»Die einzigen, die sich weiterentwickeln, sind Hacker«

PC Professionell: Braucht man härtere Gesetze gegen unethische Hacker?
Carus: Gesetze bringen wenig. Wie ich schon sagte, ist Anonymität das größte Problem im Internet. Und wenn ich als Hacker weiß, dass man mich nicht kriegt, ist mir das Gesetz egal. Da kann der Gesetzgeber Hacking unter Todesstrafe stellen, das bringt gar nichts.

PC Professionell: Wie beurteilen Sie den Hacker-Paragraphen, der die Herstellung und Nutzung von Hacking-Tools unter Strafe stellt?
Carus: Die Idee des Gesetzgebers ist es, die Internet-Community zu schützen. Aber man führt mit dem Hacker-Paragraphen auch die Sicherheitsverantwortlichen in kriminelles Fahrwasser. Die Tools, die Hacker anwenden, nutzen auch Systemadministratoren. Klassisches Beispiel ist das Programm Nmap, das mit Unix standardmäßig verteilt wird. Als Admin muss ich das Tool regelmäßig anwenden, um mein Netzwerk zu überprüfen. Der Hacker-Paragraph trifft die falschen Leute und beeinflusst die Arbeit derjenigen negativ, die das Internet sicher machen sollen.

PC Professionell: Behindert der Paragraph Sie bei der Arbeit?
Carus: Ich sage es ganz ehrlich: Ich lasse mich davon nicht beeindrucken. Ich bin mir bewusst, dass ich bestimmte Tools nicht herunterladen und benutzen darf. Aber ich weiß auch, sie sind Bestandteil meiner Arbeit. Ich habe ein ethisches Agreement mit meinen Kunden, dass ich diese Werkzeuge und meine Arbeit auf ihr Netzwerk loslassen darf. Damit fühle ich mich abgesichert genug, weiter so vorzugehen.

PC Professionell: Blick in die Zukunft: Kämpfen wir in fünf Jahren immer noch gegen Phishing und Trojaner?
Carus: Es dreht sich wieder um die Anonymität. Solange wir die Versender von Spam, Phishing und Trojanern nicht eindeutig identifizieren können, bewegen wir uns keine bisschen von der Stelle. Die einzigen, die vorankommen und sich weiterentwickeln, sind die Hacker.

PC Professionell: Das liegt aber sicher daran, dass Hacker nichts zu verlieren haben, im Gegensatz zu einem Administrator, der ein komplexes Firmennetz warten muss.
Carus: Das ist korrekt und die Möglichkeit, alle Schlupflöcher zu schließen, hat ein Admin auch gar nicht. Sie können aber ihre Chance, sich zu schützen, verbessern, wenn sie sich mehr Wissen aneignen und das Niveau anheben. Es geht ganz einfach darum, den Hackern das Leben so schwer wie möglich zu machen. Dann verlieren die auch schnell die Lust daran und suchen sich ein anderes Opfer, ein leichter zu knackendes Opfer.

PC Professionell: Was sind die wichtigsten Tipps, die Sie einem Administrator geben können?
Carus: Das wichtigste ist, sich einen Überblick zu verschaffen, welches Wissen über die eigene Firma draußen verfügbar ist. Zum Beispiel hinterlassen viele Mitarbeiter im Internet ihre E-Mail-Adressen, beispielsweise der Programmierer in einem Entwickler-Forum. Über eine Google-Suche komme ich schnell an solche Adressen. Gelange ich dann noch an ein Telefonverzeichnis aller Mitarbeiter des Unternehmens, so kann ich über die Namenskonvention dieser einen E-Mail-Adresse die Adressen aller Mitarbeiter ableiten. Oder ein anderes Beispiel: Aus den Einträgen im Forum erkenne ich, mit welcher Programmiersprache dort gearbeitet wird, welche Entw
icklungsumgebung es gibt oder wie die Qualität des Codes ist. Der zweite Tipp ist dann als Schlussfolgerung daraus, das eigene Netzwerk mit diesem Wissen zu hacken. Man macht also das, was andere tun – nur früher.

PC Professionell: Ihr Buch »Ethical Hacking« beschreibt relativ detailliert, wie Hacker bei einem Einbruch vorgehen. Haben Sie keine Angst, dass das Buch in die falschen Hände gerät?
Carus: Da mache ich mir keine Sorgen. Das, was in dem Buch steht, wissen Hacker sowieso schon. Es ist naiv zu glauben, dass die daraus noch etwas lernen. Das Buch richtet sich mehr an Administratoren, Entwickler und Projektleiter. Aber diese naive Vorstellung von Hackern haben viele Leute.

Manu Carus’ Buch »Ethical Hacking« ist im Verlag entwickler.press erschienen und kostet 39,90 Euro (368 Seiten, ISBN: 978-3-939084-22-8).

Das Gespräch führte PCpro-Autor Alexander C. Sturm.