend Kundendaten gehackt haben wird: Namen, Adressen, Zugangsdaten und Passwörter. Und seine Besucherin weiß noch nicht, wie wenig ihn das überraschen wird. Wie er da so sitzt, 50 Jahre, hipper grauer Vollbart, Brille, vor zwei großen Bildschirmen in einem großzügigen Büro mit Startup-Atmosphäre, ein Regal voller Müsliriegel, Kaffeemaschine mit allen erdenklichen Kaffeesorten und einer Besprechungsecke mit leuchtend grünen Polsterwürfeln – er könnte er auch als Grafikdesigner arbeiten.
Doch ein genauer Blick auf die Müsliriegel zeigt, dass es sich um teure Produkte aus getrocknetem Rindfleisch handelt, die Zeitschrift auf Fischers Schreibtisch heißt nicht Design-Magazin sondern „Black Hat“, an der Wand hängen keine farbfrohen Drucke der neuesten Design-Awards sondern eine große Glocke, und an einer Tür, aus der geheimnisvolles blaues Licht dringt, steht „Finest Hacking“. Thomas Fischer ist Hacker, und gerade nähert er sich einem neuen Kunden. Aus der Ferne, versteht sich. Auf seinem Bildschirmen sind unzählige Fenster geöffnet, die meisten vollgeschrieben in sehr kleiner Schrift, manche schwarz auf weiß und andere weiß auf schwarz, gemeinsam haben sie vor allem eines: sie enthalten unzählige schier endlose Folgen aus Buchstaben, Zahlen, Sonderzeichen – ein Zeichensalat, mit dem Außenstehende rein gar nichts anfangen können.
Und trotzdem: Bei diesem fremden Blick auf den Bildschirm seines Mitarbeiters mitten im Herzen seines Unternehmens Code White steht Chef Andreas Melzner aufmerksam und ein wenig nervös daneben. Dieser Einblick war nur nach einer langen Kennenlernphase und unter strengen Auflagen möglich.
Die Sicherheits-"Forscher"
Melzner und seine rund 20 Mitarbeiter verfolgen eine neue Art der IT-Sicherheit: sie greifen Unternehmen an wie echte Hacker – in deren Auftrag. Laut Bundesamt für Sicherheit in der Informationstechnik sind 2016 und 2017 knapp 70 Prozent der Unternehmen und Institutionen in Deutschland Opfer von Hacker-Angriffen geworden, jeder zweite erfolgreiche Angriff habe dabei zu Produktionsausfällen geführt. Langsam wächst in der Wirtschaft die Erkenntnis, dass klassische Sicherheitsmaßnahmen wohl nicht ausreichen.
Auch jenes große deutsche Unternehmen, dem sich Fischer gerade nähert, sorgt sich um seine IT-Sicherheit. Dazu gehört auch, dass sein Name ungenannt bleiben muss. „Das fordert Andere heraus“, sagt Andreas Melzner. Besser sei es, nicht damit zu prahlen, dass sich die namhaften Sicherheits-“Forscher“, wie sich Melzner und seine Kollegen nennen, dem Unternehmen angenommen haben.
Selbst intern nennen die Hacker den wahren Namen ihrer Kunden nicht, sie bekommen einen Code-Namen aus dem Star Wars-Imperium: Fischer also greift gerade ‚bookie‘ an. So werden zufällige Mithörer – beispielsweise beim Mittagessen im Restaurant – nicht schlau aus den Gesprächen. „Es gibt immer welche, die besser sind“, sagt Melzner. Und letztlich ist es nur eine Frage des Geldes. „Wer genug Geld und Mitarbeiter hat, kommt überall hinein.“ Man kann es den Angreifern höchstens schwer machen und vor allem die „Kronjuwelen“ gut schützen – jene Daten, deren Verlust die Existenz eines Unternehmens bedrohen kann. Alle hier in diesem hellen Büro zwischen den brummenden Rechnern haben es auf die Kronjuwelen abgesehen, unter anderem die von sieben Dax-30– sowie einigen größeren amerikanischen Unternehmen: großteils junge Männer, jeder vor mehreren Bildschirmen, teilweise zusätzlich Laptops. Tastenklappern, konzentrierte Blicke und ein gewisser Eifer durchströmen den Raum.
