Ethische Hacker: Wenn die Guten den Bösen zuvorkommen

In einer Welt, die zunehmend auf vernetzte Systeme setzt, bieten sich auch Cyberkriminellen stets mehr Angriffsziele. Eigene Sicherheits-Experten sind ein Weg, um die wertvollen Daten zu schützen, Hilfe von Hackern ein anderer.

Am 15. April 2015 war Chris Roberts, Gründer von One World Labs und ein bekannter Sicherheitsexperte und Hacker, unterwegs im Flugzeug von Chicago nach Syracuse. Was Roberts nicht ahnte: Am Zielort warteten bereits zwei Bundesbeamte und zwei Polizisten auf ihn, um ihn mehrere Stunden zu verhören. Der Grund: Ein etwas leichtsinniger Tweet.

Begonnen hatte die Geschichte 2009, als Roberts und sein Kollege entdeckten, dass das In-Flight-Entertainment-System über das Satellitentelefon-Netzwerk und die Kabinenkontrolle mit der Flugzeugsteuerung verbunden war. Roberts und sein Kollege bauten das System in einer Laborumgebung nach und informierten Boeing, Airbus und andere Flugzeughersteller. Weil die Unternehmen nicht reagierten, begannen die Hacker in der Folge über das Hacken von Flugzeugen und Autos zu referieren.

Ein schlechter Scherz

Seinen Flug im April nutzte Roberts nun zu einem Seitenhieb gegen die Flugzeugbauer und twitterte lapidar: „Befinde mich auf einer 737/800, mal schauen Box-IFE-ICE-SATCOM, ? Sollen wir mit den EICAS-Nachrichten spielen? ‚Sauerstoff-Masken EIN‘ Was meint ihr ? :)“

Die Antwort folgte aber nicht aus den Chefetagen der Flugzeugbauer, sondern von einem anderen Twitter-Nutzer: „…uuuuund du bist im Gefängnis. :)“

In der Tat, das System funktioniert: Den Tweet las nicht nur Rafał Łoś, sondern auch ein Angestellter der United Airlines Cybersicherheitsabteilung, der wiederum das FBI informierte. Roberts beteuert, dass ein Hack-Versuch oder gar die Übernahme der Steuerung des Flugzeugs nie stattgefunden habe, dennoch ist das Handeln nicht unproblematisch. Der Vorwurf: Selbst durch die reine Beobachtung des Datenverkehrs hätten der Flug gestört und Menschen gefährdet werden können. Die Grenze des moralisch Vertretbaren ist in einem solchen Fall kaum sichtbar.

Potenzial nicht verschenken

Dass es aber auch von Anfang an anders laufen kann, bewies Mark Zuckerberg mit der Einstellung von Chris Putnam. Dieser hatte 2005 mehrfach erfolgreich Facebook gehackt. Statt Strafanzeige stellte Zuckerberg Putnam kurzerhand ein, um für Facebook die Sicherheit zu verbessern. Wenige Jahre später, entdeckte Putnam eine Sicherheitslücke ebenfalls im Unterhaltungssystem von Flugzeugen. Putnam veröffentlichte seinen Fund aber nicht und arbeitete stattdessen mit Virgin an einer Lösung des Problems. Der Einbruch in die IT-Systeme von Außen durch einen Konkurrenten oder Hacker mit unlauteren Motiven gehört für Unternehmen zur Kategorie Super-GAU. Andererseits sind ein Hack- oder Penetrationstest die beste Möglichkeit, um zu überprüfen, wie gut einzelne Systeme und deren Verbindungen abgesichert sind. Anders als die internen IT-Profis sind Externe nicht betriebsblind und so in der Lage, die Sicherheit objektiver zu überprüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Penetrationstest sogar als bewährtes Mittel zur dauerhaften Abwehr von Angreifern. Dass im Rahmen solcher Tests keine Gefahren entstehen, sichern vertragliche Vereinbarungen. Inzwischen hat man auch bei United Airlines das Potenzial erkannt und ein Belohnungsprogramm für Hacker ins Leben gerufen, um derartige Sicherheitslücken besser und schneller zu schließen. Zeit für einen Neuanfang, findet auch Roberts.

Zuerst erschienen auf techtag.de