Chaos Computer Club Bremen sucht Hacker: Was hacken Hacker eigentlich?

Der Chaos Computer Club hat bundesweit Menschen in die eigenen Hackspaces eingeladen. Auch, weil man auf neue Hacker hofft. Alexander Noack vom CCC Bremen erklärt, was Hacker machen.

Tiefe Einblicke in die Nerd-Kultur seiner Mitglieder hat der Chaos Computer Club Bremen (CCCHB) seinen Gästen am "Tag des offenen Hackspace 2022" am Samstag versprochen – so tiefe Einblicke, dass das Filmen und das Fotografieren vor Ort verboten war.

Die Gäste sollten sehen, was Hacker machen, wenn sie nicht gerade – wie im Spielfilm – Datenlecks aufspüren oder Sicherheitsschranken aushebeln. Alexander Noack, Sprecher des CCCHB, verrät im Gespräch mit buten un binnen, wieso der Chaos Computer Club Verstärkung sucht, und weshalb Hacker wichtig für unsere Gesellschaft sind – zumindest manche.

Herr Noack, Sie haben in einen Hackspace eingeladen. Ist das ein geheimer Ort? Sitzen dort die Hacker und hacken sich durch verbotene Systeme?

Nein, ganz und gar nicht. Der Hackspace soll ein Raum sein für Menschen, die Spaß daran haben, mit Technologie umzugehen, Dinge zu basteln und Dinge auseinander zu bauen. Ein ganz wichtiger Aspekt des Hacker-Daseins ist: Wenn man ein Gerät hat, dann wird das erst einmal aufgemacht, und dann wird geguckt, wie es funktioniert. Wir beschäftigen uns aber auch durchaus mit gesellschaftspolitischen Fragen. Digitalpolitik ist bei uns hier in Bremen ein sehr wichtiges Thema.

Das sind zwei sehr unterschiedliche Dinge: Sie wollen die Hardware, also die Technik des Computers verstehen? Wofür ist das wichtig?

Digitale Technologien spielen im Leben der meisten Menschen inzwischen eine große Rolle und dieser Einfluss wird in Zukunft weiter wachsen. Zu verstehen, wie diese Technologie funktioniert, ist wichtig, um sie nutzen und auch beherrschen zu können. Eine Technologie, die ich nicht verstehe, beherrscht am Ende mich statt umgekehrt.

Und wenn ich die Hardware verstehe, kann ich auch meine eigene Software, also die Programme, die darauf laufen, selber schreiben. Erst dann kann ich wirklich sagen: Dieses Gerät gehört wirklich mir. Denn ich bestimme, welche Programme darauf laufen und nicht Dritte. Das bedeutet nicht, dass man alle Software selber schreiben muss. Aber es heißt, dass man eine informierte Entscheidung treffen kann, welche Software da laufen soll.

Und inwiefern spielt Digitalpolitik für Sie als Hacker in Bremen eine Rolle?

Wir diskutieren beispielsweise über staatliche Überwachungsmaßnahmen und darüber, was uns daran nicht gefällt. Wir diskutieren auch über Dienste wie Google, die viele Daten sammeln, und überlegen uns, was Alternativen sein könnten und wie sich diese Alternativen zugänglich machen lassen.

Wem kommen dann Ihre Gedanken und Ergebnisse zu Gute? Ist das Freizeitbeschäftigung, Spaß, also Selbstzweck – oder stellen Sie das zur Verfügung?

Manche Dinge sind natürlich Spaß und Selbstzweck. Wenn jemand aus LEDs eine Kunstinstallation lötet oder einen alten Computer nachbaut, geschieht das ja erst mal aus der Motivation heraus, etwas zu tun, was Spaß macht. Aber in der Szene sind wir uns einig, dass das Wissen, das dabei entsteht, geteilt werden sollte. Darum wird die Software, die bei solchen Projekten entsteht, in der Regel auf Plattformen wie "Gitlab" hochgeladen und allen Interessierten unter einer freien Lizenz als Open-Source-Software zur Verfügung gestellt.

