Seit 12:07 Uhr Studio 9
 
  • facebook
  •  
  • twitter
  •  
  • instagram
  •  
  • spotify
 
Seit 12:07 Uhr Studio 9
 
 

Thema / Archiv | Beitrag vom 17.11.2010

Hacker: Es gibt auch die Guten

Paul Ziegler zur Wandlung eines Berufsbilds

Moderation: Susanne Führer

Paul Ziegler im Dokumentarfilm "Hacker" (Edition Salzgeber)
Paul Ziegler im Dokumentarfilm "Hacker" (Edition Salzgeber)

Der Hacker Paul Ziegler versteht sich als jemand, der Sicherheitslücken in Systemen und Produkten findet, um Schaden abzuwenden. Der 22-Jährige ist einer der Protagonisten des Dokumentarfilms "Hacker", der in unsere Kinos kommt.

Susanne Führer: In der vergangenen Woche war ein Hacker mal wieder ein Held, als nämlich die Meldung zirkulierte, dass ein Hacker die Software des neuen Personalausweises geknackt habe, und damit dann ja auf Sicherheitslücken aufmerksam gemacht hat. Spätestens aber, wenn ich meinen Rechner wegen akuter Virenverseuchung wieder in die Computerklinik schleppen muss, dann verfluche ich die Hacker. Hacker sind also mal Freunde, mal Feinde. Morgen kommt der Dokumentarfilm "Hacker" in die Kinos, und Susanne Burg stellt den Film vor, in dem nur Hacker zu Wort kommen. Einer der Protagonisten ist jetzt im Studio, herzlich Willkommen, Paul Ziegler!

Paul Ziegler: Hallo!

Führer: Sie sind ein Hacker der jüngeren Generation, 22 Jahre alt, haben Sie mir gerade eben noch erzählt, und in diesem Film sagen Sie an einer Stelle: Vor sechs Jahren – also da waren Sie 16 –, da habe ich beschlossen: Ich werde Hacker. Warum das?

Ziegler: Da war ich gerade aus Japan das erste Mal wiedergekommen und habe mir überlegt: Was mache ich jetzt eigentlich aus meinem Leben?

Führer: Aus Japan wiedergekommen?

Ziegler: Ich war als Austauschschüler drüben, und hab mich umgeschaut, und dann dachte ich mir, okay, irgendwas muss man tun und mit irgendwas verdient man sich sein Brot, ich bin gut mit Computern, arbeiten wir mit Computern. Ich bin gerne gut in etwas: Was gibt es für IT-Jobs? Man könnte Programmierer werden. Programmiererberufe sind schlecht bezahlt, Sie gehen eher unter, es ist eine Massenarbeit. Man könnte Systemadministrator werden. Cooler Beruf, auch besser bezahlt, aber man ist sehr ortsgebunden. Oder man könnte Sicherheit machen, Sicherheit hat mich eh immer fasziniert. Dann habe ich gedacht, okay, machen wir Sicherheit. Was ist der nächste Schritt? Wie komme ich an Informationen? Wie lerne ich mehr dazu? Und das ist genau der Ansatz, der hinter dem Hacking steht: Es ist nicht der Ansatz, ich möchte etwas zerstören, sondern der Ansatz, ich möchte etwas verstehen. Wenn ich etwas verstehe, nehme ich es auseinander. Meistens sind es meine eigenen Systeme, in meinem Fall sind es immer meine eigenen Systeme, aber man nimmt etwas auseinander, man versteht, wie es funktioniert. Und wenn man versteht, wie etwas funktioniert, kann man auch Aspekte dessen umgehen, und das ist dieser Sicherheitskontext, in den man reingerät.

Führer: Also der Reiz ist sozusagen dieses Auseinanderknobeln, nicht unbedingt jetzt das Ziel zu erreichen, sondern der Weg dahin?

Ziegler: Es geht fast immer um Verständnis. Der ursprüngliche Hacker-Begriff, der auch von Herrn Schrutzki angesprochen wurde, hat nichts mit Sicherheitssystemen zu tun, der ursprüngliche Hacker-Begriff bedeutet schlicht und ergreifend: jemand, der Software sehr schnell funktional programmieren kann. Er wurde umgewandelt in Leute, die die Systematik, die Betriebssysteme, die Computer besser verstanden als andere, und deswegen in der Lage waren, kreativere Lösungen für Probleme zu finden, die teilweise auch vollkommen jenseits dessen lagen, was damals die Industrie sich vorstellte. Und davon ging es dann langsam über in die Sicherheitsthematik, weil die Leute, die natürlich über dieses Fachwissen verfügten, die nicht nur wussten, wie benutze ich den Computer, wo klicke ich hin, damit was passiert, sondern die auch wussten, warum passiert das jetzt, oder warum passiert das gegebenenfalls nicht, woran liegt der Fehler, waren natürlich in der Lage, diese Fehler auch willentlich zu reproduzieren, um damit Vorgänge auszulösen, die in ihrem Interesse lagen – fürs Gute oder fürs Schlechte.