Die Bedingungen sollen so real wie möglich sein
Wie viele Recherchen beginnt auch die von Thomas Fischer mit Google. „Die wissen einfach viel“, sagt er und grinst. Wie ein echter Hacker hat er außer dem Namen keinerlei interne Informationen über das Unternehmen, das er angreifen wird und von dem hier nur so viel verraten wird: Es handelt sich um eines der größten Unternehmen Europas, ist weltweit aktiv und investiert viel in Forschung und Entwicklung. Fischer sucht mögliche Angriffspunkte: Welche Tochterunternehmen gibt es? Welche Niederlassungen existieren im Ausland? Welche Technologien kommen auf den Webseiten zum Einsatz? Gibt es Zulieferer- oder Kunden-Portale, über die man auf interne Systeme zugreifen könnte?
Weil diese Googelei zu viel über den Kunden verrät, bittet Melzner vorerst in sein Büro zusammen mit seinem Mitgründer Helmut Mahler und Geschäftsführer David Elze. Vom schwarzen Ledersofa aus könnte man direkt auf das Geburtshaus von Albert Einstein sehen – wäre es nicht im Krieg zerstört worden. Einstein hängt als Portrait-Gemälde am Eingang und wird stummer Zeuge all jener kalten Schweißausbrüche von Unternehmenslenkern, die nach einem sogenannten „Initial Assessement“ ihre Kronjuwelen in fremden Händen sehen – die Liste aller Mitarbeiter und deren Passwörter beispielsweise oder die Pläne für die neueste Entwicklung. Das gelingt in der Regel. „Und dann gibt es keine grundsätzliche Diskussion mehr darüber, dass weitere Maßnahmen notwendig sind“, sagt Mahler.
Offensive Sicherheit
Der Weg dorthin ist schwieriger. Noch ist die sogenannte „compliance basierte“ Sicherheit weit verbreitet, Excel-Tabellen beispielsweise, auf denen IT-Verantwortliche abhaken, dass sie alle potenziellen Sicherheitslücken bedacht haben. Die Drei kennen das zu gut aus ihrer Vergangenheit bei ihrem früheren gemeinsamen Arbeitgeber, einem großen deutschen Automobilkonzern, wo Melzner und Elze ebenfalls versucht haben, die so genannte „offensive Sicherheit“ auszubauen. Bei ihrem damaligen Chef Mahler stießen sie auf offene Ohren, und auch bei manch anderem Kollegen. Aber es gab noch zu viele aus dieser anderen Welt, in der es nur um jene Häkchen geht, und in der die allzu offensive Suche nach Sicherheitslücken als lästig betrachtet wird – schließlich zieht sie Arbeit nach sich. 2014 war die Zeit reif: Mahler ging in Rente, und Melzner nutzte die Gelegenheit, mit dem gut vernetzten erfahrenen Kollegen CodeWhite zu gründen.
Nach wie vor setzt die Mehrheit der Unternehmen auf jene Listen und ihre Häkchen und auf die Suche nach bekannten Sicherheitslücken. David Elze erklärt an einem Bild, was das Problem dabei ist: Eine Haustür kann noch so gut gesichert sein – der Einbrecher nimmt das Kellerfenster daneben. Oder auch andersherum: eine Tür, die in einen leeren Raum ohne weiteren Ausgang führt, darf unsicher sein. „Klassische Penetrationstests beschäftigen Unternehmen mit unzähligen unsinnigen Anforderungen und übersehen dafür gerne zentrale Schwachstellen“, erklärt Elze. Ein Kunde habe eine solche Excel-Liste mit 70 „Problemen“ gehabt – nach dem ersten Durchmarsch von CodeWhite reduzierten sie diese auf 12 dringliche. „Die findet man nur durch einen echten Angriff.“ Vor allem findet man dabei auch bislang noch unbekannte Sicherheitslücken. Die sind gefährlich, denn es gibt kein Gegenmittel.
Je schwieriger, desto besser
In der Zwischenzeit hat Thomas Fischer ein mögliches Kellerfenster gefunden: die Webseite eines Onlineshops eines Tochterunternehmens von „bookie“ in Südamerika. „Die sieht schon vom Layout her eher veraltet aus“, sagt er und grinst zufrieden: ein gutes Zeichen. Fischer sitzt vor seinen beiden klein beschriebenen Bildschirmen und sucht – immer noch teils mittels Google – welche Dateitypen die Website verwendet, er klickt alle Links der Seite an, sucht eine Eingabemaske, „eine Seite, die mit Parametern arbeitet, da können wir etwas manipulieren“, atmet hörbar durch die Zähne bei jeder Eingabemaske, die nicht seinen Kriterien entspricht und probiert unzählige Möglichkeiten. Wer ihm zuschaut, bekommt den Eindruck, einen Zeitraffer-Film zu sehen.
