Hacker – die Leistungssportler der IT

Das Einzige, was vage an das Klischee von den wilden Programmierern erinnert, ist die neben einem Bildschirm stehende Flasche mit Club-Mate, dem angeblich den Programmier-Geist belebenden Kultgetränk mit Tee-Ingredienzen aus Südamerika. Doch Matthias Kaiser (37), der kurz daran nippt, muss lächeln: „Das habe ich schon früh getrunken, weil ich aus Ansbach stamme und Club-Mate gleich um die Ecke aus Neustadt an der Aisch kommt.“

Dem Hacker-Klischee entspricht bei Code White niemand

Auch sonst passt er nicht ins Bild eines Programmierers, der seit früher Jugend in lichtlosen, unaufgeräumten Kellern an Codes gebastelt hat, um spektakulär ein Computersystem in die Knie zu zwingen – und um dabei irgendwie die Welt zu retten. „Ich habe bis 30 als Softwareentwickler gearbeitet – und erst dann gemerkt, dass mir das hier viel mehr Spaß macht“, sagt er. Mit dem Begriff Hacker kann er nicht so viel anfangen: „Ich bin Sicherheitsforscher und suche nach Schwachstellen“, sagt er. Er sei kein Großstadt-Hacker, der in komischen Hosen und T-Shirts herumlaufe.

Die Biografie seines Kollegen David Elze (35) passt da schon ein kleines bisschen besser. „Mein Vater hat schon damals in Ostberlin immer die Hackermagazine aus dem Westen bekommen und ich fand es schon mit fünf oder sechs Jahren interessant, wie er an den Dingen herumgeschraubt hat.“ Doch auch Elze ist Techniker durch und durch – einer, der gerne knobelt: „Als Hacker-Aktivist im Sinne des Chaos Computer Club sehe ich mich nicht.“ Zehn Mitarbeiter, alles Männer, sitzen hier an den Bildschirmen, fast alle sind sie zwischen Anfang zwanzig und dreißig.

Wie im Sport zählt auch hier das Team. Die einen sind eher die Analytiker, die sich seitenweise in die Lektüre von Codes vertiefen. Andere schnüffeln erst mal in bestimmten IT-Funktionen, die potenzielle Schwachstellen sind. „Sie sollten mal sehen, wie kurz vor einem Durchbruch die Kollegen in einer Traube um den Schreibtisch des Kollegen herumstehen und ihm Ratschläge geben,“ sagt der Gründer Helmut Mahler.

Kurz vor dem Durchbruch wird es spannend

„Die Endphase vor dem Durchbruch macht richtig Spaß“, sagt Elze. Der Spaß an der kreativen Destruktion ist für die Spezialisten hier zur Profession geworden: Code White ist darauf spezialisiert, im Auftrag von Unternehmen Hackerangriffe zu simulieren. Die IT-Abteilung, die attackiert wird, ist wie im wirklichen Leben vollkommen ahnungslos. Eingeweiht ist in der Regel nur die Unternehmensleitung.

Was die Profi-Hacker von Code White ins Visier bekommen, ist kein Spielzeug. Große Dax-Konzerne gehören zu den Kunden. Wenn man darüber nachdenke, sei das schon beeindruckend, wenn nach einer erfolgreichen Attacke auf einmal die IT eines milliardenschweren Dax-Konzerns im Griff sei, sagt Elze. „Unser Ziel ist es zu zeigen, dass wir unter Ausnutzung der Schwachstellen, die IT von Firmen komplett übernehmen könnten. Das gelingt uns in der Regel“, sagt Helmut Mahler, Gründer von Code White.

Das braucht hohes Verantwortungsbewusstsein. Aber ansonsten ist die Arbeit für die meisten hier eine Art Sport, der auch nicht zu Ende ist, wenn man aus dem Büro nach Hause kommt. Der Drang, am Ende erfolgreich über die Hürden zu kommen, lässt hier die meisten auch nach Feierabend nicht los. Am Ende ist es bisher immer eins zu null für Code White gestanden. Bis jetzt war jede Sicherheitsvorkehrung zu knacken. Und wie ist es mit angeblich mathematisch nicht zu knackenden Verschlüsselungen? David Elze kann da nur lächeln: „Sie greifen nie an der stärksten Stelle an, sondern immer beim schwächsten Glied.“ Und schwache Glieder gebe es immer: „Kein Programmierer schreibt einen absolut fehlerfreien Code.“

Der Gründer Helmut Mahler war einmal für einen großen baden-württembergischen Konzern für IT-Sicherheit zuständig. Auch der Kern seines Teams kommt von dort. Nur einmal hat sich bisher das Team von Code White fast die Zähne ausgebissen. Da war nämlich am anderen Ende der Leitung ein Sicherheitsteam, das sozusagen im Hacker-Spirit arbeitete und das sofort merkte, wenn sich da jemand Fremdes im System zu tummeln begann. Am Ende haben es die Ulmer dann doch geschafft. „Dass wir gar nicht reinkommen, ist noch nie passiert“, sagt Elze. Nach dem erfolgreichen Eindringen bekommt der Kunde eine Analyse mit Vorschlägen, was er verbessern kann. Aber zu Ende ist der Wettlauf von Eindringlingen und Verteidigern nie.