Führer: Na ja, bekannt wurde Hacking ja eben dadurch, dass sozusagen diese Sicherheitsschlösser, die irgendwie vor jedem Computer hängen, manchmal klein und manchmal groß, dass die geknackt wurden. Das war ja sozusagen der, ja, der mediale Auftritt des Hackings. Sie haben also mit 16 gesagt, ich werde Hacker. Jetzt sind Sie 22, sind immer noch Hacker. Ist denn das nun ein Beruf?

Ziegler: Ja, es ist ein ganz normaler Beruf, man zahlt Steuern.

Führer: Man zahlt Steuern. Aber man ist nicht angestellt. Also ich meine, wie ist das? Ist das so, kann man Hacker sein und so einen 9-to-5-Job haben und Ehefrau oder Ehemann und Kinder und sechs Wochen bezahlten Jahresurlaub?

Ziegler: Also über meinen Ehemann kann ich jetzt nicht so viel erzählen, da habe ich keine persönlichen Erfahrungen zu.

Führer: Sie sind ja auch noch jung, das kommt vielleicht noch.

Ziegler: Ja, das hoffe ich. Also ich denke, ich werde keinen Ehemann haben, aber wir werden sehen. Es gibt die verschiedensten Modelle. Ich kenne Menschen, die in Firmen fest angestellt sind, die nur für diese eine Firma, nur auf den neuen Produkten dieser Firma arbeiten, forschen, sich für die Sicherheit sorgen. Es gibt Leute, die bei Consultingfirmen arbeiten, das habe ich auch für eine Zeit gemacht, das heißt, man arbeitet in einer Firma, die sich auf Sicherheit spezialisiert, die dann von anderen Firmen eingestellt wird, um für diese Firmen Sicherheitstests zu machen. Es gibt Leute, die arbeiten komplett selbstständig, die setzen sich nur direkt in Kontakt zu anderen Firmen, oder es gibt Leute, die suchen Schwachstellen und verkaufen diese weiter, auch dafür gibt es inzwischen vollkommen legale Märkte, vor allem geschaffen durch die Antivirenindustrie, die Schwachstellen aufkaufen und in ihre Antivirenprodukte einbauen. Dann sind sie halt die ersten, damit können sie ihr Produkt dann für höhere Preise verkaufen als die Konkurrenz.

Führer: Und was machen Sie?

Ziegler: Ich arbeite für andere Firmen direkt, ich bin selbstständig beziehungsweise ich habe meine eigene Firma gegründet dafür.

Führer: Der Hacker Paul Ziegler zu Gast im Deutschlandradio Kultur. Wir haben es gerade gehört: No hacks for money, wir hacken nicht für Geld. Das war ja der Grundsatz der Hackerpioniere. Wenn ich Sie jetzt höre, ist das für Sie Schnee von ... aus der Steinzeit. Sie verdienen ja Ihr Geld mit Hacking.

Ziegler: Man muss dazu sagen, dass die Hacker von vor 20 Jahren einen anderen Ansatz hatten als wir heute. Sie sind damals in Sicherheitssysteme hineingestolpert und bemerkten, hier stimmt etwas massiv nicht, hier ist etwas nicht sicher, wir müssen etwas dagegen tun. Das heißt, sie haben darauf geachtet: Wir machen viel Publicity. Heute reden wir von responsible disclosure, wie auch immer man sie sehen mag. Responsible disclosure heißt im Endeffekt nur: Ich habe ein Wissen, ich habe eine Fähigkeit, ...

Führer: Also den Anfang verstehe ich, etwas mit Verantwortung, und dann, disclosure?

