Highlight für Hacker

Las Vegas: Glücksspiel, bombastische Shows und Leuchtreklame soweit das Auge reicht haben die Stadt in der Wüste Nevadas zum Mekka für Unterhaltungssüchtige gemacht. Einmal im Jahr treffen sich hier aber auch Leute, die nicht Zerstreuung suchen, sondern Gleichgesinnte: Hacker und Experten, die sich für die Sicherheit von IT-Systemen interessieren. Die Black-Hat-Konferenz, die 1997 zum ersten Mal stattfand, ist heute mit über 20.000 Teilnehmern das weltweit wichtigste Treffen der Szene, zusammen mit der DefCon, die es schon seit 1993 gibt und die traditionell direkt im Anschluss in Las Vegas stattfindet. Black Hat und DefCon sind Stress pur für Hotels, Supermärkte und Banken. Gefürchtet sind die Hacker-Angriffe auf WLAN-Netzwerke, Geldautomaten und Pay-TV-Abrechnungssoftware während der Konferenz. 

Kein Wunder – unter dem Begriff „Hacker“ stellen sich viele schließlich Nerds im Kapuzenpulli vor, die Malware in PCs einschleusen, um an geheime Informationen zu kommen oder die Besitzer zu erpressen. Häufig Jugendliche, die sich wichtigmachen wollen, manchmal auch Geheimdienste im Auftrag von Regierungen. Da passt es so gar nicht ins Bild, dass sich seit 2003 auch Mitarbeiter der Abteilung Security Assessments und Penetration Testing von Siemens unter die Konferenzteilnehmer mischen. Sven Lehmberg, Leiter des Departments, hat keine Berührungsängste. „Das öffentliche Bild des Hackers hat sich gewandelt.“ In den Anfangszeiten des Computerzeitalters waren es einfach Technologiebegeisterte mit speziellen IT-Kenntnissen, erst später brachte die Öffentlichkeit den Begriff mit kriminellen Machenschaften in Verbindung. „Doch es gibt mittlerweile viele Hacker, die mit Unternehmen zusammenarbeiten, um IT-Systeme sicherer zu machen“, erklärt Sven Lehmberg. Mit diesen „guten“ White-Hat-Hackern arbeitet Siemens seit vielen Jahren erfolgreich zusammen – auch auf Konferenzen wie Black Hat. Die bösen Hacker mit dem „schwarzen Hut“, die nur Schaden anrichten wollen, haben zwar der Konferenz den Namen gegeben, sind dort heute aber kaum anzutreffen, zumindest geben sie sich nicht offen zu erkennen. 

Mit dem gestiegenen Verantwortungsbewusstsein der Hacker hat sich auch die Zusammenarbeit gewandelt. Zwar werden auf den Konferenzen Unternehmen mitunter böse überrascht, weil doch ab und an ein Hacker im Geheimen ein Produkt geknackt und die Ergebnisse stolz vor dem Publikum präsentiert. White-Hat-Hacker dagegen geben grundsätzlich vorher bekannt, woran sie arbeiten. Das erlaubt es Unternehmen wie Siemens, Sicherheitslücken zu schließen, bevor sie publik werden. „Heute diskutieren wir mit den Hackern vertrauensvoll und auf Augenhöhe“, lobt Sven Lehmberg. Das verhindere in der Regel auch, dass eigentlich unbedeutende Sicherheitslücken auf Konferenzpodien zu großen Dramen aufgebauscht würden. 

Für das Team bei Siemens Corporate Technology in München sind Hacker-Konferenzen wie Black Hat, DefCon und Bsides oder die vom deutschen Chaos Computer Club organisierten Treffen in Deutschland wichtige Umschlagplätze für Informationen über IT-Sicherheit. Die Motivation für Siemens liegt auf der Hand: In Zeiten von Industrie 4.0 und dem Internet der Dinge gibt es keine Siemens-Produkte mehr, die ohne Elektronik und Software auskommen, alle sind mit dem Internet verbunden – und damit potenzielle Angriffsziele. Seit dem Computerwurm Stuxnet, der 2010 über eine Siemens-Steuerung die Zentrifugen einer Atomanlage im Iran lahmlegte, ist die Automatisierungstechnik ein beliebtes Ziel von Angreifern. Solche Komponenten stecken nicht nur in Produktionsanlagen in Fabriken, sondern auch in Infrastrukturen der Energie- oder Wasserversorgung, das macht deutlich, wie hoch das Schadenspotenzial ist. 

Der Austausch mit Experten auf Konferenzen wie Black Hat oder DefCon ist dabei ein wichtiges Puzzleteil, um diese Risiken zu minimieren. Wie gehen die Hacker vor, welche neuen Methoden setzen sie ein, wie lange brauchen sie, um Sicherheitsmaßnahmen zu überwinden? Teilweise beschäftigen sich einzelne Hacker monatelang mit einem Thema, manche bauen sogar zuhause die Hardware etwa einer Maschinensteuerung nach. Und sie berichten auf den Konferenzen gerne darüber. Manche suchen damit Anerkennung, andere einen Job. Viele der Teilnehmer auf den Konferenzen arbeiten freiberuflich oder für kleine Sicherheitsfirmen als Security-Tester und betreiben damit Akquise. Oder bieten sich bei großen Unternehmen als Mitarbeiter an. „Die Konferenzen sind für uns auch eine Möglichkeit, neue Mitarbeiter zu gewinnen“, so Sven Lehmberg.

Und Siemens-Produkte sicherer zu machen. Laut Lehmberg passe man gemeinsam mit anderen Security-Teams bei Siemens Entwicklungsprozesse an und betreibe ein gutes Risikomanagement. Dennoch: „Hundertprozentige Sicherheit wird es niemals geben.“ Stattdessen muss man den Aufwand für die Angreifer so hoch wie möglich schrauben. „Das ist wie zu Hause: Wenn die Mauer hoch genug ist, dann verlieren Einbrecher schnell das Interesse.“