„Die Büchse der Pandora wurde bereits geöffnet“Über das Prinzip Hacking, Red Teams, legale Bankeinbrüche und die Schwachstelle Mensch

Red Team alt

Foto: atomicShed red team via photopin (license)

Es ist ein Job wie im Hollywood-Thriller. Per Auftrag in eine Bank einbrechen, Fernsehsender kapern, Tresore von Unternehmen knacken. Der Belgier Tom van de Wiele ist Hacker, Infosec-Experte und leitet ein Red Team für das finnische Sicherheitsunternehmen F-Secure. Red Team ist ein Begriff, der ursprünglich aus dem Militär stammt, bei dem ebenfalls Teams beauftragt werden, Militärinstitutionen zu kompromittieren. Jedes Unternehmen und jede Institution sollte sich die Frage stellen: Wie sicher ist man eigentlich? Dabei entdecken van de Wiele und seine Kollegen oft kreative Ansätze, bestehende Sicherheitsstandards zu umgehen. Fingerabdrucksensoren mit feuchtem Klopapier täuschen, Schlüsselkarten von Firmenmitarbeitern in der U-Bahn heimlich scannen und kopieren? Alles gar nicht so schwer. Das Filter traf Tom van de Wiele zum Interview. Über eine durchweg faszinierende Arbeit, die Serie „Mr. Robot“, die Schwachstelle Meatware, Hacking als Terror-Tool und Pandoras Büchse, die eigentlich schon längst geöffnet wurde.

Die technischen Details mal beiseite: Was ist Hacking und wie bist du dazu gekommen?
Beim Hacking geht es darum, dass wir wirklich daran interessiert sind, wie Dinge funktionieren. Wir möchten ein System, egal welcher Natur, so gut verstehen, dass wir seine Regeln dehnen können. Das klassische Beispiel: Als ich zehn Jahre alt war, wollte ich wissen, wie die Post funktioniert. Wie funktioniert das System mit Briefmarken? Wie kommt ein Brief zum Empfänger? Ich fand heraus, dass ein Brief bei zu niedriger Frankierung an den Absender zurückgeschickt wird. Aber keiner hat überprüft, ob der notierte Absender auch wirklich der echte ist. Ich hatte damals nur wenig Taschengeld und so habe ich all meine Weihnachtskarten mit der Empfängeradresse als Absenderadresse abgeschickt. So sind die Karten auch ohne Briefmarken genau dort angekommen, wo ich sie haben wollte. Eine sehr einfache Methode das System auszunutzen. Aber darum geht es – weiterzudenken als normale Menschen. Ein nahezu manisches Interesse für solche Prozesse zu entwickeln. Der Rest kommt quasi von alleine.

Rund fünf Jahre nach den Snowden-Enthüllungen – Wo siehst du noch grundlegende Missverständnisse, wenn es um das Thema Sicherheit geht?
Die Menschen verstehen mittlerweile, was technisch in dem Bereich wirklich möglich ist. Auch wurde durch Snowden deutlich, in welchem Ausmaß diese Überwachungsmethoden angewandt werden. Auch wieviel Geld dafür investiert wird, was immer noch beeindruckend ist. Aber viele glauben nach wie vor nicht, dass es sie persönlich betreffen könnte; also machen sie weiter wie bisher. Hier hätte mehr Aufklärung stattfinden müssen, wobei ich auch eine Mitschuld bei den Medien sehe.