Ihn hat jetzt das Hackerfieber gepackt, das, worauf seine Arbeitgeber setzen. „Spieltrieb“, nennt Melzner dieses eifrige Suchen, angetrieben von dem Wissen, dass es früher oder später gelingen wird. „Es macht am meisten Spaß, wenn Kunden ein gutes Verteidigungssystem haben“, sagt Fischer. Heute, das ist eher ein leichtes Spiel, wie immer am Anfang. Er hat eine Eingabemaske nach seinem Geschmack gefunden und macht nun mit viel Ausdauer etwas, das nicht so vorgesehen ist: er „kommuniziert“ mit der Datenbank, die hinter der Website liegt.
Dank eines Software-Fehlers kann Fischer ihr mit einem aufwendigen Verfahren Fragen stellen, die Datenbank antwortet in „richtig“ und „falsch“: Ist der erste Buchstabe des ersten Dokuments ein „a“? Automatisiert probiert Fischer alle Buchstaben durch, „claves“ puzzelt sich schließlich auf dem Bildschirm zusammen. Huch? Vielleicht Schlüssel? Die nächste Spalte heißt „usuario“ – „ah Nutzer!“, Fischer, inzwischen rotwangig, gibt weitere Werte ein, stellt Fragen an die Datenbank – bis die Tabelle komplett im Klartext auf seinem Bildschirm erscheint: knapp Zehntausend Online-Kunden mit Mailadressen, Anschrift und Passwörtern. Eine Katastrophe für ein Unternehmen. Ein Klacks für Fischer. „Das ist jetzt nicht die große Leistung“, sagt er, „das ist höchstens für Spammer interessant.“
Wenn Wissen geklaut wird
Anders als es die Öffentlichkeit vermutet, sind solche Passwort-Hacks zwar ärgerlich für die Betroffenen und für die Unternehmen ein öffentlicher Schaden – aber längst nicht das größte Problem. Viel teurer ist das Wissen, das durch Hacks abfließt. Eigentlich ist es eine einfache Rechnung: Wenn ein Mittelständler Millionen in Forschung und Entwicklung investiert und sein chinesischer Konkurrent 100.000 in einen guten Hacker, dann lohnt sich das. „Und man kann kaum nachweisen, dass er mit geklauten Ideen arbeitet“, sagt Melzner. Viele solcher Datenklaus werden nicht einmal bemerkt – und wenn, dann unter der Decke gehalten.
CodeWhite hat wohl keine Chance gegen die Gewinnmargen, die solcherlei Geschäfte mit sich bringen. Um von den ehrlichen möglichst die besten Hacker zu bekommen, zahlt Melzner nicht nur gute Gehälter und lädt jeden Mittag ins Restaurant, er spielt auch mit dem Spieltrieb: wenn einer der Mitarbeiter wieder einmal die Kronjuwelen eines Kunden erbeutet hat, also in das Herz vorgedrungen ist, läutet die große Glocke und alle versammeln sich hinter seinem Schreibtisch, um ihn im Finale anzufeuern.
So weit ist Fischer heute noch nicht: Das Administrator-Passwort der südamerikanischen Webseite ist nicht im Klartext in der Datenbank hinterlegt, sondern als sogenannter Hash-Wert, der „eigentlich“ nicht zurückgerechnet werden kann. „Da werfen wir wohl mal Brutalis an“, sagt Fischer: der große Rechner im Schrank mit dem blauen Licht rechnet hinter einer Schallschutz-Tür, weil er so laut ist, wenn er mit seinen acht hochmodernen Grafik-Karten Kryptografie-Algorithmen knackt. Doch diesmal stöhnt Brutalis nur kurz auf – und spuckt das Passwort des Administrators aus.
Zwei Wochen später hat „Brutalis“ mehr zu tun. Fischer hat ihm über Nacht 6200 Passwort-Hashes von „bookie“-Mitarbeitern zum Fraß vorgeworfen, die er einem Server entlockt hatte. Zwölf Stunden später spuckt der Großrechner 95 Prozent davon im Klartext aus. „Der Rest ist eine Frage der Zeit.“ Der Hacker hat sich wie ein Detektiv von allen Seiten an ‚bookie‘ herangetastet. Der Weg über eine italienische Tochter ist schließlich erfolgreich: diverse Fehler und Schwachstellen lassen ihn in einer ähnlichen Fleißarbeit wie beim Online-Shop auf einen mit dem Internet verbundenen Server zugreifen, über den er durch einen virtuellen Tunnel auf den Domain-Controller des Kunden zugreifen kann, den zentralen Windows-Server: das Herz.
