Helden kontra Außenseiter. Der Begriff „Hacker“ hat Experten, Medien und die breite Öffentlichkeit lange Zeit zwischen zwei Polen hin- und hergerissen, auf die Gefahr hin, die Klischees über diese Community neu zu nähren. Wie ist eine solche Polarisierung aber zu erklären? Haben die Unternehmen im Hinblick auf Sicherheit nicht vollstes Interesse, mit diesen Spezialisten zusammenzuarbeiten?
„Ein Hacker zu sein bedeutet vor allem, die Funktionsweise gewisser Objekte oder Systeme zu entfremden, um neue Anwendungen davon zu schaffen. Eine Person, die einen Heizkessel benutzen kann, um einen Grill anzuzünden ist schon ein Hacker,“ erinnert Paul Fariello als Präambel, Mitglied des Teams für Threat Intelligence bei Stormshield. Die Hacker-Community besteht vor allem aus Informatik-Freaks, die kreative Lösungen erfinden, um Herausforderungen zu lösen; auch auf die Gefahr hin, sich gelegentlich in einer illegalen Situation zu befinden. Für die Spezialisten der Cyber-Sicherheit sind diese Kompetenzen besonders wertvoll und der Begriff Hacker hat eher eine positive Bedeutung. Wie können wir nun erklären, dass dieses Wort eine Fantasie entfacht, die von bösen Informatikpiraten mit Kapuzen bevölkert wird, insbesondere in anderen Berufsständen?
Pflege der Anonymität kontra Starkult
Hacker werden oft als eine undeutliche geheime oder sogar randständige Gruppe wahrgenommen, was die verrückten Gerüchteküche über sie noch mehr zum Brodeln bringt. „Es gibt eine echte Community mit ihren Versammlungen (wie die DefCon in Las Vegas in den USA oder Hack in Paris in Frankreich) und ihren Leitfiguren. Aber der Bekanntheitsgrad dieser Personen reicht selten über die Insider-Kreise hinaus, da er auf der Beurteilung technischer Kompetenzen beruht, die nur die Mitglieder teilen“, analysiert Fabrice Epelboin, Unternehmer und Lehrer am Pariser Institut für Politikwissenschaften Sciences Po. Manche Namen sind allerdings auch der breiten Öffentlichkeit gut bekannt: Kevin Mitnick, der „Der Kondor“ genannt wird, war der erste Hacker, der auf der Liste vom FBI der zehn meistgesuchten Flüchtigen stand. Erst vor Kurzem sind die Geschichten von Julian Assange oder Edward Snowden auf ein breites Echo getroffen, sowohl auf mediatischer als auch politischer Ebene.
Dabei ist „die Hacker-Kultur keine Kultur des Egos oder Ultra-Individualismus. Einige der großen Gruppen Cyber-Militanten wie Telecomix [sehr aktive Gruppe während der Revolutionen des Arabischen Frühlings, die dazu beigetragen hat, den syrischen und ägyptischen Völkern zu helfen, die Internet-Zensur zu umgehen, d.R.] hatten einen völlig dezentralisierten Organisationsmodus ohne Hierarchien. Dasselbe gilt für Anonymous; das Individuum löst sich in der Gruppe auf und sie streben nach einem Masseneffekt“, erklärt er. Dabei ist die angestrebte Anonymität häufig eine Störquelle und trägt dazu bei, die negativen Stereotypen über diese Gemeinschaften von Cyber-Militanten aufrechtzuerhalten. „Es ist ein bisschen so, als würden wir im Gespräch über Politik systematisch über Unterschlagung von Gesellschaftsvermögen reden. Mit der Hacker-Community neigen wir dazu, die Idee des Informatikpiraten hervorzuheben“, fügt Fabrice Epelboin hinzu. Diese eingeschränkte Sichtweise hat alles geprägt, von der Popkultur (zum Beispiel über Serien wie Mr Robot) bis hin zu Online-Bilderdatenbanken, in denen es kompliziert oder sogar unmöglich ist, eine Darstellung zu finden, die nicht die eines Anonymous mit schwarzem Hoodie-Pullover ist.
shutterstock might not know what hackers actually use to hack, but they definitely know they wear grey hoodies to do it pic.twitter.com/JfdX68IPIh
— ℤombië ℚueen (@UnburntWitch) 26 février 2017
Dennoch gibt es viele verschiedene Hacker-Profile. Wir sprechen oft nacheinander von black hat – um Cyber-Kriminelle zu bezeichnen, die sich auf Bankbetrug spezialisieren oder white hats –, die den Ethikaspekt verteidigen und sich eher als Cyber-Militanten als als Cyber-Kriminelle sehen. Einige von ihnen wählen auch das Pendeln zwischen diesen beiden Polen und wir reden hier von grey hats. Das Unternehmen Microsoft hat eine eigene Bezeichnung: Es nennt die Experten für Cyber-Sicherheit, die damit beauftragt sind, Schwächen der Sicherheitssysteme aufzuzeigen, als blue hats. Das Zuordnen dieser verschiedenen Profile ist oftmals eine sehr komplexe Aufgabe. Die Beziehungen, die diese Personen zur Staatsgewalt oder zu Staaten unterhalten, werden berücksichtigt, um diese verschiedenen Profile auf dem Schachbrett der „Sicherheitsexperten“ zu positionieren.
Mit der Hacker-Community neigen wir dazu, die Idee des Informatikpiraten hervorzuheben.
Fabrice Epelboin, Unternehmer und Lehrer am Pariser Institut für Politikwissenschaften Sciences Po
Ambivalente Beziehungen zur Staatsgewalt
Einige Hacker werden eindeutig von der Justiz verfolgt und als Kriminelle eingestuft. Andere sind sehr gefragt, um die politischen Kräfte zu destabilisieren. Sie werden so zu Hebeln in einem geopolitischen Kampf (das aktuelle Klima des kalten Cyber-Kriegs zwischen den USA und Russland illustriert diese Dynamik gut). Andere wiederum betrachten sich keinesfalls als Kriminelle und bevorzugen das Etikett der Cyber-Militanten oder Hacktivisten. In Deutschland unterhält die Hacker-Community zum Beispiel eher gelassene Beziehungen zur Regierung. Das Land bietet ihnen sogar in manchen Fällen einen Status als Berater an. „In Deutschland sind Hacker völlig in die politische Landschaft integriert“, ruft Fabrice Epelboin in Erinnerung. „Der Chaos Computer Club, eine der historischen Gruppen, hat einen wahren Beratungsstatus, er arbeitet regelmäßig mit der Regierung zusammen.“ Ich erinnere mich besonders an eine Episode bei der die Mitglieder des CCC einen detaillierten Bericht erstattet haben, um die Absurdität des Gesetzes zur Biometrik aufzuzeigen, das von Merkels Regierung befürwortet wurde, bei dem sie sogar den Fingerabdruck des deutschen Innenministers gehackt haben.“
In Deutschland unterhält die Hacker-Community zum Beispiel eher gelassene Beziehungen zur Regierung.
Fabrice Epelboin
Um bei der öffentlichen Debatte abwägen zu können, sehen wir, dass die Hacker gewisse rote Linien manchmal überschreiten und sich in illegale Situation begeben. Das ist vielleicht einer der Gründe, der erklärt, dass die Beziehungen bei uns in Frankreich zwischen Staatsgewalt und Hacker-Community ängstlicher und sogar misstrauischer sind. „In Frankreich wurde die Community sehr schnell vom Nachrichtendienst der Polizei infiltriert“, setzt er fort. „Von da an sind die Beziehungen angespannt. Die französischen Hacker sind ausgewandert oder haben sich der Community der freien und quelloffenen Software zugewandt. “ Als Beispiel hat Olivier Laurelli alias Bluetouff, eine wohlbekannte Figur der französischen Hacker-Community und Gründer der Website reflets.info, die Missbilligung der französischen Justiz am eigenen Leib erfahren. 2014 wurde er als schuldig für Internet-Piraterie und Datendiebstahl in einer Affäre befunden, bei der er dem Staatsministerium für Lebensmittelsicherheit, Umwelt und Arbeit gegenüberstand. Sein Vergehen? Er hatte über seine Suchmaschine vertrauliche Dokumente des Ministeriums heruntergeladen und auf seiner Website veröffentlicht. Für Fabrice Epelboin ist diese Affäre eine der Illustrationen der Spannung zwischen der Community der Cyber-Militanten und den französischen Staatsbehörden.
In Richtung einer Normalisierung dieser Community?
Dabei scheinen sich die Zeiten zu ändern. Heute wird den Unternehmen bewusst, dass es in ihrem Interesse ist, mit diesen Experten in Sicherheitsfragen zusammenzuarbeiten, auf die Gefahr hin, dass sie manchmal über ihre wenig konventionellen Methoden hinwegsehen müssen. Fabrice Epelboin hat mit seiner Firma Yogosha dazu beigetragen, die Praktik des „Bug Bounty“ in Frankreich einzuführen, die darin besteht, Unternehmen mit Hackern in Kontakt zu bringen, damit diese gegen Bezahlung Schwächen in deren Sicherheitssystemen ausfindig machen. Er ist somit ein privilegierter Beobachter der Weiterentwicklung der Mentalitäten und der Entspannung der Beziehungen zwischen Hackern und Unternehmen. „Wir wohnen nach und nach einem Paradigmenwechsel bei“, bestätigt Paul Fariello. Die Unternehmen, die zunehmend damit beschäftigt sind, sich den Sicherheitslücken ihrer Systeme zu stellen, um sie besser zu schützen, zögern nicht mehr, auf die Kompetenzen der Hacker zurückzugreifen. Allerdings sind nur wenige bereit, über diese Maßnahmen zu kommunizieren. Die Website des Unternehmens Yogosha gibt an, schon mit großen Namen wie Bouygues Telecom, oder den Versicherungen April zusammengearbeitet zu haben. Firmen wie die Société Générale, Qwant oder Hewlett-Packard erklären öffentlich, auf Bug Bounty-Strategien zurückzugreifen. Es ist aber immer noch schwierig, öffentliche Erklärungen oder Zahlen zu diesem Thema zu bekommen.
.@HP and @Bugcrowd teamed up for the ultimate #IoT #bugbounty, with a potential $10,000 #reward read more here; https://t.co/LCjLUgPkOO#CyberSecurity #InfoSec pic.twitter.com/SQuSi77LHA
— SecureSense (@securesense) 14 août 2018
Große Cyber-Kriminelle von gestern wie Kevin Mitnick oder Brett Johnson arbeiten heute mit Unternehmen als Sicherheitsberater zusammen. Demgegenüber werden Whistleblower wie Julian Assange oder Edward Snowden noch immer als Kriminelle oder sogar als Staatsverräter (im Fall von Snowden in den USA) betrachtet. Ein Zeichen dafür, dass die gewünschte Normalisierung noch immer nicht vollständig vollzogen ist und dass Hacker noch lange umstrittene Figuren bleiben werden.