Hacker tragen schwarze Kapuzenshirts. Die Kapuze stets auf dem Kopf. Tiefschwarzer Schatten verdeckt das Gesicht. So wahren sie ihre Anonymität, des Hackertums heiligstes Attribut. An unbekannten und dunklen Orten, gebeugt am Computer, tänzeln ihre Finger auf der Tastatur. So bahnen sie sich ihre Wege in die digitalen Schatzkammern dieser Welt. Sie klauen unsere Daten, manipulieren Systeme von Großkonzernen, hinterlassen politische Statements und genießen die Schadenfreude. Genug der Romantik! In Wahrheit sind viele von ihnen Helden, die das Scheinwerferlicht lieben und sich um die begehrte Trophäe des Hackertums zanken: Ein Pony.
Schwachstellenjäger: Der etwas andere Hacker
Lösen wir uns für einen Moment vom Hacker-Stereotypen, den uns Film und Fernsehen vermittelt. Nutzen wir unsere Vorstellungskraft und führen uns einen weiteren Hacker-Typus vor Augen. Dieser besitzt die gleichen Fähigkeiten und auch mindestens das gleiche Maß an Kreativität. Auch er setzt beides gnadenlos ein, um Sicherheitslücken in IT-Systemen und Software zu finden. Doch was hat er vor? Er nutzt gefundene Sicherheitslücken nicht aus, sondern meldet sie den betroffenen Herstellern oder Unternehmen. Das ritterliche Ziel: Die Hersteller dazu bewegen, die Sicherheitslücken zu schließen. Denn am Ende des Tages sind es unser aller Daten, die durch Sicherheitslücken bedroht sind. Aus diesem Grund werden solche kritischen Informationen durch die Entdecker auch nicht veröffentlicht. Zumindest vorübergehend. Die Ankündigung einer Veröffentlichung kann nämlich die Motivation der Hersteller, die Sicherheitslüclen zu schließen, durchaus erhöhen. Die Arbeitsethik dieser Schwachstellenjäger sieht in der Regel eine neunzigtägige Gnadenfrist vor. Spätestens dann gehen die Informationen an die Öffenlichkeit. Genügend Zeit also zum Reagieren.
Ruhm und Anerkennung: Diese Hacker wollen bekannt sein
Schwachstellenjäger arbeiten meistens für Firmen, die auf IT-Sicherheit spezialisiert sind oder sie sind Forscher an akademischen Einrichtungen. Neben der Aussicht auf gute Taten geht es ihnen also auch um Ruhm, Anerkennung und Werbung. Die krassessten Sicherheitslücken aufzudecken, bevor es andere tun, ist ein Wettbewerb unter diesen Jägern und die beste Werbung für die eigene Arbeit (und den Arbeitgeber). Spätestens mit Ablauf der Gnadenfrist startet heutzutage ein gnadenloses Marketing der gefundenen Schwachstellen. Man gibt den Schwachstellen einprägsame Namen wie Meltdown & Spectre, Stagefright oder Heartbleed und verpasst ihnen sprechende Logos. Aufgesetzt wird zudem eine offizielle Webseite, auf der alle Details zur Sicherheitslücke beschrieben sind, inkl. Nennung der Personen oder Gruppierungen, die die Entdeckung gemacht haben. Die Braut wird also für das Ausschlachten in der Fachpresse aufgehübscht. Und immer häufiger greifen auch die Massenmedien solche Geschichten auf, denn die zunehmende Abhängigkeit unserer Gesellschaft von Informationstechnologie wird allen bewusster. Jüngst war dies besonders medienwirksam im Rahmen der Meltdown & Spectre getauften Schwachstellen in Computerprozessoren zu beobachten. Diese Schwachstellen haben es am 4. Januar 2018 in die 20 Uhr Tagesschau geschafft. Sehr respektabel für ein IT-Thema.
Die besten Hacker kriegen Ponys
Kein Wettbewerb ohne Preisverleih. So wird jedes Jahr auf der Black Hat der Pwnie Award verliehen (gesprochen “Pownie”, wie “Pony”). Verliehen wird tatsächlich eine kleine, goldfarbene Pony-Spielzeugfigur 🙂 für die größten Erfolge (und Misserfolge) von IT-Sicherheitsforschern. Es gibt verschiedene Kategorien, wie z.B. den “Pwnie für die beste Sicherheitslücke auf Server-Systemen”, den “Pwnie für den besten kryptographischen Angriff oder den “Pwnie für das beste Branding”. Letzterer geht auf die beschriebene Marketing-Thematik ein, wie man der offiziellen Beschreibung dieser Kategorie entnehmen kann:
Sometimes the most important part of security research is how you market and sell the vulnerability you discovered. Who cares how impactful the actual vulnerability is, what matters is how sweet your logo turns out!
Offen bleibt die Frage, was IT-Sicherheit mit Ponys zu tun hat. Eine Antwort liefert Wikipedia: Der Name Pwnie Award basiert auf dem Wort “pwn”, gesprochen wie “own” (kompromittieren, kontrollieren, Besitz ergreifen). Ursprünglich Gamer-Slang, später auch im Hacker-Kontext eingesetzt. Der Legende nach hat sich einfach ein Tippfehler durchgezogen und etabliert. “The Pwnie Awards” ist zudem eine Anspielung auf die Tony Awards, eine Preisverleihung am Broadway Theater in New York City.
Sie werden IT-Sicherheitsexperte genannt
Abschließend möchte ich betonen, dass die Hacker, die ich in diesem Artikel beschreibe, meistens schlicht IT-Sicherheitsexperte oder IT-Sicherheitsforscher genannt werden. Ich aber bevorzuge es, auch sie zur Spezies der Hacker zu zählen und das tue ich aus Würdigung ihrer Arbeit. Schwachstellenjäger – egal was sie letzendlich motiviert – bilden heute eine wichtige Säule sicherer IT-Infrastrukturen. Ohne sie blieben viele Sicherheitslücken vermutlich länger offen und ausnutzbar durch Kriminelle. Man sollte sie natürlich auch nicht alle über einen Kamm scheren. Nicht alle sind so ruhmgeil wie oben angedeutet.