Das Gleiche gilt für die Konstruktionspläne von Hardware – wie zum Beispiel für die der "PIDP8" bei uns im Hackspace (siehe Foto, die Redaktion), der Nachbau eines Computers von 1965. Dieses Gerät wurde von dem niederländischen Hacker Oscar Vermeulen entwickelt. Weil er sowohl die Pläne für die Hardware als auch die Software frei zur Verfügung gestellt hat, konnte ich das Projekt leicht nachbauen und dadurch lernen, wie man so etwas macht. Mit den gesellschaftspolitischen Überlegungen ist das ähnlich: Der Chaos Computer Club tritt regelmäßig mit digital-politischen Forderungen an die Öffentlichkeit. Wir setzen uns ein für die Freiheit der Menschen, die digitale Technologien nutzen, und für größtmögliche digitale Teilhabe für alle.

Im Film ist es ja so: Hacker dringen innerhalb von Minuten in fremde Systeme ein, retten die Welt oder sind kriminell. Was ist da dran?

Dazu muss man zunächst einmal den Begriff des Hackers definieren: In der Szene ist damit nicht unbedingt das Finden und Ausnutzen von Sicherheitslücken gemeint. Jeder kreative Umgang mit einem Problem kann ein "Hack" sein. Zum Beispiel, wenn eine Hackerin oder ein Hacker eine besonders elegante oder clevere Lösung gefunden hat, ein schwieriges Programmierproblem zu lösen, dann nennen wir das einen "Hack".

Die Zuschreibung, ein Hacker zu sein, kommt normalerweise auch nicht von den Leuten selbst, sondern von anderen. "Da hast Du einen tollen Hack gemacht", ist eine Art Lob in der Szene.

Braucht man als Hacker kriminelle Energie?

Natürlich nicht. Der Begriff des Hackens ist sehr, sehr breit gefächert. Natürlich gibt es unter Hackern Leute, die kriminell sind – wie in jeder anderen gesellschaftlichen Gruppe auch. Die dringen dann in Systeme ein, in denen sie nichts zu suchen haben. Das ist aber grundsätzlich nicht das Selbstbild, das Hacker von sich haben, zumindest nicht hier im Chaos Computer Club. Wir sind einfach interessiert daran, wie Technologie funktioniert, wie man sie benutzen kann, sodass sie allen Menschen zum Vorteil gereicht – und wie man kreativ mit der Technik umgehen kann.

Würden Sie sich und Ihre Kolleginnen und Kollegen aus dem Chaos Computer Club als "gute Hacker" bezeichnen? Gibt es überhaupt "gute" Hacker?

Das ist natürlich immer eine Frage der Perspekive. Ob der Hersteller irgendeines schrottigen Lot-Produkts (Produkt mit Charge-Nummer, die Redaktion) es so toll findet, wenn jemand aufzeigt, dass es persönliche Daten in die Öffentlichkeit leakt (unerlaubt veröffentlicht, die Redaktion), sei mal dahingestellt. Wir haben aber auf jeden Fall den Anspruch, ethisch zu handeln. Der Chaos Computer Club hat deshalb eine Hacker-Ethik, die man auch auf unserer Website nachlesen kann. Darin werden Richtlinien für ethisches Hacking aufgestellt. Dazu gehört, dass man niemandem Schaden zufügt und dass man private Daten schützt. Aber auch, dass man Daten, die öffentlich sein sollen, nutzt – und einfordert, dass sie tatsächlich öffentlich zugänglich gemacht werden, weil die Bürger schließlich dafür bezahlen.

Es gibt aber offenbar viele Hacker, die nach eigener Auffassung für eine gute Sache kämpfen, über deren vermeintliche Gemeinnützigkeit man lange diskutieren könnte, die Anonymous-Bewegung zum Beispiel. Sind das in Ihren Augen auch "gute Hacker"?