Mit der technologischen Entwicklung verändern sich auch die Angriffsflächen von Hackern. Smartphones, Smart Home und Internet of Things (IoT) ermöglichen ganz andere Schnittstellen, auf die zugegriffen werden kann – anders, als noch vor zehn Jahren. Aus Hacker-Sicht: Wie hat sich die Gemengelage verändert?
Es mangelt immer noch an soliden Auswahlmöglichkeiten, wie man sein Leben leben möchte und wie und wo man seine Daten und Informationen sicher speichern kann. Generell geht es um das oft zitierte Mittel zum Zweck: Wenn jemand eine innovative Technologie erfindet, wird es immer Kriminelle geben, die einen Weg finden, diese zu hacken. In der Regel geht es den Kriminellen aber ums Geld. Das sind unseren Beobachtungen nach um die 99 Prozent. Nur ein Prozent verfolgt politische oder andere Zwecke. Umso mehr Technologien es gibt und umso mehr Technologien verfügbarer und günstiger werden, desto mehr Möglichkeiten bietet man Angreifern. Das Internet spielt dabei eine wesentliche Rolle. Hier funktionieren solche Attacken sehr gut.

Welche Rolle spielen herkömmliche Sicherheitsstandards?
Die Abwehrmechanismen, die entwickelt werden, sind in der Regel nicht ausreichend. Es gibt länderspezifische Unterschiede in der Gesetzgebung, außerdem sind nicht alle Technologien legal. Ein klarer Vorteil für Hacker, die jede Technik nutzen können, um an das Geld fremder Menschen zu kommen. Das wird für die Zukunft immer problematischer. Daher ist es wichtig, dass Sicherheit von Beginn an bei jeder Technologie mitgedacht wird. Man nennt das „Security by Design“. Es ist immer ein Problem, wenn eine Technologie auf den Markt kommt und dann jemand anderes erst beweisen muss, dass es Sicherheitslücken gibt. Sicherheit muss größere Priorität bekommen, anders kann das nicht gut gehen. Viel wichtiger ist es, Anreize zu schaffen, „Security by Design“ auch umzusetzen.

„Eine einzelne Schneeflocke wird sich nie für den Blizzard verantwortlich fühlen. Und so ähnlich verhält es sich in der digitalen Realität auch.“

Wie hat man sich das genau vorzustellen? Jeder Fingerabdrucksensor am Smartphone kann relativ einfach manipuliert werden. Ich denke an Ransomware bei IoT-Devices wie Waschmaschinen und anderen Haushaltsgeräten. Sind die Produzenten nicht kompetent genug? Oder sind all diese Technologien einfach per se unsicher?
Es ist immer eine Kombination aus vielen Einzelelementen. Spricht man mit Chip-Herstellern, sagen die: Hey, wir machen nur die Chips! Der Endgeräteproduzent wird sagen: Wir haben doch nur die bestehenden Bauteile zusammengebaut. So wird die Verantwortung schließlich auf den Kunden abgewälzt. Die letzten zehn, 15 Jahre wurden solche Entwicklungen auch nie hinterfragt: Ist es richtig, was wir hier gerade tun? Es gibt das Sprichwort: Eine einzelne Schneeflocke wird sich nie für den Blizzard verantwortlich fühlen. Und so ähnlich verhält es sich in der digitalen Realität auch. Wir brauchen Gesetze, die Lebenszeiten von Geräten, Sicherheitsupdates und Transparenz diesbezüglich, welche Technologien in einem Gerät wirklich benutzt werden, definieren und bewerkstelligen. Man darf die Schuld nicht ausschließlich bei den Herstellern suchen. Auch Regierungen müssen besser darauf achten, welche Produkte in ihren Ländern verkauft werden. Es gibt den Irrglauben, dass der Markt das schon selber regeln wird. Dem ist aber nicht so. Die Kunden spielen dabei selbstverständlich auch eine wichtige Rolle.

