"Es gibt keinen Patch gegen Dummheit"
Der inzwischen geläuterte Hacker Kevin Mitnick hat bei einer Veranstaltung im Tiroler Alpbach über die Anfänge seiner "Karriere", die gefährlichste Sicherheitslücke Mensch und seine kommende Biografie in Buchform gesprochen.
Dunkler Anzug mit Krawatte, Kurzhaarschnitt und polierte Schuhe: So würde man sich einen Cyberkriminellen gemeinhin wohl kaum vorstellen. Aber es ist ja auch schon einige Jahre her, dass der ehemalige US-Computerhacker Mitnick - der vor seiner Festnahme "unglücklicherweise" einer der meistgesuchten Hacker der USA war - sein Unwesen trieb. Inzwischen zieht er durch die Länder, warnt vor "Social Engineering" und propagiert die "menschliche Firewall".
Durch "Social Engineering", also die Täuschung und Manipulation von Mitarbeitern, damit diese unwissentlich Informationen oder Daten preisgeben, würden herkömmliche Sicherheitsmaßnahmen sehr leicht ausgehebelt. "Ein Anruf genügt, und die Technik ist ineffektiv", erklärte Mitnick am Montagabend bei einer Veranstaltung im Tiroler Alpbach.
"Es gibt keinen Patch gegen Dummheit"
Das Ausnützen der Schwachstelle Mensch bringe viele Vorteile: "Es ist einfacher als ein technischer Hack, die Werkzeuge dafür sind meist gratis, es wirkt unabhängig vom Betriebssystem, und das Bewusstsein dafür fehlt." Außerdem gebe es "keinen Patch für Dummheit", sagte der Experte.
Es sei erstaunlich einfach, Informationen zu erhalten, wenn man sich am Telefon etwa als Helpdesk-Mitarbeiter ausgebe. Von 100 nach User-Name und Passwort befragten Managern hätten 35 bereitwillig Auskunft gegeben.
"Egal, wie viel man für IT-Sicherheit ausgibt: Es ist rausgeschmissenes Geld, wenn das Fehlverhalten eines Mitarbeiters ausreicht, um das Unternehmen in Gefahr zu bringen. Das Personal muss entsprechend geschult werden, damit Annäherungsversuche schon im Vorfeld bemerkt werden", erklärte der wegen Einbrüchen in die Rechner von Motorola, Novell, Nokia und Sun Microsystems verurteilte Fachmann.
Der Hilton-Hack
Als weiteres Beispiel für "Social Engineering" nannte Mitnick das Knacken von Paris Hiltons Handy und die anschließende Veröffentlichung ihres Telefonverzeichnisses.
In diesem Fall hätten sich die Täter mit gefälschter Anrufkennung bei Hiltons Mobilfunkbetreiber T-Mobile als Mitarbeiter ausgegeben und von Netzwerkproblemen erzählt, um an das Passwort der Hotelerbin zu gelangen. Anschließend änderten sie die Zugangsdaten über einen Fehler auf der T-Mobile-Website, so Mitnick.
USB-Sticks lauern auf Opfer
Der Kreativität seien keine Grenzen gesetzt. Inzwischen würden auch USB-Sticks - also mobile Datenspeicher - beispielsweise in der Kantine "vergessen". Sollte den Finder die Neugier überkommen oder er ihn selber verwenden wollen, wären böse Überraschungen garantiert.
Sobald man den Stick an den Computer anschließe, werde ein modifizierter Trojaner installiert, der käuflich zu erwerben und von keinem Virenschutzhersteller erkennbar sei. Anschließend kann der Angreifer beispielsweise live mitverfolgen, was auf dem Rechner vor sich geht, die Kontrolle über den PC übernehmen oder den User über das Mikrofon belauschen.
Der Vorratsdatenspeicherung steht Mitnick skeptisch gegenüber. "Ich persönlich mag das nicht. Allerdings gibt es die Möglichkeit, anonyme Handywertkarten zu verwenden und bar zu bezahlen oder bei Starbucks anonym im Internet zu surfen."
In den USA seien der Geheimdienst NSA und der Telekomkonzern AT&T "mit heruntergelassener Hose" erwischt worden, weil sie heimlich den Telefonverkehr überwacht und entsprechende Daten ohne richterliche Genehmigung gesammelt hätten. "Und sie tun es noch immer", gab sich Mitnick überzeugt.
"Ich dachte, ich hätte Humor"
Begonnen habe seine "Karriere" schon früh, auch sein Umfeld dürfte eine Rolle gespielt haben. Ein Schulfreund manipulierte beispielsweise Telefonanschlüsse von Verwandten, so dass diese nach dem Abheben von einer Tonbandansage der Telekomgesellschaft aufgefordert wurden, eine Münze einzuwerfen.
Insgesamt führte Mitnick die US-Bundespolizei FBI drei Jahre lang an der Nase herum. Schließlich konnten die Ermittler seine elektronischen Spuren aber doch zurückverfolgen und nahmen ihn 1995 nach einer spektakulären Verfolgungsjagd fest. Zeitweise tauchte Mitnick als Eric Weiss unter, dem bürgerlichen Namen des Zauberkünstlers Harry Houdini. "Ich dachte, ich hätte Humor, aber das FBI hatte keinen", sagte der auf Einladung des Tiroler Software-Unternehmens phion angereiste IT-Profi.
Den Falschen verärgert
Sein Fehler war es, den Computer-Sicherheitsexperten Tsutomu Shimomura verärgert zu haben, der noch raffinierter arbeitete als Mitnick. "Ich habe seinen Rechner angegriffen, und daher habe ich diese Reaktion verdient", gibt sich Mitnick heute einsichtig. Der damals "meistgesuchte Kriminelle der USA" saß fünf Jahre im Gefängnis. Im Jänner 2000 wurde er mit der Auflage entlassen, drei Jahre lang keinen Computer und kein Internet-fähiges Gerät mehr anzurühren.
Autobiografie erscheint 2009
Richtig reich könnte Mitnick werden, wenn er ausführlich über seine Taten und die Festnahme von 1995 berichten würde. Bis zum Jahr 2007 durfte er von einem solchen Buch nicht profitieren, der Verkaufserlös wäre an die US-Regierung gegangen. Eine Anfrage für eine Autobiografie sei aber bereits eingetrudelt, das Buch soll in rund einem Jahr erscheinen, bestätigte Mitnick in Alpbach.
(APA)