Ziegler: Disclosure ist Veröffentlichung, das heißt, es gibt verschiedene Taktiken, die sagen: Ich habe eine Schwachstelle gefunden und wie sorge ich dafür, dass diese Schwachstelle behoben wird, ohne dass dabei Menschen zu schaden kommen? Der klassische, der erste Gedanke ist dann immer, ich sage es der Firma, die die Software herstellt, das ist oft dann eine schlechte Idee, weil die Firmen natürlich nicht daran interessiert sind, dass Schwachstellen in ihren Produkten öffentlich werden.

Führer: Aber wenn Sie es der Firma sagen, wird es ja nicht öffentlich, die Firma kann das ja dann beheben.

Ziegler: Das ist das Problem, weil viele der Hacker, die solche Schwachstellen finden, sagen es erst der Firma, und sagen, ja, und in zwei Monaten mache ich es publik. Und damit haben die Firmen ein riesiges Problem. Und es ist auch das, woran sich die Szene gerade spaltet, was Schrutzki, Wernéry eben anders sehen als meine Generation, zu sagen: Okay, wo ziehen wir die Grenze? Geht es ums Geld? Geht es darum, der Industrie zu helfen, im Endeffekt ein besseres Produkt zu erschaffen, oder geht es darum, gnadenlos zu sagen: Hier ist ein Fehler und wir machen ihn publik, damit ihn alle sehen können? Es sind zwei Ansätze, die aber beide im Endeffekt dazu führen, dass die Sicherheitsstandards erhöht werden.

Führer: Ich habe es nicht so recht verstanden, was ist denn Ihr Ansatz? Wie verhalten Sie sich?

Ziegler: Ich wende mich an die Firma oder einen Zwischenhändler, die sich aber ... sind ausgewählt, es gibt einige große Initiativen, die ZDI ist die größte derzeit, die also Sicherheitsschwachstellen aufkaufen, die einen auch etwas raushalten. Das heißt, diese Firmen verhandeln mit den eigentlichen Firmen, und es sind Firmen, die der Antivirenindustrie gehören.

Führer: Sie haben jetzt von der Spaltung in der Hackerszene gesprochen. Ist das gleichzusetzen mit dem Generationenkonflikt, so die älteren und die jüngeren Hacker?

Ziegler: Nicht wirklich. Die Spaltung darüber geht durch alle Generationen hindurch. Es gibt in meiner Generation noch genauso viele Leute, die sagen, man muss – was wirklich als full disclosure bezeichnet wird in der Szene –, also man muss diese Schwachstellen ohne Ankündigung sofort der Öffentlichkeit bekanntmachen. Der Ansatz existiert bis heute und ist verbreitet.

Führer: Und man bekommt nur leider kein Geld dafür. Vielleicht ist das das, was Sie davon abhält.

Ziegler: Man bekommt leider kein Geld dafür, ja.

Führer: Also es gibt ja diese heroische Seite, wir hatten das ja mit Schrutzki und so weiter, diese Geschichten damals, wo die Hacker bekannt wurden, jetzt auch vergangene Woche, Sicherheitslücke im Personalausweis. Das ist jetzt nichts, was Sie jetzt reizen würde, sozusagen der unentgeltliche Dienst an der Allgemeinheit.

Ziegler: Ich habe auch auf Schwachstellen unentgeltlich hingewiesen. Das Problem ist schlicht und ergreifend, wenn ich die Information sofort auf den Markt schmeiße und sofort der Öffentlichkeit zur Verfügung stelle, ohne jemanden vorher zu warnen, ohne der Antivirenindustrie – ich stehe zwar kritisch zu ihr, aber sie sind immer noch die einzige Linie der Verteidigung, die die meisten Menschen haben – oder den Herstellern vorher bekannt zu geben, dann fangen die Blackheads, also die Leute, die Hacker, die mit illegalen Motiven arbeiten, zum gleichen Zeitpunkt an, damit zu arbeiten, wie die Verteidiger. Und dann haben wir ein Problem aus der Sicht der Nutzer. Plus: Es gibt kein Geld dafür, beziehungsweise ich könnte nicht davon leben. Das heißt, ich stelle mir die Frage: Jemand, der Informationen in diesem Habitus veröffentlichen kann, der also nie Geld dafür nehmen würde – wovon lebt dieser Mensch? Das macht mir viel mehr Sorgen als die Leute, die sagen, okay, ich arbeite mit Sicherheit, ich bin ein Spezialist dafür, ich habe eine Ausbildung dafür hinter mir, ich habe viel gelernt, um das machen zu können, und ja, ich verkaufe Informationen, weil ich davon lebe.

