Hacker Kevin Mitnick packt aus

"Es war ein Spiel - und ich wollte der Beste sein"

22.01.2014
Von  und
Jan-Bernd Meyer betreute als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" war Meyer zuständig. Inhaltlich betreute er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

"Microsoft blieb verschont, weil ich Windows nicht mochte"

CW: Sie standen lange Zeit auf der "Most Wanted"-Liste des FBI. Wie fühlt es sich an, der meistgesuchte Hacker der Welt zu sein?

MITNICK: Es war schrecklich, von der Regierung gejagt zu werden. Es war wirklich äußerst stressig, sich ständig verstecken zu müssen.

CW: Sie sind in die Systeme vieler bekannter IT-Konzerne eingedrungen - Sun, Nokia, Motorola, Fujitsu, NEC und anderer. Wie haben Sie die Entscheidung für oder gegen einen Angriff jeweils getroffen?

MITNICK: Es hatte viel damit zu tun, ob ich die Produkte eines Unternehmens gut fand. Gefiel mir eines, wollte ich seine Funktionsweise besser verstehen - und suchte nach internen Informationen darüber beim jeweiligen Hersteller. Microsoft blieb beispielsweise immer verschont, weil ich Windows nicht leiden konnte.

CW: Um in eine geschützte Umgebung einzudringen, sind umfangreiche Vorarbeiten im zwischenmenschlichen Bereich notwendig. Sie haben das Social Engineering ja quasi "erfunden". Inwiefern sind für einen Hacker Kommunikationsfähigkeit und Rhetorik fast wichtiger als das technische Know-how?

MITNICK: Hacking umfasst beides gleichermaßen - technische Schwachstellen zu finden und den "Faktor Mensch" auszunutzen. Das Verhältnis liegt bei 50:50. Das hat sich nie geändert. Wenn Sie sich die großen Hacks von heute anschauen - Google, Sony, RSA - sehen Sie, dass diese prinzipiell immer noch genauso funktionieren wie die, die ich in den 70ern gestartet habe. Der erste Schritt ist das Aufspüren von Schwachstellen in Desktop-Software wie Adobe Acrobat oder Java und die Entwicklung entsprechender Malware, die diese Lücken ausnutzen kann. Mittels Social Engineering über einen Telefonanruf oder eine E-Mail wird dann ein Mitarbeiter eines dieser Unternehmen dazu gebracht, einen Link aufzurufen, über den der Schadcode geradewegs auf den Rechner bugsiert wird. Dieser öffnet die Hintertüren der betreffenden Programme, nistet sich ein und übernimmt die Kontrolle, ohne dass jemand etwas davon mitbekommt.

CW: Wie lässt sich der Erfolg von Social Engineering eindämmen?

MITNICK: Mit Training. Ich habe gerade erst gemeinsam mit KnowBe4.com ein Web-Trainingsprogramm entwickelt. Es soll Anwendern Wissen darüber vermitteln, wie Hacker menschliche Schwächen ausnutzen und manipulieren. Darüber hinaus sollen besonders Unternehmensangestellte lernen, wie mit gängigen Angriffsvektoren umzugehen ist, indem das Programm ihnen Fragen zu gängigen Attacken stellt. Es befindet sich noch im geschlossenen Betatest.

CW: Kommen wir vom Social Engineering zum "Dumpster Diving". Finden sich die für Hacker interessantesten Unterlagen nach wie vor im Papiercontainer im Hinterhof großer Unternehmen?

MITNICK: Manchmal schon. Es ist der Wahnsinn. Wenn ich Studenten unterrichte, mache ich mit ihnen ab und zu "Dumpster-Diving-Übungen". Wir suchen uns einen Firmen-Hinterhof und durchforsten die dort abgestellten Papiercontainer. Bisher haben wir immer wertvolle Informationen gefunden. Gerade auch im Ausland wie beispielsweise in Costa Rica werden sensible Unterlagen zumeist nicht einmal geschreddert.