Überall Kabel und Computer, die ihr fahles Licht auf blasse Gesichter werfen. Es ist leise. Nur hin und wieder unterbricht ein Raunen das Klackern der Tastaturen im Rio Hotel zu Las Vegas. Wo normalerweise Slot-Machines und Roulettetische den Takt vorgeben, haben seit Donnerstag Computerfreaks übernommen. Es ist Def-Con-Time, das Hochamt Hackerszene wird gefeiert.

Seit 20 Jahren trifft man einander jährlich in der "Sin City" Nevadas, um mit kühler Leidenschaft Schwachstellen in Computersystemen aufzuspüren. Zunächst waren es nur ein paar Geeks mit einem Faible für die aufkommenden IT-Spielereien. Heuer sind es 15.000 Teilnehmer - nicht nur Hacker, sondern auch Militärs, Geheimdienstler, Unternehmensvertreter, Forscher und mitunter angeblich auch Kriminelle. Als Stargast hat Organisator Jeff Moss dieses Mal Keith Alexander, den Chef des US-Geheimdienstes NSA und Kommandeur des US-Cybercommands, durch das Rio geführt. Der General wollte sich updaten, was es denn Neues gibt in der Szene. Ein Beweis, falls es noch einen gebraucht hätte, für die inzwischen enorme Bedeutung von Datenverarbeitung in allen Bereichen der modernen Gesellschaft.

Wie eine virtuelle Rakete

Es gibt nichts, was es nicht gibt im Cyberspace. Es wird spioniert, Gangster finden dort ihr Eldorado, sogar Kriege werden dort ausgefochten. Erst vor wenigen Wochen etwa wurde bekannt, dass US-Präsident Barack Obama persönlich eine Welle von Cyberangriffen gegen den Iran angeordnet hatte. Damals schlug Stuxnet, ein Computerwurm, wie eine virtuelle ballistische Rakete im Atomprogramm der Mullahs ein. Durch eine Hintertür in einem von Siemens gelieferten Industriesteuerungssystem konnte das Virus die Geschwindigkeiten tausender Zentrifugen zur Urananreicherung verändern. Manche drehten schneller, manche langsamer. Einige explodierten sogar. Das Anreicherungsprogramm wurde dadurch deutlich verzögert.

Cybersecurity ist - auch wenn es ein ziemlich diffuses Schlagwort bleibt - zu einem zentralen Thema geworden für Streitkräfte, Polizei, Unternehmen und auch die Bürger. Gleichzeitig wird nichts so sträflich vernachlässigt, erklärt Def-Con-Gründer Jeff Moss (Hackername: The Dark Tangent). Ein Gespräch über Hacker, unwillige Softwareunternehmen und die Möglichkeiten von Regierungen im Cyberspace:

STANDARD: Wie würden Sie die Hacker-Community in den frühen 1990er-Jahren und deren Nachfolger heute beschreiben? Was hat sich geändert? Hacken heute andere Typen als damals?

Moss: Alles hat sich geändert. Vor allem aus wirtschaftlichen Gründen. Mitte der 1990er-Jahre haben die meisten gehackt, um an Informationen zu kommen. Man musste an die richtigen Personen gelangen, die einem die Schwächen von Systemen sagen konnten. Deswegen gab es Hackergruppen, die im Grunde Netzwerke zur Informationsverteilung waren. Wer keine Infos teilte, wurde hinausgeworfen. Damals gab es das World Wide Web noch nicht wirklich, und schon gar nicht Amazon oder irgendwelche Sicherheits- und Testhandbücher. Alles lief über mündliche Verbreitung. So ging eine Menge Zeit damit drauf, den richtigen Mentor zu finden. Genau daran hing aber auch eine bestimmte Sozialisierung. Wer sich nicht korrekt betrug, wurde aus der Gruppe entfernt.

STANDARD: Wann haben sich die Dinge geändert?

Moss: Als während des Dotcom-Booms, all das Geld hereinkam. Plötzlich wollten alle Firmen online sein. Sie brauchten Experten, die ihnen dabei halfen, und wandten sich an die Hacker. Alle bekamen Jobs, alles wurde online verfügbar. Es war nicht mehr so wichtig, eine Gruppe zu finden, die ihr Wissen teilt. Man konnte alle Informationen im Web finden, kostenlos. Es ging also nicht mehr darum, Wissen zu suchen, sondern darum, es zu erlernen und dann anzuwenden. Hacken wurde von einem Hobby zu einem Beruf. Die Aufgabe war, professionell jenes Unternehmen zu schützen, bei dem die Leute auf der Payroll standen. Damit verschwand auch der Spaß an der Sache. Und zugleich verschwanden die einst treibenden Motive für das Hacking: Internet ist heute praktisch überall kostenlos erhältlich, ebenso Betriebssysteme und Computer, die oft schon verschenkt werden. Wieso sollte man jetzt in einen Rechner einbrechen, um zu verstehen, wie er funktioniert? Wer heute hackt, kann sich auf die Forschung konzentrieren und all den Rest auslassen. Das ist faszinierend.