Ich erinnere mich an den berühmten FBI-Fall, in dem es um das iPhone eines mutmaßlichen Attentäters in San Bernardino ging und es offenbar gar nicht so einfach war, an die persönlichen Daten zu kommen. War der FBI vielleicht einfach nur zu doof dafür?
Nein. Das FBI hat aber eine gute Möglichkeit darin gesehen, einen großen Hersteller, in diesem Fall Apple, medienwirksam unter Druck zu setzen und auch die breite Öffentlichkeit davon zu überzeugen, dass es gut sei, wenn es so etwas wie ein allgemeines Hintertürchen für ebensolche Fälle gibt. Ich bin froh, dass Apple hier einen so langen Atem bewiesen hat. So wurde das FBI genötigt, ein großes Budget aufzubringen, um dieses eine spezielle Telefon zu hacken. Am Ende mussten sie einen sogenannten Zero Day Exploit erwerben, um den Zugriff zu bekommen. Das hat viel Geld und Zeit in Anspruch genommen und, das ist eine gute Sache. Denn so wird auch anderen Individuen und Institutionen klar gemacht, dass es sich unter Umständen gar nicht so sehr lohnt, dasselbe zu probieren. Wir alle wissen, dass es hundertprozentige Sicherheit nicht gibt, weder vor kriminellen Gangs, noch vor Geheimdiensten und Regierungsbehörden. Aber es ist wichtig, die Kosten für solche Attacken hochzuhalten.

Tom van den Wiele Foto: Ji-Hun Kim

Der Hacker Tom van de Wiele in Berlin | Foto: Ji-Hun Kim

„Ich mache das seit 15 Jahren und niemals in meinem Leben habe ich erfahren, dass jemand von seinem Stuhl aufgesprungen ist und geschrien hat: „Ich bin drin!“ oder „Ich hab’s!“. Das ist in der Tat Hollywood.“

Was hättet ihr als Red Team in so einem Fall gemacht?
Das Problem war, dass der Betroffene nicht mehr am Leben war. Die NSA entschlüsselt nicht per se Verschlüsselungssoftware. Sie versucht erstmal, beide Endpunkte zu manipulieren. Das beinhaltet vor allem die beteiligten Personen, weil sie das schwächste Glied in der Kette sind. So war es und so wird es immer sein. Wäre der Täter noch am Leben gewesen, hätte man einfacher Zugriff auf den Computer bekommen, mit dem das Smartphone synchronisiert wird. Über Phishing-Mails kann man beispielsweise versuchen, Zugriff auf den iCloud-Account zu bekommen. So kommt man wiederum an die Backups des Smartphones. Wenn diejenige Person aber nicht mehr lebt, kann man nur noch über Technologien an die Daten kommen.

Wie deine Arbeit zeigt, bedeutet Hacking nicht nur vor einem Computer zu sitzen und Kommandozeilen zu tippen. Es ist weitaus komplexer und beinhaltet alle möglichen Disziplinen. Wie würdest du das definieren?
Es ist ein Mindset. Es geht darum, sich mit einer Technologie auseinanderzusetzen und herauszufinden, was sonst noch alles damit möglich ist. In den Medien wird das sehr missverständlich dargestellt. Ich mache das jetzt seit 15 Jahren und habe noch nie mitbekommen, dass jemand von seinem Stuhl aufgesprungen ist und geschrien hat: „Ich bin drin!“ oder „Ich hab’s!“. Das ist in der Tat Hollywood. Echtes Hacking sieht eher so aus, dass man zwölf Stunden auf den Bildschirm guckt, dabei über etwas stolpert und denkt: „Hmm, das ist interessant.“ Man findet erst allmählich heraus, wie man systematische Gesetze dehnen oder brechen kann.

Aber wenn ihr mit Auftrag in eine Bank einbrecht oder eine Firma ausspioniert, klingt das für mich schon ziemlich filmreif.
Das kann passieren.

Und ist es nun eher wie bei „Ocean’s Eleven“ oder „Mr. Robot“?
Um „Mr. Robot“ gab es einen großen Hype und man hat sich dabei bemüht, Hacking auf eine möglichst realistische Art und Weise abzubilden.

Wie realistisch ist die Serie?
In der Tat sehr realistisch. Die Macher gehen aktiv auf Blackhat-Hacker-Konferenzen und fragen Experten, wie man die Szenarien noch realistischer machen kann. Für die Blu-ray-Ausgabe werden sogar Szenen neu angepasst, wenn es hieß, dass sich kleinere Fehler eingeschlichen hatten. Die meinen das richtig ernst, und das verlangt mir großen Respekt ab. Vielleicht gibt es nicht so viel Heroin in der Szene. Aber wenn es um die Hacker-Techniken und Möglichkeitsräume geht, dann handelt es sich bei „Mr. Robot um ein sehr echtes Portrait. Ich will das jetzt nicht wild über den Klee loben – Lass uns daher sagen: „Mr. Robot“ ist ein guter Start.

