Interview mit einem kriminellen Hacker

"Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen"

13.07.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Keine Angst vor dem Gefängnis?

HANSEN: Wie empfinden Sie die Gefahr, doch einmal ins Gefängnis zu müssen? Warum verhindert die mögliche Strafe das Verbrechen nicht?

ADAM: Es ist sehr schwierig, die Beweise für unsere Schuld zusammenzubekommen - das gestohlene Geld ist sogar unmöglich zu finden. Jeder von uns hat hunderte Namen, Pässe und so weiter. Selbst wenn die Ermittler alles in die Finger bekämen, hätten sie doch nichts in der Hand. Einige von uns besitzen ein Café oder einen Nachtclub, über die sie das Geld an die Bank weiterleiten. Alles sieht ganz legal aus. Es ist doch immer eine Abwägungsfrage: Zehn oder elf Millionen Dollar in zehn bis 13 Jahren auf die Gefahr hin, zehn bis fünfzehn Jahre in den Bau zu müssen. Wie ich mich dort fühlen würde, weiß ich aber nicht, da ich ein Leben ohne Freiheit nicht kenne.

HANSEN: Erklären Sie uns den Unterschied zwischen einem begabten Skript-Kiddie und einem Blackhat. Wo sortieren Sie sich persönlich ein?

ADAM: Jeder fängt klein an. Es kommt eben darauf an, ob man weitermacht. Ein Skript-Kiddie (Skid) wird es nie bis in den Profi-Untergrund schaffen, das lassen die Erfahrenen dort gar nicht erst zu. Skids werden als Fußabtreter benutzt. Ob ich ein Skid bin? Ich hoffe nicht, es wäre sonst Zeitverschwendung gewesen, das erste automatische Server-Infektions-Botnetz zu bauen.

HANSEN: Wie viele Stunden pro Woche verbringen Sie als Blackhat?

ADAM: Wenn ich mich für etwas Neues begeistern kann, wie eine neue Zero-day - bis zu zwei Tage ohne Pause. Danach acht bis neun Stunden schlafen, dann wieder zwei Tage nonstop. Normalerweise sind es aber acht bis zehn Stunden täglich. Es ist schließlich ein Job.

Zukunftspläne

HANSEN: Wie sehen denn die Berufsaussichten für jemanden mit Ihren Fähigkeiten und Erfahrungen im kriminellen Bereich genau aus? Wie viel Geld könnten Sie verdienen, wenn Sie nicht kriminell geworden wären?

ADAM: Mir ist eine Stelle als Cyber-Security-Experte in einem großen Unternehmen angeboten worden. Mein dortiges Jahresgehalt würde ungefähr dem entsprechen, was ich in zwei Wochen im Untergrund verdiene.

HANSEN: Wo bestehen seitens der IT-Security-Branche die größten Missverständnisse in Bezug auf die Welt der Blackhats?

Blackhats - auch nur kleine Rädchen im großen Wirtschaftsgetriebe?
Blackhats - auch nur kleine Rädchen im großen Wirtschaftsgetriebe?
Foto: Nmedia, Fotolia.de

ADAM: Dass wir alle mit der Mafia verbandelt seien, dass wir die Weltherrschaft übernehmen wollten und alle aus Russland kämen. 90 Prozent der Kreditkartenbetrüger, die ich kenne, spenden jedes Jahr 80.000 bis 90.000 Dollar an gemeinnützige Organisationen. Ich kenne welche, die mit tausenden Moskitonetzen nach Afrika gereist sind. Nur weil wir einen Weg kennen, schnell viel Geld zu machen, heißt das nicht, dass wir die Welt ausrotten, die Menschen sterben und obdachlos sehen wollen. Es ist ein Geschäft. Wenn jemand an Krebs erkrankt, im Sterben liegt und Sie ein Gegenmittel besitzen, möchte ich wetten, dass Sie ihm das verkaufen und nicht schenken werden. Es geht hier darum, die Notlage eines Anderen zum eigenen Wohl auszunutzen. Wir sind gute Menschen.

HANSEN: Warum haben Sie sich nun entschieden, in die Legalität zurückzukehren?

ADAM: Es gibt nur eine begrenzte Zahl an Kreditkarten in der Welt. Auch glaube ich, dass das Bezahltwerden fürs legale Aufspüren von Zero-Days und Hacks reizvoller ist.

HANSEN: Wie groß war der Stress, nicht entdeckt zu werden, mit dem Sie als Blackhat kämpfen mussten?

ADAM: Verhaftet zu werden war immer eine Sorge, alles andere wäre dumm. Manchmal habe ich deshalb tage- und nächtelang nicht geschlafen. Oder den kompletten Tag verschlafen und die Nacht gehackt. Es fühlte sich besser an, zu wissen, dass ich wenigstens wach bin, wenn ich entdeckt werde.

HANSEN: Was sagen Ihre Ex-Kollegen zu Ihrem Sinneswandel? Lassen Sie das zu oder müssen Sie sich Sorgen machen?

ADAM: Ich denke, dass Sie meine Entscheidung akzeptieren. Ich habe einige meiner besten Bekannten gefragt und alle schienen meine Entscheidung, ein "Whitehat" werden zu wollen, zu respektieren. Es gibt auch keine wirklich Feindschaft zwischen Blackhats und Whitehats. Eigentlich ist es das genaue Gegenteil. Wenn wir uns nicht immer wieder gegenseitig herausgefordert hätten, wäre für niemanden Geld zu verdienen. Die meisten Blackhats lieben die Whitehats deshalb sogar.

HANSEN: Was sind Ihre Pläne?

ADAM: Ich möchte erforschen, wie lange es genau dauert, bis Whitehats eine Zero-Day-Lücke entdecken, nachdem die Blackhats sie gefunden haben. Auch werde ich die Exploits und Patches veröffentlichen, die ich häufig benutzt habe und die allgemeine Zero-Day-Expertise weitertreiben. Ich möchte mich mit den Blackhats messen.

HANSEN: Keine Angst, dass Sie Ihre Vergangenheit irgendwann noch einmal einholt?

ADAM: Nur, wenn mir jemand etwas nachweisen kann. Bis dahin bleibt sie mein persönlicher Vorteil.

Ein ähnliches Interview führte die COMPUTERWOCHE im Juli 2012 mit dem Ex-Hacker Kevin Mitnick, der jahrelang mit dem FBI Katz und Maus gespielt hatte. Lesen Sie es hier: "Es war ein Spiel - und ich wollte der Beste sein".