STANDARD: Aber auch verlockend für jene, die nicht als "gute Hacker" sozialisiert wurden ...

Moss: Ja, heute gibt es sehr viel organisierte Kriminalität in der Hackerszene. Früher war Hackerwissen gewissermaßen geheim. Es war wie eine Art Währung, dass man Exploits untereinander austauschte. Jetzt können genügend Leute ihre eigenen Exploits (Programme, die Angreifern Zugriff auf fremde Rechner gewähren, Anm.) schreiben, sie müssen sie nicht mehr untereinander tauschen. Dazu kommt, dass die organisierte Kriminalität sehr viel Budget zur Verfügung hat. Sie kann ihre eigenen Bugs (Programmfehler, Anm.) finden und ist nicht auf andere Hacker angewiesen.

STANDARD: Sie sind inzwischen Sicherheitschef bei Icann geworden, was machen Ihre Bekannten von damals dieser Tage?

Moss: Fast alle Hacker der ersten Generation sind ins Establishment übergewechselt. Bis auf einige, die zuletzt wegen Aktivitäten bei Anonymous oder LulzSec (zwei Netzanarchistengruppen, Anm.) verhaftet wurden. Die wollten es entweder noch einmal wissen oder bekamen einfach die Kurve nicht, schwer zu sagen. Früher gab es außerdem keinerlei Gesetze gegen Hacking, heute dagegen stehen strenge Strafen darauf. Warum sollte jemand mit einem geregelten Leben das heute noch machen?

STANDARD: Hacken Sie persönlich noch?

Moss: Ich mache das ständig, aber auf meinem eigenen Netzwerk. Hacken ist eine Geisteshaltung für mich. Man kann alle Fähigkeiten für etwas Gutes und für etwas Schlechtes verwenden. Ich selbst beschäftige mich meistens mit defensivem Hacken. Ich schreibe Exploits gegen mein eigenes Netzwerk, um zu sehen, ob es sicher ist. Auch gegen die neuesten Sachen, die immer wieder herauskommen. Früher wurde ich von Unternehmen angeworben, um deren Systeme anzugreifen und zu testen, wie sicher sie sind. Manchmal vermisse ich diese Tage. Aber andererseits ist es so leicht, in die Netzwerke von Firmen einzubrechen, nach einer gewissen Zeit wiederholen sich die Dinge einfach nur noch.

STANDARD: Was motiviert die Cyberanarchisten von Anonymous oder LulzSec? Haben sie eine bestimmte Ideologie und Agenda, oder ist ihnen einfach nur langweilig?

Moss: Es ist von allem ein wenig. Nehmen Sie Anonymous, die haben ein Modell, in das man sich quasi einwählen kann: Sie wollen für einen Tag protestieren? Gehen Sie auf deren Seite und sehen Sie, in welchen Channels welche Möglichkeiten angeboten werden. Ist jemandem also an einem Wochenende langweilig, kann er sich Samstag und Sonntag für Syrien einsetzen und am Montag wieder seiner Erwerbsarbeit nachgehen. Das ist alles transitorisch. Denn diejenigen, die mit Anonymous' Syrien-Position einverstanden sind, müssen nicht deren Wall- Street-Position teilen. Der Punkt aber ist: Die Community ist groß genug, dass die Leute kommen und gehen können. Und das macht es auch schwer, das Phänomen zu definieren. Wenn man auf das Alter der Leute sieht, die unlängst im Zusammenhang mit Anonymous verhaftet wurden, sieht man, dass alle sehr jung waren. Vielleicht fühlten sie sich auch einfach ausgeschlossen. Wenn jemand 17 Jahre alt ist und die ganze Welt dazu bringt, ihm nachzustellen, ist das ziemlich erhebend. Das kann ein Ego schon stärken.

STANDARD: Stellen diese Hackergruppen tatsächlich eine echte Bedrohung dar?