Was ist dann in deinen Augen das unrealistischste Szenario in Hollywood-Filmen?
Ich liebe den Film „Hackers“ von 1995. Der ist so schlecht, dass er schon wieder gut ist. Da gibt es nichts, was nur ansatzweise echt sein könnte. Alles was auf den Bildschirmen zu sehen, will aussehen wie ein Computer, macht aber nie das, was ein echter Computer eigentlich machen würde. So sollte man das auf gar keinen Fall machen. Das finde ich schon charmant.

Mr. Robot

Gutes Beispiel für Hacker im Film: Die TV-Serie „Mr. Robot“ (Foto: Universal Pictures Germany)

„So schlecht, dass es schon wieder gut ist.“ Der Film „Hackers“ (1995) mit Angelina Jolie.

Wenn man eine Bank hackt – wie kreativ ist die Arbeit eigentlich? Ich stelle mir das ziemlich kreativ vor.
Auf jeden Fall. Wir sitzen zu dritt oder viert in einem Red Team. Wir haben wenige Monate Zeit und es ist dein Job, einen Weg zu finden, um ein professionelles Team zu bezwingen, das aus 20 bis 50 Leuten besteht, die sich von früh bis spät ausschließlich um die Sicherheit des Unternehmens kümmern. David gegen Goliath. Alleine das erfordert schon eine Menge Kreativität. Uns bleiben in der Regel wenige Monate. Echte Kriminelle haben alle Zeit der Welt, sich für so etwas vorzubereiten. Wenn man das allerdings kreativ kompensieren kann, dann nutzt das auch dem Kunden, weil wir so häufig auf sehr unkonventionelle Methoden kommen.

Wie oft denkt man sich dabei: Das ist doch viel zu einfach.
Wir sind schon in Firmen reingekommen, weil Tür-Systeme nicht miteinander synchronisiert waren. In der Regel haben Firmengebäude eine relativ harte Hülle, aber ein weiches Innenleben. Da geht es primär darum, physisch in ein Gebäude hineinzugelangen. Wir haben also herausgefunden, dass um fünf Uhr abends die äußere Tür des Gebäudes automatisch schließt, die innere sich aber weiter automatisch öffnete. Wir haben es also geschafft, zwei Minuten uns unauffällig in dem Zwischenraum aufzuhalten, sind dann ins Innere des Gebäudes, haben gewartet, bis keiner mehr da war und hatten dann Zugriff auf das gesamte Gebäude. Das war schon ein wahrer Facepalm-Moment. Zumal das Unternehmen beteuerte, dass es ihrer Ansicht nach unmöglich sei, nicht autorisiert reinzukommen.

Wie sehen Momente aus, wenn man gar nicht weiterkommt?
Als Red Team muss man die Fähigkeit haben, durch das ganze Theater, das um die Sicherheit gemacht wird, hindurchzuschauen. Wenn man beim Sicherheitscheck am Flughafen seine Shampooflasche wegwerfen muss, macht das ja den Flug auch nicht automatisch sicherer. Manchmal wirkt Security einschüchternd, wird aber eben auch nur von Menschen verantwortet und nicht von Robotern. Und Menschen folgen immer wieder den gleichen Prozeduren, auch wenn sie Computer bedienen. So lassen sich immer Wege finden, um ans Ziel zu kommen. Wir nennen das Meatware.

