Paul Böhm: Das war eher ein Zufall. Ich habe mit acht Jahren angefangen, Computerspiele zu programmieren und bekam mit zwölf bereits Internetzugang - da wurde es interessant. Ich beschäftigte mich privat mit Sicherheitslücken und habe mit Freunden "Teso", eine der einflussreichsten Hackergruppen der späten 90er-Jahre gegründet. Teso konnte tatsächlich einige große Software-Fehler aufdecken, womit wir international bekannt geworden sind. Also es hat 1998 begonnen, dass mich Firmen zur Beratung heranzogen, die durch Datendiebstahl viel zu verlieren hatten und haben.
Wie war es, mit 15 Jahren ein Firmenberater zu sein?
Böhm: Zu dem Zeitpunkt steckte das Internet noch in Kinderschuhen, aber es ist schnell gewachsen. Es gab kaum ausgebildete Experten - da musste man auf die Szene zurückgreifen, die sich ja ohnehin hobbymäßig jahrelang damit beschäftigt hat. So bestand die Möglichkeit, in sehr jungem Alter Experte zu werden.
Vertrauen denn Firmen und Konzerne den Hackern so einfach?
Böhm: Wir müssen zuerst den Begriff "Hacker" definieren. Da haben die Medien einen Mythos gebastelt, der nicht stimmt. Der Begriff war zuerst nur die Bezeichnung von Leuten, die enthusiastisch auf ihren Keyboards herumgehackt haben. In diesem Selbstverständnis sind Hacker Menschen, die sich den Umgang mit Technik selbst beigebracht haben und denen es Spaß macht, mit komplexen Dingen zu spielen. Diejenigen, die Systeme illegal angreifen, sind keine Hacker, sondern einfach Kriminelle, die sich technischen Wissens bedienen.
Und wie weist man sich bei Firmen aus?
Böhm: Es gibt in diesem Bereich noch keine ausreichend aussagekräftigen Zertifizierungen. Manche Firmen schätzen Autodidakten, weil sie Leute bevorzugen, die sich aus Eigenmotivation Wissen angeeignet haben. Die Hobbyisten sind meist kreativer und auf einem neueren Stand der Technik als jemand, der sein Wissen aus der Konserve hat. Natürlich muss es eine Vertrauensbasis geben. Die erarbeitet man sich dadurch, dass man eigene Forschungsergebnisse in Mailinglisten veröffentlicht oder auf Konferenzen präsentiert und sich so einen Ruf als verlässlicher Sicherheitsberater aufbaut.
Wie konkret sieht die Arbeit als Sicherheitsberater aus?
Böhm: Vor allem testet man Anwendungen auf Sicherheitsmängel. Meistens wird auf einem speziell abgeschotteten Testsystem geprüft, manchmal hat man auch Zugang zu den Quellcodes, in denen man Programmierfehler sucht. Es werden auch Tests auf Echtsystemen durchgeführt, um eine möglichst realistische Risikoabschätzung zu erhalten. Es ist unsere Aufgabe, Firmen zu helfen, Risiken einzuschätzen und zu verringern, damit sie besser ihren eigentlichen Tätigkeiten nachgehen können.
Worin bestehen die größten Sicherheitslücken, mit denen sich Sicherheitsberater im Moment befassen müssen?
Böhm: Bei den Standardprogrammen, die auf 100 Millionen Rechnern laufen, ist in den vergangenen Jahren sehr viel verbessert worden. Problematisch sind aber Programme, die eigens für einzelne Firmen geschrieben werden. Da besteht enormer Beratungsbedarf. Und hier gilt: Die Verteidigung ist nach wie vor schwieriger als der Angriff. Zur Verteidigung muss man alle Fronten sichern, während ein Angreifer nur einen Fehler braucht, um einzudringen.
Wie geht es in diesem Bereich weiter?