Moss: Unternehmen haben viel vertrauliche Kundeninformationen verloren. In diesem Sinn ist es eine Bedrohung, ja. Dagegen brauchen Unternehmen genauso einen Plan, wie sie beispielsweise einen Plan gegen organisiserte Kriminalität im Netz brauchen. Aber Anonymous ist auch eine Geschichte, die die Medien einfach lieben, weil sie ein großes menschliches Element hat. Das kann man über Kriminelle oder irgendwelchen Botnetze nicht behaupten, und das verleiht Anonymous Macht. Wenn man auf die Anzahl der Webseiten sieht, die die Gruppe gehackt hat, sind es hochgegriffen 10.000 von abermillionen. Das ist nichts. Und dennoch wird Anonymous eine enorme Berichterstattung zuteil. Wenn das ihr Ziel ist, dann sind sie ziemlich erfolgreich.

STANDARD: Was lässt sich daraus lernen?

Moss: Unternehmen können von Anonymous' Arbeitsweise lernen. Die Gruppe geht arbeitsteilig vor, jede Sektion greift Segmente in Systemen an, die sie kennt. Dadurch sind diese Attacken quasi ein Pflücken niedrig hängender Früchte. Jede Firma müsste ihre Netzwerke so in Schuss haben, dass diese zumindest einem oder zwei Tagen gesteigerter Aufmerksamkeit durch Anonymous standhalten. Und wenn die Systeme dann doch geknackt werden, brauchen die Unternehmen einen Plan, wie sie vorgehen wollen, wenn ihre vertraulichen Daten im Netz kursieren.

STANDARD: Das sollte sowieso jeder haben, wenn es zutrifft, dass kein E-Mail absolut sicher verschickt werden kann.

Moss: Die Art und Weise, wie die Internet-Protokolle gebaut sind, ist standardmäßig einfach unsicher. Es ist derzeit unmöglich für normale Verbraucher, sicher im Internet zu browsen. Das Gleiche gilt für E-Mails. Da gibt es schon lange Sicherheitsstandards, aber sie werden nicht verwendet, weil sie etwas kosten und eigens installiert werden müssen. Microsoft könnte das in seinen Paketen einschließen, tut es aber nicht. Wenn wir wollten, könnten wir mehr Sicherheit bekommen, aber wir bekommen sie nicht. Wessen Verantwortung ist das? Diese Frage frustriert mich, weil wir dauernd über Multimilliarden-Dollar-Investments in Cybersecurity sprechen und gleichzeitig nicht imstande sind, sicheres Websurfen und E-Mail-Verschicken zu gewährleisten.

STANDARD: Warum ist das so?

Moss: Ein guter Teil davon geht darauf zurück, dass niemand wirklich etwa für sichere E-Mails verantwortlich ist. Die Internet-Protokolle wurden seinerzeit durch einen gemeinsamen Input erfunden. Natürlich könnte heute jemand sagen: Lasst uns fünf Entwickler bereitstellen, und in ein paar Monaten ist die Sache erledigt. Man könnte ethische Appelle machen, dazu aufrufen, die Welt sicherer zu gestalten. Aber die Unternehmen hätten keinen Wettbewerbsvorteil daraus zwischen all den Dingen, die sie sonst noch zu erledigen haben. Deshalb macht es niemand. Ich schaue aber auf die Gesamtlage und sehe, wie viel man tun könnte, um die ganze Welt um vieles sicherer zu machen. An diesen Lösungen bin ich interessiert. Das ist nicht unmöglich, sondern eigentlich relativ einfach. Und wenn es die Softwareindustrie nicht angeht oder die Open-Source-Community, müssen es eben die Regierungen verordnen.

STANDARD: Aber es wird doch immer schwierig, wenn Regierungen mit Gesetzen im Internet eingreifen wollen, oder?

Moss: Mitte der 1990er gab es noch die Hoffnung, dass ein informierter Verbraucher Entscheidungen trifft und die Marktkräfte folgen würden. Aber das Problem ist: Die Konsumenten haben keine Chance, eine informierte Entscheidung in diesem Bereich zu treffen. Die Kunden kaufen ein System mit 60 oder 80 Features, aber nicht notwendigerweise das sicherste System. Hier gibt es ein Marktversagen. Das zweite Problem ist, dass Softwarehersteller nicht verantwortlich für ihre Fehler sind. Das ist die einzige Industrie, von der ich weiß, in der das so ist. Üblicherweise werden solche Unzulänglichkeiten von Versicherungen abgedeckt, aber auch das funktioniert nicht, weil die Versicherungen zu wenige Daten haben, um die Risiken zu kalkulieren. Wie sollte man auch so etwas wie Anonymous versichern? Also bleibt nur Regulierung. Wir klettern die Risikoskala hinauf, und ob man will oder nicht, die Regierungen mischen sich zunehmend ein. Die Einzigen, die etwas dagegen unternehmen können, sind die Softwarefirmen. Die könnten die Sicherheitsprobleme lösen, wenn sie wollten.