Wie sicher ist das Leben als Red-Teamer selbst? Ihr habt im Laufe der Zeit viele sensible Daten gesammelt, die auch für andere interessant sein könnten. Gibt es die Versuchung, die Seiten zu wechseln?
Nein. Sicherheit ist eine höchst seltsame Angelegenheit: Man kann komplett sicher sein, sich aber nicht sicher fühlen und umgekehrt. So fühlen sich Menschen im Auto sicherer als im Flugzeug, obwohl ein Flugzeug faktisch viel sicherer ist. Aber wir geben uns dieser Illusion hin. Selbst am Lenkrad, also mehr Kontrolle. Dabei wissen wir alle, dass die meisten sich als bessere Autofahrer empfinden, als sie wirklich sind. Bildlich gesprochen sitzen wir auf einer Menge Schmutzwäsche unserer Kunden. Wir löschen alle Daten nach einem Auftrag und versichern vertraglich außerdem, dass wir nur im guten Sinne handeln. Wir brauchen solche Verabredungen, um überhaupt so ein Business betreiben zu können.

Sicherheitsfaktor Meatware: Schlüsselkarten, die so offen rumgetragen werden, können sehr leicht gehackt und kopiert werden.

Noch einfacher ist es, wenn die PIN mit einem Post-it drauf geklebt ist.

Du hast nie ein dubioses, aber lukratives Angebot erhalten?
Kriminalität hat kurze Beine. So etwas kann man nie lange machen.

Wie bist du dir da so sicher?
Natürlich diskutieren wir darüber, was passieren würde, wenn man vollständig Blackhat wird. Dabei geht es aber darum, die Psychologie dahinter zu verstehen. Weil immerhin wollen wir solche Leute auch kriegen und ihre Machenschaften aufdecken. Welche Mittel nutzen sie? Wo liegen ihre Grenzen? Dafür muss man in Ländern agieren, die keine eindeutige Rechtssprechung im Bereich Cyberkriminalität haben. Man muss immer auf der Hut sein, weil man jederzeit auffliegen kann. Wenn man aber die Geschichten derjenigen hört, die kriminelle Blackhats gewesen sind, dann hört man, dass diejenigen sich eine konkrete Grenze gesetzt haben im Sinne von: Wenn ich so und so viel Geld damit gemacht habe, bin ich raus. Das sagen so gut wie alle. Mit der Zeit wird man schlampig und dann wird man gefangen. Durch unseren Job sind wir so abgesichert, dass wir gar nicht in Versuchung kommen.

Massive Ransomware wie WannaCry scheint ja gut funktioniert zu haben. Die allermeisten waren überrascht, dass so etwas überhaupt geht.
Das stimmt, aber es lag auch in der Luft. Wir hätten es uns fast schlimmer vorgestellt, aber andererseits ist nicht jede Firma dazu verpflichtet offenzulegen, ob eine Attacke vorlag oder nicht. Das ändert sich. In der EU ist kürzlich die sogenannte „General Data Protection Regulation“ (GDPR) in Kraft getreten und die zwingt Firmen, ihren Aktionären zu berichten, ob ein derartiger Vorfall vorlag oder nicht. Viele Firmen gibt es länger als IT-Systeme. In der Regel wurden IT-Systeme auf bestehenden Strukturen aufgesetzt und nicht implementiert. Fest steht aber, dass Ransomware-Angriffe wie WannaCry noch besser und weiter entwickelt werden.

Inwiefern werden kriminelle Handlungsspielräume durch autonome Autos und der weiteren massiven Vernetzung beeinflusst? Reden wir vom Öffnen von Pandoras Büchse oder wie schätzt du die Situation ein?
Die Büchse Pandoras wurde bereits geöffnet. Abstrakt betrachtet produziert jeder Prozess Informationen. Das heißt, dass jeder IT-Prozess Daten produziert. Wie diese Daten gespeichert werden, wie man damit umgeht, sie verschlüsselt und wo man sie sichert – das sind Fragen, die die Zukunft unserer Spezies betreffen. Die IoT-Revolution, die wir gerade sehen, wird nicht aufzuhalten sein. Ob wir beide sie nun wollen oder nicht, ist dabei egal. Das ist die „Why not?“-Phase der technischen Entwicklungen. Wie wir mit diesen Informationen umgehen, von heute bis in 100 Jahren, wird ähnliche Konsequenzen haben wie die Industrielle Revolution. Wir werden erleben, wie Informationen zum Umweltproblem werden.

