„Ich muss wie ein Hacker denken können“

„Ich muss wie ein Hacker denken können“

Computerkriminelle tummeln sich in fremden Netzen, plündern Kontodaten, bringen Staaten oder auch Atomkraftwerke unter ihre Kontrolle. Die Macht dieser Hacker scheint grenzenlos. Das ist der Stoff aus dem ein abendfüllender Spielfilm werden kann.

Ansprechpartner

Partner, Forensic

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Tastatur mit einem Fingerabdruck

Herr Geschonneck, ist das Thema in der Gesellschaft genauso relevant wie im Film?

 

Alexander Geschonneck: Wirtschaftlich ist das Thema sehr relevant. Wir haben in unserer aktuellen e-crime-Studie einen Schaden von 54 Milliarden Euro für die deutsche Wirtschaft abgeschätzt. Es gibt heute in der Wirtschaftswelt keinen wesentlichen Geschäftsprozess, der ohne IT läuft. Selbst in der privaten Kommunikation sind das Internet und digitale Kommunikation nicht mehr wegzudenken. Das prägt unsere Gesellschaft. Die Darstellung im Film ist also eine Abbildung der Lebenswirklichkeiten – mit seinen Chancen und Risiken. Schäden durch elektronische Angriffe sind genauso lebenswirklich wie Schäden durch Straßenraub, Taschendiebstahl oder Wohnungseinbruch.

Ich unterscheide mehrere Tätergruppen: Es gibt Leute, die sich in Systeme rein hacken, die Daten stehlen oder verändern und damit Gewinn erzielen wollen. Diese Kriminellen versuchen so lange wie möglich unentdeckt zu bleiben. Dann gibt es diejenigen, die nicht unentdeckt bleiben wollen: Sie haben in der Regel politische Statements, verunstalten Webseiten von exponierten Unternehmen und politischen Organisationen. Diese Hacker erpressen ihre vermeintlichen politischen oder gesellschaftlichen Gegner, indem sie gestohlene Daten veröffentlichen oder damit drohen. Aus meiner Sicht geht es dabei um Selbstdarstellung. Das sind auch keine lauteren Absichten – denn am Ende des Tages wird ein Schaden verursacht. Dann gibt es die, die letztendlich staatlich motiviert sind. Hacker im Dienste des Geheimdienstes. Dann gibt es noch sogenannte Skriptkiddies. Die nehmen sich ein Tool, was sie im Internet finden, drücken auf einen Knopf und dann wird ein Angriff gestartet. Die Skriptkiddies können auch großen Schaden anrichten, bereichern sich zum Teil auch, haben aber häufig den technologischen Hintergrund gar nicht verstanden. Für die Opfer ist es aber oft unerheblich, von wem sie angegriffen werden. Da können die Absichten noch so lauter sein, wenn der Schaden da ist, ist er da. Aus meiner Sicht ist die wichtige Unterscheidung bei den Angreifern: Welche Motivation hat der Täter?

 

Sie haben schon viele Filme auf Plausibilität im Bereich Cyber-Kriminalität geprüft. In der Frankfurter Allgemeinen Zeitung schreiben Sie regelmäßig in der Kolumne „Tatortsicherung“ über IT-Sicherheitstricks, Blackhats und andere Hacker. Wie speziell ist die Szene?

 

Alexander Geschonneck: Wir unterscheiden zwischen Blackhat und Whitehat. Der Blackhat will Schaden anrichten, möchte sich bereichern, hat grundsätzlich schlechte Absichten. Der Whitehat ist der, der mit den gleichen Technologien und Fähigkeiten arbeitet, aber eigentlich für das Gute unterwegs ist. Jedenfalls ist dies sein grundsätzlicher Anspruch. Und dann gibt es diejenigen, die man nicht so richtig einschätzen kann, die vielleicht tagsüber für die Guten arbeiten und sich nachts nicht ganz so legal ein Zubrot verdienen. Das sind dann eher die „Greyhats“. Das ist jetzt eine sehr feine Unterscheidung, die eigentlich nur die Szene von sich macht. Ich unterscheide gerne zwischen Cracker und Hacker, obwohl sich das eigentlich auch nicht richtig im Sprachgebrauch durchgesetzt hat. Hacker hat sich als Begriff in der Öffentlichkeit und den Medien etabliert und manifestiert. Unabhängig davon, wie man diese Personen nennt, muss man auf deren Absichten schauen.

Tatsächlich ist es nicht einfach, solche technischen Dinge wie Phishing, Drive-by-Exploits, SQL-Injection oder DDoS-Angriffe für die breite Masse verständlich zu erklären und noch dazu spannend und unterhaltsam aufzubereiten. Damit es realistisch wirkt, sollten aber mindestens die technischen Details richtig dargestellt werden. An dieser Stelle brauchen Filmproduzenten dann oft die Hilfe von Experten.

 

Inwieweit arbeiten TV- und Kinoproduzenten heute schon mit Hackern und IT-Experten zusammen?

 

Alexander Geschonneck: Wenn Sie sich den Abspann der Filme genau anschauen, finden Sie dort oft Hinweise für eine technische Beratung. Das ist bei einigen Filmen sehr gut gelaufen, bei anderen weniger. Sie haben die Problematik, dass sie Cyber-Themen kaum visuell darstellen können. Deshalb machen Bildschirme im Kinofilm Geräusche, wenn man auf die Entertaste drückt. Da bewegen sich Displays auf dem Handy ganz groß, wenn eine Nummer gewählt wird. Da ertönt ein lautes Wählgeräusch, wenn man die Handytaste drückt. Einen Befehl eingeben, Entertaste drücken und warten, ist halt nicht so spannend für den Zuschauer. Mein Bruder Matti ist Filmregisseur, der dreht Krimis, früher auch Tatorte. Mit ihm unterhalte ich mich häufig darüber. Es ist aber immer die Frage, wie kann ich etwas realitätsnah darstellen und dabei Raum für Phantasie lassen, aber trotzdem Spannung erzeugen. Und für einen Teil des Publikums muss es halt auch explodieren, knallen und krachen.

 

Haben Sie selbst schon mal gehackt?

 

Alexander Geschonneck: Ich habe viele Sicherheitsaudits durchgeführt und Hacker-Angriffe simuliert. Dabei muss ich natürlich denken wie ein Hacker. Ich muss die Sicherheitslücken herausfinden und mich dann auch wie ein Angreifer durch das zu testende IT-System bewegen. Wenn Sie einen Cyber-Gangster jagen wollen, müssen Sie auch verstehen, wie er denkt und was er als nächstes vorhaben könnte. Dabei geht es auch um seine möglichen Motive. Dabei müssen wir uns mit allen unterschiedlichen Facetten dieser Motive beschäftigen, um die aktuelle Gefährdungssituation unserer Auftraggeber besser einschätzen zu können. Hierzu gehört auch, die Attraktivität für einen möglichen Angreifer einzuschätzen. Auch unser Austausch mit den Strafverfolgungsbehörden hilft uns dabei, mehr über Täter und deren Motive zu erfahren.

 

Das Gespräch führte René Stüwe

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform