Als Ethical Hacker bricht Manu Carus in Firmennetzwerke ein - mit der Erlaubnis der Betreiber. Für seine Auftraggeber sucht er nach Sicherheitslücken und berät sie, wie man das Unternehmen gegen Angriffe aus dem Internet schützt. Mit PC Professionell sprach Carus über ethisches Hacken, das wackelige Grundgerüst des Internets und den Unsinn des Hacker-Paragraphen.

PC Professionell: Kann Hacken überhaupt ethisch sein?
Carus: Hacken kann durchaus ethisch sein. Im Kern geht es darum, sich nicht blind auf Sicherheitsprodukte und Sicherheitshersteller zu verlassen und damit die Verantwortung an Dritte abzugeben. Vielmehr geht es darum, zu beleuchten, was Hacker in ihrem Alltag eigentlich tun. Die umgehen ja genau die Firewalls und Antivirenprogramme der Hersteller und nutzen Sicherheitslücken aus - ohne Wissen der betroffenen Anwender und Unternehmen. Wenn ich mich also auf die Seite der Hacker stelle und mir deren Know-how aneigne, erhalte ich ein sehr gutes Wissen, um mich gegen sie zu wehren. Es ist nichts anderes als das, was die Polizei schon seit Jahren tut: Sie schaut sich die Methoden und Werkzeuge der Einbrecher an und gibt dann entsprechende Tipps an Hausbesitzer, wie sie sich schützen können. Ich setze also die gleichen Werkzeuge und das gleiche Wissen wie Hacker ein und schaue, was ich damit erreichen kann. Und dann stelle ich mir die Frage: Wie kann ich mich wirksam davor schützen.

PC Professionell: Wie beurteilen Sie als ethischer Hacker das Vorgehen eines polnischen Hackers, eine Sicherheitslücke in der mobilen Java-Version von Nokia-Handys den betroffenen Unternehmen nur gegen Zahlung von 20 000 Euro zu verraten?
Carus: Das ist klassische Erpressung. Das ist kriminell und zu verurteilen. Ich finde es außerdem sehr kurz gedacht. Ich erwarte von einem Hacker, dass er den betroffenen Unternehmen im Vertrauen seine Informationen preisgibt. Wenn das Unternehmen seriös arbeitet, wird es auf den Hacker zugehen und ihm in den meisten Fällen sogar einen Job anbieten. Das Wissen von den Jungs ist so rar, dass viele Firmen daran interessiert sind, das Know-how in ihre eigenen Produkte einzubauen.

PC Professionell: Wie sind Sie Ethical Hacker geworden?
Carus: Ich bin schon seit meiner Jugend Hacker und habe mich schon immer für die Funktionsweise von Software interessiert. Irgendwann habe ich beschlossen, das Thema zu meinem Beruf zu machen, weil es am Markt nicht gut besetzt ist. So habe ich mein Hobby zum Beruf gemacht und nutze mein Wissen nun dazu, Unternehmen zu beraten, ihre Infrastruktur sicherer zu machen.

PC Professionell: Nun ist der Begriff „Hacker“ in der Allgemeinheit eher negativ besetzt.
Carus: Sehr negativ sogar. Das ist leider in der Vergangenheit stark verfälscht worden. Es gibt viele Unternehmen, die Vorurteile haben, etwa Hacker seien langhaarige Bombenleger. Es wird Zeit, den Begriff wieder gerade zu rücken. Hacking ist erstmal nichts anderes, als die Neugierde zu lernen, wie eine Software von Innen funktioniert - ohne böse Absicht. Aber ich befürchte, dass der Begriff schon so negativ ins Bewusstsein eingedrungen ist, dass sich das nur schwer ändern lässt.

PC Professionell: Wie läuft die Zusammenarbeit mit Ihnen und Ihren Auftraggebern ab?
Carus: Die meisten Kunden kommen erst zu mir, wenn schon etwas passiert erst, wenn sie also festgestellt haben, dass Daten geklaut oder sie Opfer eines Angriffs wurden. Dann beginnt mein Job mit Forensik. Ich muss recherchieren, was passiert ist und wer die Angreifer waren. Während dieser Arbeit bekomme ich aber schon mit, wie die Infrastruktur des Unternehmens aussieht, welche Komponenten es gibt und wie die abgesichert oder eben nicht abgesichert sind. Sobald ich dem Kunden sagen kann, wie er sich vor diesem Angriff schützt, ergibt sich daraus meist eine weitere Kooperation.

PC Professionell: Dann beginnt Ihre eigentliche Arbeit?
Carus: Richtig. Ich gebe Empfehlungen, wie man sich rundherum möglichst gut absichert. Das ist dann also eher eine gutachterliche Arbeit.

PC Professionell: Waren Sie schon als Gutachter vor Gericht geladen?
Carus: Bisher noch nicht, obwohl das auch zu meinem Beruf gehört. Das Problem ist aber, dass nur wenige Firmen mit ihrem Fall vor Gericht gehen. Das würde der Öffentlichkeit zeigen, dass sie geschludert haben. Nur sehr selten wird der Eindringling - sofern er überhaupt identifiziert werden kann - angeklagt.