„Wir werden erleben, wie Informationen zum Umweltproblem werden.“

Heißt?
Wir haben heute überall Daten und die Gesetzgeber sind mehr gegen als für uns. All deine persönlichen Daten sind entweder bei deinem Handy-Provider, bei deinem Internet-Anbieter, Cloud-Service oder bei Firmen wie Facebook, Apple oder Google. Und in der Regel hast du keinen Zugang zu diesen Daten, sie gehören uns nicht einmal. Am Ende gibt es ein blindes Vertrauen, dass Regierungen schon dafür sorgen werden, dass diese Informationen der Bürger geschützt werden. Zum Beispiel, dass Daten gelöscht werden, wenn sie nicht mehr benötigt werden. Es wird daher schlimmer, bevor es besser wird.

Wie glaubwürdig ist das Szenario, dass jemand deinen Tesla hackt und mit dir im Auto gegen die Wand fährt?
Ich glaube, dass kriminelle Hacker nicht daran interessiert sind, Menschen auf diese Art und Weise zu töten, weil da selten Geld im Spiel ist.

Was ist mit terroristischen Organisationen?
Die Größenordnung ist derzeit zu klein. Selbst wenn man in der Lage ist, eine Firma für Herzschrittmacher zu hacken, wäre der Aufwand zu groß, um eine flächendeckende Attacke zu platzieren. Da ist ein immenser Kosten- und Organisationsaufwand mit verbunden. Es ist daher noch immer viel einfacher, eine Bombe zu basteln oder mit einem Auto gegen eine Pipeline zu fahren, damit die explodiert. Auch das Risiko entdeckt zu werden, ist hierbei um einiges geringer, als bei IT-basierten Angriffen. Kriminelle müssten genau wie wir Technologien kaufen, erlernen und anwenden. Auch dabei wird eine Menge Daten produziert, die gegen dich verwendet werden können. Osama bin Laden konnte so lange unentdeckt bleiben, weil er keine Handys und kein Internet benutzt hat. Nachrichten wurden auf Zettel geschrieben und mit Motorrädern durch die Wüste transportiert. Terrororganisationen haben diesbezüglich zur Zeit wenig Interesse, solche Technologien zu nutzen. Wichtiger ist in diesem Zusammenhang ist tatsächlich, wie wir mit unseren Daten umgehen wollen. Wo liegt der Nutzen in einer WiFi-fähigen Zahnbürste, ist es uns das Risiko wert, dass unsere Daten in Hände von Firmen gelangen, denen wir unter Umständen gar nicht vertrauen können?

Ich glaube schon länger, dass wir so etwas wie einen fairen, vernünftigeren Konsum von Daten benötigen. Ganz ähnlich wie die Umweltschutzbewegung im 20. Jahrhundert dafür gesorgt hat, dass wir heute weniger Müll produzieren und nachhaltiger denken. Könnte so ein State-of-Mind nicht auch für die digitale Welt von Bedeutung sein? Du hattest die Industrielle Revolution angedeutet und auch da war es so, dass man erst einige Jahrzehnte danach gemerkt hat, dass Dinge wie Luftverschmutzung vielleicht doch ein Problem sein könnten.
Das stimmt ohne Frage.