Führer: Das Verrückte ist ja, dass die Menschen, die dasselbe tun wie Sie, also die Hacker mit diesen kriminellen oder wie auch immer man sie nennen will Absichten, also die diese Viren in die Welt, in die Datenwelt schicken, sagen wir mal Viren allgemein, das ist ja so ein Wettlauf irgendwie zwischen denen und Ihnen, und Sie beide halten sich gegenseitig am Leben und schaffen sich die Lebensgrundlage.

Ziegler: Es ist ein Wettlauf zwischen denen und der Antivirenindustrie. Ja, sie schaffen sich gegenseitig die Lebensgrundlage, das stimmt soweit. Das Problem ist: Die Antivirenindustrie wird die Virenschreiber nie einholen, weil sie können ... es gab neulich eine schöne Studie dazu, es gab einen der größeren Viren der letzten Tage, Monate hatte am Tag 300 Variationen. Das heißt, selbst wenn Sie tägliche Antivirenupdates durchführen auf Ihrem Rechner, was niemand macht, den ich kenne, außer Leute, die in der Sicherheitsindustrie arbeiten, hinken Sie im Schnitt immer noch sozusagen 200 Iterationen des Virus, die Sie befallen können, hinterher. Das heißt, es ist eigentlich ein Kampf, den die Antivirenindustrie nicht gewinnen kann, weswegen ich auch denke, die brauchen neue Konzepte, die Systeme müssen von vornherein so ausgelegt werden, dass sie sicherer sind. Problem ist: Der Nutzer, der vor dem Rechner sitzt, muss das Gerät am Ende noch benutzen können. Und solange der Nutzer das Recht hat zu sagen, ja, ich sehe diese Warnung und ich sehe, es ist ein Problem da, aber ich sage trotzdem, du darfst das, können wir die Systeme nicht sicher machen, weil heutzutage 90 Prozent der Viren und Würmer kommen nicht rein durch Schwachstellen im Betriebssystem, sondern einfach, indem sie den Nutzer austricksen und sagen: Doppelklick hier für Bilder von "Twilight", dem nächsten Film, oder die männliche Version wäre, für Nacktbilder von wem auch immer. Und die Nutzer klicken drauf, und der Virus hat sein Ziel erreicht.

Führer: Der Hacker Paul Ziegler zu Gast im Deutschlandradio Kultur, danke Ihnen für Ihren Besuch, und wenn Sie Paul Ziegler auch sehen möchten, ab morgen können Sie das tun, im Film "Hacker", der läuft morgen in den Kinos an.

Homepage "Hacker"

Thema

Karl der GroßeKunstsinniger Barbar
Eine Figur Karls des Großen steht am 16.06.2014 in Aachen (Nordrhein-Westfalen) im Centre Charlemagne. Die Ausstellung "Karl der Große, Macht, Kunst, Schätze" ist vom 20.06.2014 bis zum 21.09.2014 in Aachen zu sehen.  (picture alliance / dpa / Oliver Berg)

Er war einer der Gründungsväter Europas: Karl der Große hat die karolingische Renaissance eingeleitet. Eigentlich sei es ihm aber nur um die Legitimierung seiner Macht gegangen, meint Kunsthistoriker Michael Imhof. Mehr

DDR-GeschichteSieg über den Ort des Grauens
Der ehemalige politische Gefangene Gilbert Furian in einer Gefängniszelle der Gedenkstätte Zuchthaus Cottbus vom Verein Menschenrechtszentrum in Cottbus (Brandenburg). (picture alliance / dpa / Patrick Pleul)

Weil er in der DDR Interviews mit Punks publizierte, kam Gilbert Furian in den Cottbuser Knast. In der heutigen Gedenkstätte wird er nun in der Oper "Fidelio" mitsingen - um einen "großen Rucksack Bitterkeit" erleichtert.Mehr

Agenturfotos"Das ist sicher ein Aufbruch"
Sheryl Sandberg, Geschäftsführerin des US-amerikanischen Internetkonzerns Facebook  (picture alliance / dpa / Foto: Jean-Christophe Bott)

Die Karrierefrau, die am Schreibtisch sitzt, oder das schamlose Zeigen von Terroropfern in Afrika - Sheryl Sandberg von Facebook und Pam Grossman von der Bildagentur Getty Image wollen solchen Klischeefotos etwas entgegensetzen. Sie haben die Datenbank "Lean In Collection" gegründet. Mehr

weitere Beiträge

Das könnte sie auch interessieren

Entdecken Sie Deutschlandradio Kultur