STANDARD: Es gibt auch viele, die glauben, Cybersecurity-Themen seien ein unglaublicher Hype, um Sicherheitsfirmen fette Umsätze zu bescheren. Was meinen Sie?

Moss: Wenn man sich zum Beispiel gegen Cyberkriminalität schützt, schützt man sich auch bis zu einem gewissen Grad gegen Cyberkrieg. Am Ende des Tages geht es immer um Software. Wenn Microsoft eine sicherere Version seiner Software vorstellt, minimiert es beide Gefahren. Das Problem für die Konsumenten ist, dass sie immer Systemlösungen kaufen müssen und so genötigt sind, für gewisse Riskoklassen zu optieren, die sie möglicherweise gar nicht kennen. Ich versuche das immer so zu erklären: Ich kann von meiner Mutter nicht verlangen, eine Computerexpertin zu sein, um einen Computer zu bedienen. Sie ist ja auch keine Autoingenieurin und fährt Auto. Die Systeme müssen intrinsisch viel sicherer sein, wieso werden sie also auf der niedrigstmöglichen Sicherheitsstufe ausgeliefert?

STANDARD: Kriminelle, Militärs, Spione, Hacker - es gibt viele Mythen über die Bad Guys des Internets. Was wissen wir wirklich über diese Leute?

Moss: Es gibt viele Typen von Bad Guys da draußen. Spionage wird vor allem von Regierungen betrieben - aus militärischen oder auch wirtschaftlichen Hintergründen. Manche Staaten haben ganze Industriepolitiken darauf aufgebaut. Kriminelle wollen dagegen vor allem Bank- oder Kreditkartendaten, die sie schnell verwenden und schnell monetarisieren können, ohne große Risiken einzugehen.

STANDARD: Die Chinesen werden oft als diejenigen beschuldigt, die größte Energie in Cyberwarfare und Cyberspionage zu stecken.

Moss: In der chinesischen Kultur wird sehr viel auf Bildung gesetzt. Genauso wie in Russland, auch dort gibt es sehr gut ausgebildete Ingenieure und Techniker. Ich wäre überrascht, wenn China nicht große Fähigkeiten in diesem Feld hätte. Wenn nicht, dann müssten sie etwas sehr falsch machen. Das wäre so, als würde Russland seine Panzer nicht selber herstellen. Wenn es um einen Vergleich zwischen Chinesen, Russen, USA, Franzosen oder Israelis geht, weiß niemand genau, wer die Nase vorne hat. Aber man sollte alle ernst nehmen.

STANDARD: Ein erstaunliches Phänomen ist, dass vor allem auch Rüstungsunternehmen wie zuletzt Lockheed Martin oder Mitsubishi Heavy erst auf Angriffe aufmerksam werden, wenn schon Terabyte an Daten verloren sind.

Moss: Manche Einbrecher nehmen bei solchen Aktionen den Hintereingang, und andere treten die Vordertür ein und stehlen, bis sie abgeblockt werden. Staaten benutzen erstere Methode, Kriminelle letztere, weil sie sich im Gegensatz zu Staaten weltweit verstecken können. Oft ist es auch bei diesen Rüstungsfirmen so, dass die Top-Manager einfach nicht wissen, welche Risiken sie in ihren Systemen eingehen.

STANDARD: Die Menschheit ist vielleicht noch zehn oder 15 Jahre von einer völlig durchdigitalisierten Lebensweise entfernt. Was wird uns da blühen?

Moss: Niemand glaubt ernsthaft, dass all die Sicherheitsprobleme in den kommenden zehn bis 15 Jahren gelöst werden können. Wie lange bekämpfen Ärzte denn schon Aids oder Krebs? Auch in der Informationssicherheit ist es ein langer, kontinuierlicher Kampf. Es gibt Impfungen gegen alte Leiden, aber es kommen gleichzeitig viele neue Krankheiten zum Vorschein. Man wird in der Informationssicherheit nicht so einen großen Erfolg erzielen können wie etwa die Ausrottung von Polio. Was man tun kann, ist weitermachen und die alten Probleme zwar nicht lösen, aber sie dafür hinter sich lassen. Im hippokratischen Eid lautet das erste Gebot: Richte keinen Schaden an. Daran sollten auch Regierungen im Cyberbereich denken: Sie müssen Regulierungen einführen, die Marktkräfte und Innovation nicht ausbremsen. Technologie wird sich nicht einbremsen, und wir werden immer Risiken eingehen, deren Tragweite wir erst später realisieren. (Christoph Prantner, DER STANDARD/Printausgabe, 28.7.2012)