Kann man positiven Einfluss auf die Welt nehmen, wenn wir alle weniger unnütze Posts auf Facebook, Twitter und Instagram veröffentlichen?
Daran glaube ich. Wenn Menschen ihr ganzes Leben online veröffentlichen wollen – meinetwegen. Es sollten aber Wahlmöglichkeiten für Konsumenten existieren. Wenn man sich dann jedoch Firmen anschaut, deren Interesse eben nicht darin besteht, uns Möglichkeiten anzubieten, weil es nicht im Businessmodell steht, dann könnte das der falsche Weg sein. Es gibt Android-Apps, die Zugriff auf alles auf deinem Smartphone haben wollen. Ich kann dabei nicht entscheiden: Ja, ihr dürft alles nutzen, aber nicht meine Kamera. Es ist in deren Geschäftsmodell nicht vorgesehen, dir zu erlauben, solche Dinge zu entscheiden. Facebook ändert sehr oft seine AGB und damit auch die Privatsphäreneinstellungen. So wird man jedes Mal automatisch unter den neuen Bedingungen neu angemeldet – Das sind alles keine Prozesse, die im Sinne des Konsumenten durchgeführt werden. Facebook und Instagram, die beide zum gleichen Unternehmen gehören wollen ja, dass du so viele Fotos wie möglich postest.

Daran wird mit der modernsten Hightech und den besten Leuten gearbeitet.
Umso mehr Inhalte da sind, die du magst, mit denen du interagierst, desto mehr Werbung kann dir angeboten werden. Ich finde es deprimierend zu sehen, wie die hellsten Köpfe der Welt sich auf einen kleinen Fleck in Westkalifornien versammeln, und dafür angestellt sind, zu erforschen, wie man dir noch mehr Werbung anbieten kann. AI, Machine Learning, Gesichtserkennung, Virtual Reality: Facebook und Google arbeiten vor allem daran, diese Technologien für Werbung zu optimieren. Facebook hat Oculus gekauft, damit man mit VR die Augenbewegungen der User millimetergenau messen kann, um Reaktionen auf Logos und andere werberelevante Inhalte zu tracken. Das ist nicht die richtige Richtung. Ich zweifle nicht daran, dass Technologie positive Effekte haben kann. Aber wir gehen dabei immer einen Handel ein und der Preis ist hoch. Dabei möchte ich die Wahl haben können.

„Ich finde es deprimierend zu sehen, wie die hellsten Köpfe der Welt sich auf einen kleinen Fleck in Westkalifornien versammeln, und dafür angestellt sind, zu erforschen, wie man uns noch mehr Werbung anbieten kann. “

Die Hardware spielt ja dabei auch eine Rolle.
Die allermeisten nutzen von uns Computer und Smartphones im Alltag. Und egal, für welche Marke man sich entscheidet: In der Regel ist es in China produzierte Hardware mit in den USA programmierten Betriebssystemen. Da können wir über so viel Sicherheit diskutieren, wie wir wollen. Aber die Macht liegt in den Händen dieser beiden Teile der Welt. Da wünsche ich mir eine breitere Fragmentierung. Wenn ein Smartphone in Deutschland gekauft wird, sollte es doch Möglichkeiten geben, dass die Daten, die produziert werden, auch in Deutschland gespeichert werden. Oder zumindest in einem Land, in dem die Rechtslage ähnlich ist. Das wäre ein guter Start.

Wie gierig in Bezug auf Daten schätzt du Firmen wie Facebook und Google ein? Weil ganz ehrlich, wenn es „nur“ ums Verkaufen von Werbung geht, sei es auch mit VR und AR, so viele Daten braucht man dafür doch nicht.
Richtig. Gmail hat alleine im letzten Jahr zehn Mrd. Dollar Profit gemacht. Irgendwas machen sie also richtig. Wenn man sich das Betriebssystem Android anschaut und die Tatsache, dass es von einem Großteil der User genutzt wird, dann sollte auch klar sein, dass eine Menge an werberelevanten Daten produziert wird. Für die einen ist ein Android-Phone, ein praktisches Gerät mit vielen technischen Gizmos. Zynisch betrachtet ist es eine große Werbeplattform. Google Drive, Maps, Mail, Chrome, YouTube werden alle synchronisiert und in ein Profil überführt. Google gehört heute so ziemlich alles, was im Bereich Tracking wichtig ist. Diese Attitüde findest du bei Facebook auch, aber vor allem auch bei Twitter, die neuerdings wirklich gierig sind, was deine Daten anbetrifft.