Wer nach Schlagzeilen schielt, ist unten durch

Hacker sind eine eigene Spezies: Eine Mischung aus Technikfreak und Leistungssportler – und wie echte Olympioniken treiben sie weniger materielle Interessen als der Ehrgeiz, auf dem hochkomplexen Feld zur Elite zu gehören. Über sogenannte Stunt-Hacker rümpft man hier die Nase. So heißen diejenigen, die in der breiten Öffentlichkeit Schlagzeilen machen wollen – etwa das Hacker-Team, das vor einigen Monaten öffentlichkeitswirksam ein autonomes Fahrzeug manipulierte. „Man muss technisch-systematisch so gut sein, dass man kreativ etwas ausprobieren kann“, sagt Elze. „Man braucht gleichzeitig den Spieltrieb, um immer wieder zu versuchen, ins System reinzukommen.“

Wie ein blasser, sogenannter Computer-Nerd sieht hier keiner aus. Der Lebensstil hier ist gutbürgerlich, auch weil Top-Hacker gutes Geld verdienen. Fast alle haben Familie und leben deshalb gern in Ulm, weil sie die Lebensqualität in der Stadt schätzen. Ob Ulm, Hamburg oder San Francisco, macht für einen Hacker, der sich vor allem online bewegt, keinen Unterschied. Es reicht, in der kleinen, aber feinen globalen Szene anerkannt zu werden.

Es ist das Ganzheitliche, das Kreative, das so anders ist als die übliche, oft trocken-systematische Arbeit in der IT, die begabte Programmier-Experten reizt. Es geht eben nicht darum, akribisch die vorhandenen Sicherheitsvorschriften zu befolgen oder hier und dort einen einzelnen IT-Baustein zu optimieren. Ein Hacker baue nicht wie ein Programmierer einen Schritt nach dem anderen auf, sagt Matthias Kaiser. Er versuche im Gegenteil die Dinge so zu zerlegen, dass er die Kontrolle über sie übernehmen kann. Man blicke deshalb immer auf die ganze IT-Architektur: Einbruchstellen gibt es potenziell überall.

Es braucht aber eine Mischung aus Inspiration, Intuition und Hartnäckigkeit, um sie etwa in der komplexen IT-Architektur eines Großkonzerns zu finden. Ein professioneller Hacker zu sein, ist deshalb am Ende viel mehr als ein Angestelltenjob: „Man kann nicht morgens ins Büro gehen und abends abschalten“, sagt David Elze. „Das muss eine Leidenschaft sein.“

Unternehmenssteckbrief: Code White

Code White ist ein Unternehmen mit Sitz in Stuttgart und Ulm, das sich auf hochwertige Beratung in der IT-Sicherheit spezialisiert hat. Zielsetzung ist es, Unternehmen zu helfen, sich vor Angriffen aus dem Internet wirksam zu schützen. Dazu imitiert Code White das Verhalten realer Angreifer und setzt im Auftrag der Kunden deren Unternehmen professionellen Angriffen aus dem Internet aus – ohne dass die Verantwortlichen für die IT-Sicherheit davon vorher wissen. Die professionellen Hacker der Firma attackieren genauso, wie dies ein Angreifer mit bösen Absichten tun würde. So werden Schwachstellen in den IT-Systemen aber auch in Steuerungen von Industrieanlagen oder in den Elektroniksystemen z. B. von Fahrzeugen identifiziert. Die Experten von Code White bewerten das Risiko, das von Schwachstellen ausgeht, und schlagen Maßnahmen vor, um Schwachstellen wirksam zu beseitigen. Um einen dauerhaften Schutz vor Angriffen zu gewährleisten, hält Code White die IT-Systeme von Kunden unter dauerhafter Beobachtung, so dass Veränderungen, die der Kunde selbst vorgenommen hat, sofort auf Schwachstellen überprüft werden. Aber auch neu entdeckte Sicherheitslücken, die in der Angreiferszene kursieren, werden sofort daraufhin untersucht, ob sie für den Kunden von Bedeutung sind. Code White verfolgt dabei die Philosophie, dass nicht einzelne technische Schritte, sondern nur ein Blick auf das IT-System als Ganzes echte Sicherheit ermöglicht – die sich allerdings immer wieder an die stetig wandelnden Bedingungen in der IT und im Internet anpassen muss.