Das Wort „Hacker“ ist für viele Menschen mit einem negativen Image behaftet. Die Berichterstattung in den Medien über Schadsoftware und Datendiebstahl oder die Darstellung von Cyberangriffen auf in Filmen dürften ihren Teil dazu beigetragen haben. Dabei ist „Hacker“ in der Realität nicht etwa gleichbedeutend mit „Krimineller“. SpardaSurfSafe, eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, zeigt, was ein Hacker tut, wie man Hacker wird und warum Hacker auch essenziell für die Cybersicherheit sind.
Im Auftrag von SpardaSurfSafe ist Erwin Markowsky seit vielen Jahren mit seinen Live-Hacking-Vorträgen in ganz Baden-Württemberg unterwegs und hat bereits zehntausenden Schüler:innen gezeigt, wie wichtig Cybersicherheit ist. Dabei demonstriert er auch immer sein Können als Hacker: Er bringt Smartphones unter seine Kontrolle, steuert Webcams und Laptops fern oder verschickt Nachrichten im Namen fremder Personen. Doch im Gegensatz zu Kriminellen verfolgt er keine bösen Absichten. Im Gegenteil: Er will für die Gefahren im Cyberspace sensibilisieren und zeigen, wie man sich schützt.
Markowsky ist ein sogenannter White Hat, also ein Hacker auf der Seite des Gesetzes. Bösartige Hacker, die sich unrechtmäßig bereichern oder Schaden anrichten wollen, bezeichnet man hingegen als Black Hats. Beide Gruppen nutzen dieselben Methoden und Techniken und verfügen über umfangreiches Wissen über die Funktionsweise von Netzwerken und Computersystemen. Allerdings setzten White Hats ihre Fähigkeiten dafür ein, das Internet sicherer zu machen, indem sie Schwachstellen aufdecken und dabei helfen, sie zu schließen. Daneben gibt es noch die Grey Hats. Sie verstoßen durchaus manchmal gegen die Gesetze oder ethische Normen, haben dabei aber im Normalfall keine böse Absicht wie ein krimineller Black Hat. Oft melden sie dem Besitzer eines Netzwerks oder einem Software-Hersteller, wenn sie auf Sicherheitslücken stoßen, sodass diese geschlossen werden können. Einem Grey Hat geht es meist nicht um finanziellen Gewinn, sondern um die Herausforderung und die Anerkennung der Community.
„Beim Begriff Hacker denken viele Menschen zunächst an Kriminelle mit bösen Absichten. Doch das entspricht ganz und gar nicht der Realität. Man muss sich bewusstmachen, dass ein Hacker im Grunde genommen nichts weiter ist, als ein Experte für IT- und Computersysteme, der sich auf die Suche nach Fehlern und Sicherheitslücken macht, die man in irgendeiner Art und Weise ausnutzen kann“, erklärt Götz Schartner vom Verein Sicherheit im Internet e.V., einem der Mitveranstalter von SpardaSurfSafe. „Was der Hacker dann mit seinem Wissen und seinen Erkenntnissen anfängt, steht auf einem anderen Blatt und definiert letztendlich, ob es sich um einen Black oder einen White Hat handelt.“
Doch wie wird man eigentlich White Hat Hacker? Diese Frage bekommt auch Erwin Markowsky im Rahmen seiner Live-Hacking-Vorträge immer wieder gestellt. Die Antwort ist nicht ganz einfach, denn eine Ausbildung oder ein Studium mit diesem Namen gibt es nicht. Grundsätzlich kann man sich viele der benötigten Fähigkeiten auch selbst aneignen, doch als Basis eignen sich sowohl das Informatik-Studium als auch eine Ausbildung zum Fachinformatiker mit den Schwerpunkten Systemintegration oder Anwendungsentwicklung. Dabei wird das notwendige Grundwissen vermittelt, doch an Eigeninitiative und einschlägiger Weiterbildung auch nach dem Abschluss führt kein Weg vorbei. Für Schartner ist daher klar: „Hacker ist kein Beruf, sondern eine Berufung, die die Bereitschaft voraussetzt, lebenslang dazuzulernen.“
Wer sich entschließt White Hat zu werden, sollte sich nach Stellenangeboten umsehen, in denen nach einem sogenannten Penetrationstester gesucht wird. Dabei handelt es sich um Hacker, die im Auftrag von Unternehmen oder Behörden in deren IT-Systeme eindringen (lat.: penetratio, daher auch die Berufsbezeichnung). Für diese Aufgabe benötigen Penetrationstester umfassendes Wissen über Betriebssysteme wie Windows und Linux und über IT-Systeme und Netzwerke. Sie brauchen zudem weitreichende Kenntnisse in der Programmierung von Software und müssen die dahinterstehenden Programmiersprachen beherrschen und viel theoretisches Wissen um Angriffstechniken mitbringen.
Doch auch auf anderem, legalem Weg lässt sich als Hacker Geld verdienen. Viele Unternehmen haben mittlerweile sogenannte Bug-Bounty-Programme aufgelegt. Dabei handelt es sich letztendlich um eine Art Kopfgeld, das auf Sicherheitslücken in den eigenen Systemen oder der eigenen Software ausgesetzt wurde. „So sollen Hacker dazu animiert werden, gefundene Schwachstellen oder Fehler an den Hersteller zu melden, anstatt sie auszunutzen oder im Darknet anzubieten. Die dafür gezahlten Summen variieren zwischen dreistelligen und sechsstelligen Beträgen“, erklärt Schartner. Auch Behörden verfügen teils über ähnliche Programme. In den USA hat beispielsweise das US-Verteidigungsministerium „Hack the Pentagon“ aufgelegt, das Hacker dazu auffordert, das Pentagon anzugreifen.
Weitere Informationen zu diesem und vielen weiteren Themen sowie Tipps zum sicheren Umgang mit dem Internet finden sich auf der Webseite von SpardaSurfSafe: https://www.spardasurfsafe-bw.de/
Über SpardaSurfSafe – eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg
Veranstalter und Träger von SpardaSurfSafe ist die Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, die gemeinsam mit dem Kultusministerium Baden-Württemberg, dem Verein Sicherheit im Internet e. V. und dem Landesmedienzentrum Baden-Württemberg das Großprojekt im achten Jahr durchführt. In Kooperation mit den IT-Sicherheitsexperten der 8com GmbH & Co. KG wurde ein Konzept entwickelt, das die Schüler im Rahmen des Unterrichts im Umgang mit den Neuen Medien aufklärt. „SpardaSurfSafe ist für uns ein Herzensprojekt, das wir mittlerweile in 32 verschiedenen Städten in Baden-Württemberg durchgeführt haben. Rund 450.000 Teilnehmer konnten seit dem Start von dem Programm profitieren. Dafür bekommen wir durchweg positives Feedback von den Teilnehmern, ob Schüler, Eltern oder Lehrer“, erklärt Patrick Löffler vom Verein Sicherheit im Internet e. V.