Wieso bei Twitter?
Vor kurzer Zeit wurde bei Twitter der Nutzungsvertrag geändert, was bedeutet, dass User von nun an getrackt werden können. Bislang wurde davon Abstand genommen und eine No-Track-Policy verfolgt, aber heute kann Twitter alle getrackten Informationen für sich nutzen. Das heißt, sie können alle getrackten Daten speichern, Behörden und andere Institutionen können darauf zugreifen, ohne dass du gefragt wirst. Jetzt magst du sagen: Ich nutze Twitter doch nur einmal im Monat. Aber vergiss nicht, dass die meisten Seiten heute einen Share-Button haben, ob Facebook oder Twitter. Dieser Code läuft über die Twitter-Server. Daher weiß Twitter, welche Webseiten du besuchst, kann daraufhin analysieren, wie dein Surfverhalten ist und vieles mehr. Aber wer von uns hat dem eigentlich wissentlich zugestimmt? Die wenigsten wären damit einverstanden, aber die Nutzungsverträge wurden unauffällig neu eingeführt. Da muss definitiv mehr Druck aufgebaut werden. Es braucht mehr Möglichkeiten für uns, diese Rechte zu verteidigen.

„Am Ende sind es Menschen, die Computer bedienen. Und ganz ehrlich: Die meisten wissen einfach nicht, was zu tun ist, um die Privatsphäre besser zu schützen.“

Angenommen du machst den gleichen Job in zehn Jahren. Wo werden wir da stehen?
Mein Traum wäre es, dass ich in zehn Jahren in gar keine Firma mehr einbrechen kann. Das würde bedeuten, dass der Bereich Sicherheit ausgebaut wurde und es selbst für uns unmöglich ist, Unternehmen zu hacken. Das wird aber nicht der Fall sein. Weil es gibt immer die Mischung aus Technologien und Menschen. Beide haben ihre Schwachstellen. Ich würde mir wünschen, dass man die Thematik größer skalieren kann und ein besseres Bewusstsein geschaffen wird. Hoffentlich werden wir mehr Rahmenkonzepte wie die GDPR haben, die Firmen sicherer aufstellen, aber auch mehr Transparenz ermöglichen. Firmen müssen für ihr Verhalten und ihre Fehler zur Verantwortung gezogen werden. Da brauchen wir mehr Aufklärung und mehr Unterstützung durch Regierungen. Ein bisschen Optimismus möchte ich zwar behalten, aber wenn man realistisch ist, dann werden sich viele Dinge nicht ändern. Am Ende sind es Menschen, die Computer bedienen. Und ganz ehrlich: Die meisten wissen einfach nicht, was zu tun ist, um die Privatsphäre besser zu schützen. Da liegt die Verantwortung auch bei den Entwicklern von Software.

Gibt es etwas, das noch auf deiner Wunschliste steht? Ein Unternehmen, das du noch gerne hacken möchtest?
Wir sind schon in Fernsehsender, Fähren und Banken eingebrochen. Haben Geldautomaten geknackt. Natürlich gibt es Bereiche, die mich noch interessieren würden. Mal in die Flugverkehrskontrolle wie in einen Flugtower zu gelangen, wäre spannend. Im Prinzip sind die aber genauso aufgebaut wie andere Gebäude auch. Allerdings gibt es mehr Verifizierungskontrollen. Aber auch da gibt es bestimmt Schwachstellen, und mit solchen Industrien zusammenzuarbeiten wäre eine interessante Herausforderung. Aber auch die Bereiche Satellitentechnik und Blockchain werden immer wichtiger. In Zukunft werden viele Wirtschaftszweige anfangen, Blockchain zu integrieren, ohne eigentlich zu wissen, was es genau ist und wie es funktioniert. Unsere Arbeit wird nicht langweilig werden.

Mix der Woche: Booty CarrellExklusives Hauntology-Mixtape für „Hallo Festspiele“

Filter Tapes 027„ABOTHER“ von Kristoffer Cornils