Anonymous ist ein sehr komplexes Feld. Es handelt sich dabei um keine Bewegung im engen Sinn. Anonymous ist ein Symbol. Das heißt: Jeder kann Anonymous sein. Jeder, der meint, seine Aktion öffentlich machen zu wollen, ohne sein Gesicht zeigen zu wollen, kann dieses Label benutzen. Und das wird auch getan. Ursprünglich hatte sich das lose Kollektiv mal gebildet, um gegen die Machenschaften der Scientology-Sekte vorzugehen. Inzwischen gab es aber auch Aktionen in ganz anderen Bereichen.

Es gibt Gruppen, die gute Dinge unter dem Anonymous-Label tun, aber auch solche, deren Aktionen ich fragwürdig finde. Die Aktionen der Anonymous-Gruppen sind häufig durchaus von moralischen Überlegungen getragen, aber nicht immer gut gemacht.

Bitte nennen Sie ein Beispiel für eine solche Aktion!

In der sogenannten "Operation Zeta" hatten Aktivisten die Daten über das mexikanische Drogenkartell Zetas veröffentlicht. Das Ziel war es, diese Informationen so zu verwenden, dass die Behörden einige der gefährlichsten Drogenbosse finden und verhaften können. Grundsätzlich würden die meisten Menschen so etwas befürworten, auch wenn die Informationen nicht rechtmäßig erlangt wurden.

Aber die Aktion zeigt, wie sehr dieses Vigilantentum schief gehen kann: Die "Zetas" entführten 2011 ein mutmaßliches Mitglied der Gruppe und drohten mit dessen Ermordung, falls die Gruppe nicht auf die Veröffentlichung verzichten würde. Nach der Freilassung des Entführten drohte das Kartell, für jeden veröffentlichten Namen wahllos zehn unschuldige Menschen zu ermorden. Die Anonymous-Guppe hat daraufhin erklärt, auf die Veröffentlichung zu verzichten, um sich selbst und andere Menschen zu schützen.

Es gibt noch einige weitere, häufig wiederkehrende Begriffe, die Hacker-Gruppierungen bezeichnen. Was sind zum Beispiel White-Hat-Hacker, was Black-Hat-Hacker?

Da geht es zum Teil natürlich auch um Selbstdefinitionen. Die Begriffe stammen aus dem Computer-Jargon und werden häufig dem Open-Source-Pionier Richard Stallmann zugeschrieben. Der bestreitet allerdings, sie erfunden zu haben. Das Meme geht zurück auf alte amerikanische Westernfilme, in denen man die "Good Guys" oftmals daran erkannte, dass sie einen weißen Cowboyhut trugen, währen die Bösewichte meist mit schwarzen Hüten auftraten.

Der wesentliche Unterschied zwischen beiden Gruppen ist die Zielsetzung: Ein White-Hat-Hacker versucht, Sicherheitslücken zu finden, um sie zu schließen, während der Black-Hat-Hacker darauf aus ist, sie auszunutzen. Die Methoden, die beide Seiten nutzen, sind aber oftmals dieselben. Dies ist auch eines der Probleme der sogenannten "Hackerparagrafen" im Strafgesetz. Das zielt natürlich darauf ab, das Verhalten von "Black-Hats" zu sanktionieren, aber macht eben auch die legitime Sicherheitsforschung strafbar.

Man muss sich das wie ein Spiel vorstellen: Man probiert Dinge aus und schaut, ob sie funktionieren. Und wenn sie nicht funktionieren, probiert man etwas anderes. Es kann sein, dass ein System massive Sicherheitslücken hat – dann ist man in wenigen Minuten drin. Es kann aber auch sein, dass man es gar nicht schafft. Das weiß man vorher nie.

Alexander Noack, Sprecher CCC Bremen

Ob nun aus kriminellen oder aus sonst welchen Absichten heraus: Wie lange braucht ein Hacker, der sein Handwerk beherrscht, um in Systeme der kritischen Infrastruktur einzudringen, sagen wir: in das der Polizei Bremen?

