"Meine Erfolgsrate beim Social Engineering liegt bei 100 Prozent"
CW: Inwieweit hilft Ihre Vita Ihnen heute im Tagesgeschäft als Pentester?
MITNICK: Man kann mich heute "mieten" - ich bin also ein "Hacker for rent". Der einzige Unterschied zu früher ist, dass ich die Erlaubnis der Unternehmen habe, in ihre Systeme einzubrechen. Gut 20 Prozent meiner täglichen Arbeit besteht nach wie vor aus Social Engineering - der Rest sind technische Aufgaben. In erster Linie geht es meinen Kunden darum, zu erfahren, ob sie ihre Compliance-Vorgaben erfüllen. Sie engagieren mich, damit ich Sicherheitstests an ihren Netzen vollziehe. Natürlich ist mein Lebenslauf hier von Vorteil - ich mache keinerlei Werbung und bin trotzdem sehr gefragt, eben weil mich die Leute kennen. Da hat auch die US-Regierung einen großen Teil zu beigetragen. Sie hat ein Mysterium aus mir gemacht, das die Menschen nach wie vor fasziniert. Alle Unternehmen, die meine Kollegen und ich in den vergangenen fünf Jahren getestet haben, haben uns ein exzellentes Zeugnis ausgestellt. Unsere Erfolgsrate beim Social Engineering liegt bei glatten 100 Prozent. Was die technische Überwindung von Barrieren angeht, finden wir in 95 Prozent aller Fälle mindestens eine Sicherheitslücke, um ins Netz hineinzukommen. Das hat auch damit zu tun, dass ich nur die Besten einstelle.
CW: Ihre Empfehlung an alle Hacker da draußen? Startet eine zweite Karriere in der IT-Sicherheitsindustrie?
MITNICK: Das hängt davon ab, was sie bislang gemacht haben. Cyberkriminelle, die Kreditkartenbetrug begehen, Phishing-Attacken starten oder ähnliches, werden auch in Zukunft einen Job finden und Geld "verdienen" - im Untergrund. Hacker "alter Schule" wie ich oder einige meiner Freunde haben ihr einstiges Hobby hingegen zum seriösen Beruf gemacht - beispielsweise bei IBM, wo viele von ihnen heute Security-Software programmieren.
CW: Schlagen wir zum Schluss noch einmal die Brücke nach Deutschland - Sie hatten in Ihrer "ersten" Hackerkarriere Kontakt zum Chaos Computer Club (CCC). Wie kam es dazu und gibt es auch heute noch Anknüpfungspunkte?
MITNICK: Mitte der 90er Jahre habe ich einen CCC-Hacker kennengelernt, der mir Informationen zum Virtual Memory System (VMS) verschaffen konnte, an die ich selbst nicht gekommen wäre. Leider ist er später an Krebs gestorben. Das war der einzige direkte Kontakt, den ich zum CCC hatte. Ich habe es wegen Terminschwierigkeiten bis heute nicht geschafft, an einem Chaos Communication Congress teilzunehmen. Kürzlich habe ich über meinen Agenten aber die Einladung zu einer CCC-Konferenz im August bekommen. Vielleicht reise ich hin.
Kevin Mitnick
Kevin Mitnick wurde 1963 in Kalifornien, USA, geboren. Seit Ende der 1970er Jahre war er als Hacker "Condor" aktiv. Er drang unter anderem in die IT-Systeme vieler bekannter IT-Konzerne ein und verschaffte sich mit ausgeklügelten Social-Engineering-Techniken Zugang zu sensiblen Geschäftsunterlagen, Quellcodes und Datenbanken. Bereits während seiner Highschool-Zeit geriet er so mit dem Gesetz in Konflikt. 1988 nahm ihn das FBI erstmals fest und sperrte ihn acht Monate in Einzelhaft. In den 1990er-Jahren erklärte ihn das FBI zum "meistgesuchten Hacker der Welt". 1995 wurde er erneut verhaftet und saß für zwei Jahre ohne Gerichtsverhandlung und insgesamt viereinhalb Jahre ohne Kautionsanhörung im Gefängnis.
Foto: riva Verlag
Weil auch die Medien zu dieser Zeit klar gegen Mitnick Stellung bezogen, bildete sich während seiner Inhaftierung eine "Free Kevin"-Bewegung, mit der viele Anhänger seine sofortige Freilassung forderten. Nachdem Mitnick im Januar 2000 vorzeitig entlassen wurde, durfte er drei Jahre lang keine EDV-Systeme benutzen. Am 21. Januar 2003 fand sein erster Website-Besuch live in der TV-Show "The Screen Savers" statt, bei der auch sein Freund und Apple-Mitgründer Steve Wozniak zugegen war. Heute ist Mitnick als Sicherheitsberater, Penetrationstester, Dozent und Vortragsredner aktiv. Er schrieb mehrere Bücher, zuletzt seine Autobiografie "Das Phantom im Netz" (Foto), die in der deutschen Übersetzung im riva Verlag erschienen ist.