"Das passiert wirklich jedem"
Neben seiner Kreativität hat ihm die Windows-Infrastruktur geholfen, die immer ein Kompromiss aus Sicherheit und Nutzbarkeit ist: Das Administrator-Passwort lag im Klartext im Speicher. Das sei in Windows-Betriebssystemen von vor ungefähr acht Jahren der Normalfall gewesen, da sich der Administrator so nicht ständig neu anmelden muss. Bequemlichkeit versus Sicherheit.
„Wir sehen da draußen oft noch deutlich ältere Systeme“, sagt Fischer: kein Unternehmen aktualisiere ständig, weil das sehr aufwendig sei. „Sie überspringen in der Regel ein bis zwei Releases, denn dann geht erstmal nichts mehr.“ Ein solches Update bringt unzählige Baustellen mit sich, viele andere Systeme funktionieren dann nicht mehr. Dazu kommen bei „bookie“ spezielle Maschinen, die im Netzwerk hängen aber von externen Firmen gewartet werden – es ist kaum möglich, deren Sicherheit zu überprüfen. „Ich will nicht Sicherheitsverantwortlicher eines großen Unternehmens sein“, sagt Fischer, „es ist unglaublich schwierig, so ein Systemumfeld sicher zu kriegen.“
Die Glocke läutet – noch – nicht. „Das ist irgendwie alles schon so normal“, sagt Fischer. Es selbst ist ohnehin zu bescheiden, um mit diesem Hack zu prahlen. Er greift sich die Kronjuwelen – Baupläne, Personallisten, aktuelle Rechnungen – und präsentiert sie einige Tage später einem entsetzten Unternehmenschef. Der hat seine IT-Mitarbeiter mitgebracht, sie fürchten um ihren Job. Melzner muss sie beruhigen: Das sei beim ersten Mal ganz normal, „das passiert wirklich jedem.“ Jetzt hingegen haben sie einen Vorsprung vor anderen, die weiterhin mit Excel-Listen arbeiten. Jetzt müssen sie aktiv werden.
Für Thomas Fischer beginnt der Spaß
Einige Tage nach dem Gespräch steigt Thomas Fischer in Phase 2 ein – die, in der keine Diskussionen mehr nötig sind: Er wird ‚bookie‘ regelmäßig unangekündigt angreifen und schauen, wie weit er noch kommt. Die IT-Abteilung des Kunden versucht parallel, ihr System sicher zu bekommen. Operation am lebenden Patienten. Fischer sitzt jetzt wieder vor seinen beiden Bildschirmen mit der kleinen Schrift und hunderten offenen Fenstern, er puzzelt sich durch eine Vertriebsseite mit unsicherer Software und über verschiedene Server, „tunnelt“ sich schließlich zum Domain-Controller, wo er sich mit dem gehackten Administrator-Passwort anmeldet: ein Fenster öffnet sich, ein sogenannter „remote“-Desktop, Fischer sieht jetzt, was der Administrator gerade macht.
Er hat sich auf dessen Bildschirm gehackt, ähnlich wie es manche IT-Dienstleister per Programmen wie „Team Viewer“ machen, um Kunden zu helfen. Nur dass Fischers „Kunde“ keine Ahnung davon hat, dass er gerade einen Hacker auf seinem Bildschirm sitzen hat. Für diese Phase ist Fischer enttäuschend weit gekommen. „Sogar das Passwort funktioniert noch“, murmelt er. Hat das Unternehmen nichts gelernt aus dem ersten Schock?
Aber was ist das? Angesichts des erstaunten Lautes, den Fischer jetzt von sich gibt, braucht es keine Glocke: Kollegen scharen sich um seinen Bildschirm. Aufregung. Der remote-Desktop sieht beinahe genauso aus wie der Bildschirm von Fischer, ein Hackerprogramm ist geöffnet. Ist da ein etwa ein anderer Hacker am Werk? „Wer hat die Telefonnummer, wir müssen schnell anrufen!“
Erst ist die Leitung belegt, was das Adrenalin bei CodeWhite weiter in die Höhe treibt, doch dann ergibt der Anruf: alles in Ordnung: Der ‚bookie‘-Admin versucht gerade, die Strategie von Fischer nachzuvollziehen, er hackt sich quasi selbst. Er hat die Herausforderung angenommen. Für Thomas Fischer beginnt der Spaß.