Das kann man so nicht sagen. Das hängt sehr von dem System ab. Das Bild, das man aus Filmen kennt, wo Leute wild auf einer Tastatur herumkloppen und dann auf einmal, so nach einer Stunde, im System drin sind – das stimmt natürlich nicht. So funktioniert es nicht. Man muss sich das wie ein Spiel vorstellen: Man probiert Dinge aus und schaut, ob sie funktionieren. Und wenn sie nicht funktionieren, probiert man etwas anderes. Es kann sein, dass ein System massive Sicherheitslücken hat – dann ist man in wenigen Minuten drin. Es kann aber auch sein, dass man es gar nicht schafft. Das weiß man vorher nie.

Wenn Sie jetzt – nennen wir es einfach mal so – als White-Hats-Hacker unterwegs sind: Was hacken Sie überhaupt? Sie dringen ja dann vermutlich nicht verbotener Weise in staatliche Systeme wie das der Polizei Bremen ein zum Beispiel. Wie erkennen Sie Sicherheitslücken dann?

Es gibt da verschiedene Ansätze. Zum einen gibt es Hard- und Software, die man sich beschaffen kann, indem man sie sich kauft. Wenn Sie sich beispielsweise das neue IPhone kaufen, um dann den Fingerabdrucksensor oder die Gesichtserkennung zu überlisten, dann ist das völlig legal: Mit Ihrem eigenen Telefon können Sie machen, was sie wollen. Wenn es darum geht, fremde Systeme zu prüfen, kann man sich natürlich auch das Einverständnis des Betreibers holen. Es gibt Firmen, die sogenanntes "penetration Testing" anbieten. Da testen die Mitarbeiter der Sicherheitsfirma dann, ob sie in des System herein kommen und erstellen einen Bericht, schreiben ihre Ergebnisse auf und geben Empfehlungen ab, wie man die Lücken schließen kann.

Wenn man ohne Auftrag handelt, ist die Sache rechtlich natürlich schwieriger. Falls Sie – wie unsere Hackerkollegin Lillith Wittmann im vergangenen Jahr – bei der Wahlkampf-App der CDU Daten finden, die völlig ungeschützt im Netz stehen, ist man auf der sicheren Seite: Die Daten sind ja bereits öffentlich. Wenn für den Zugang jedoch Hindernisse wie Passwörter überwunden werden müssen, bewegt man sich schnell im strafbaren Rahmen. Auch, wenn die Passwörter schlecht geschützt sind. Anders gesagt: Eine öffentlich im Netz stehende Liste von Passwörtern herunterzuladen, ist legal. Die Passwörter dann zu nutzen, um sich Zugang zu dem betroffenen System zu verschaffen, nicht mehr.

Verantwortungsbewusste Hacker treten in der Regel an die Betreiber der verwundbaren Systeme heran und geben die Informationen über die gefundenen Probleme an die Unternehmen weiter. Veröffentlicht wird die Lücke dann in der Regel erst, wenn der Betreiber Zeit hatte, das Problem zu beheben. Dieses "responsible Disclosure" (Verantwortungsbewusste Veröffentlichung, die Redaktion) genannte Verfahren hat den Vorteil, dass auch andere Betroffene von der Lücke erfahren und diese kurzfristig beheben können, während das Zeitfenster, in dem Angreifer sie ausnutzen können, klein bleibt. Leider gibt es immer wieder Organisationen, die auf derartige Hinweise nicht mit der Beseitigung des Sicherheitsproblems reagieren, sondern mit Strafanzeigen.

Cyberangriffe sind Wirklichkeit, kein Mythos. Daher hat die Bundesregierung eine neue Cybersicherheitsagenda vorgestellt, mit der sie Deutschland schützen will. Im Zuge dessen ist wieder einmal eine Diskussion über sogenannte Hackbacks entflammt, also darüber, ob der Bund im Falle eines Hacker-Angriffs mit einem Gegenangriff reagieren sollte. Dabei hatten sich die Ampel-Parteien noch im Koalitionsvertrag klar dagegen ausgesprochen. Wie stehen Sie zu Hackbacks?

Es kommt immer mal wieder vor, dass Politiker derartige Gegenangriffe für eine gute Idee halten. Um es mal ganz klar zu sagen: Das ist eine saudumme Idee. Es geht schon damit los, dass bei Hacks ganz schwer zu klären und zu beweisen ist, wer es tatsächlich gewesen ist. Gerade staatliche Hacker, die viele Ressourcen zur Verfügung haben, werden natürlich nicht in irgendeinem Büro in – sagen wir einmal Moskau – sitzen, wo irgendwo, wenn man nur ein bisschen googelt, die IP-Adresse auf eine Webseite führt, auf der steht: "Russischen Abteilung für Auslandsspionage" oder so.

Derartige Hacker übernehmen stattdessen erst einmal fremde Systeme, von denen aus sie ihre Angriffe fahren. Das heißt: Wenn man einen Hackback macht – also versucht, ein System, von dem aus man einen Angriff vermutet, lahm zu legen –, dann trifft man in sehr vielen Fällen den Falschen. Die Leute, von deren System der Angriff ausgegangen ist, sind oft vorher selbst Opfer eines Angriffs geworden.

Noch wichtiger aber: Diejenigen, die solche Cyberangriffe machen, die haben, wie gesagt, einen großen Apparat hinter sich, und die machen so etwas nicht an einem Nachmittag. So etwas wird von langer Hand über lange Zeit vorbereitet. Ein Gegenangriff, der Aussicht auf Erfolg haben soll, müsste natürlich genauso gut vorbereitet sein. Um also an das System heran zu kommen, das man da angreifen will, müsste man es vorher gut ausgekundschaftet haben und die Sicherheitslücken genau kennen. Das dauert Monate. Ein Gegenangriff, der Monate später kommt, wäre vollkommen nutzlos. Es wäre viel sinnvoller, die Ressourcen, die man für Hackbacks verwenden müsste, einzusetzen, um die eigenen Systeme abzusichern.

Klingt, als sähen Sie bei der Sicherheit der öffentlichen deutschen Systemen viel Luft nach oben…

Allerdings. Da sehe ich ganz, ganz viel Luft nach oben. Um die IT-Sicherheit in Deutschland ist es sehr schlecht bestellt.

Das ist vermutlich ein weites Feld, aber was kritisieren Sie am meisten? Und: Könnten "gute Hacker" da weiterhelfen?

Am meisten kritisiere ich das mangelnde Bewusstsein für IT-Sicherheit. Sicherheit ist immer etwas, das hinten dran steht. Es wird von vielen als lästig betrachtet und kostet natürlich auch Geld. Richtiger wäre es, Sicherheitsaspekte beim Design eines Systems gleich mitzudenken. Ingenierure machen das schon lange: Wenn in einem Flugzeug zum Beispiel ein Defekt in einer Treibstoffleitung auftritt, schaltet sich die Zuleitung zum Triebwerk ab, damit der Treibstoff sich nicht entzünden kann. Das System ist so gebaut, dass im Falle eines Defekts das Kappen der Treibstoffzufuhr der Standardzustand ist: Das System muss aktiv etwa tun, damit die Treibstoffzufuhr stattfindet.

Gleichzeitig ist das Flugzeug absichtlich so konstruiert, dass es auch beim Ausfall eines Triebwerks noch sicher den nächsten Flughafen ansteuern kann. Dieses Prinzip nennt man "Security-by-Design", und es ist in der IT-Branche viel zu wenig verbreitet.

Das ist spannend, aber wir müssen zurückkommen zu Ihrem Hackspace und nach Bremen: Was lernt jemand, der zu Ihrem "Tag der offenen Tür" zu Ihnen kommt? Was kann er oder sie erfahren?

Wir wollen einen Enblick geben in das, was der CCC so tut. Wir möchten alle Eure Fragen zum Thema Hacking beantworten, über Digitalpolitk diskutieren, und es wird auch Einblicke darin geben, wie so ein Computer eigentlich funktioniert. Außerdem bieten wir einen kleinen Lötworkshop an, bei dem alle Interessierten auch mal den Lötkolben schwingen können.