Zum Hauptinhalt springen

Das größte Sicherheitsrisiko ist der Mensch

Von Gregor Kucera

Wissen

Kevin David Mitnick war im Alter von 17 Jahren der meistgesuchte Hacker der USA. Nun ist er als Sicherheitsberater tätig und gibt sein Wissen an Unternehmen weiter.


Jahrelang lieferte sich der meistgesuchte Verbrecher der USA mit dem FBI ein Katz-und-Maus-Spiel. Das große Finale folgte am 15. Februar 1995. An diesem Tag umstellte das FBI ein Apartmentgebäude in Raleigh, North Carolina, und nahm den damals gefährlichsten Mann der Welt fest. Sein Name - Kevin David Mitnick.

Nur wenige Tage zuvor hatte Mitnick über das Telefon einen seiner größten Coups vollendet. Unter Vorspiegelung falscher Tatsachen verschaffte sich der Cyberkriminelle Zugang zu geheimen Daten des US-amerikanischen Telefonkonzerns Motorola. Der Hacker erklärte einem Motorola-Techniker am Telefon, dass der meistgesuchte Verbrecher der USA einen Angriff auf das Unternehmen plane und daher müsse er schnellstmöglich gewisse Änderungen vornehmen und Daten ändern. Der Techniker, irritiert durch die Aussagen Mitnicks und den Zeitdruck, gab dem Hacker, was dieser verlangte. Die Opfer in eine Falle zu locken, obwohl man sie genau vor diesem Szenario explizit gewarnt hatte, wurde zum Markenzeichen des Hacker-Genies. Mitnick besaß nicht nur das notwendige technische Know-how, um in Netzwerke einzudringen, sondern vor allem die Fähigkeit, geheime Informationen von Unternehmen zu erhalten, indem er Mitarbeiter der Firmen anrief - und schlicht danach fragte. Er erfand die Technik, die Hacker "Social Engineering" nennen: Der Cyber-Angreifer manipuliert und lügt, um eine Person in einem Unternehmen oder einer Behörde dazu zu bringen, Informationen preiszugeben, die dem Angreifer nützen. Dabei reicht ein Anruf oder eine gefälschte E-Mail - kein aufwendiges technisches Hacken oder ein Einbruch in den Serverraum.

Fünfzehn Jahre lang drang Mitnick in die Computersysteme von mehr als 35 internationalen Konzernen ein. Die Liste seiner Opfer liest sich wie das "Who-is- who" der damaligen Internet- und Technologiebranche: die Telefonkonzerne Motorola und Nokia, der Software-Hersteller Sun Microsystems oder auch die US-amerikanische Telefongesellschaft Pacific Bell. Der in Los Angeles aufgewachsene Hacker war Anfang der 90er Jahre der erste Cyberkriminelle, den das FBI auf seiner Most-Wanted-Liste auf den ersten Platz setzte. Ausschlaggebend war dafür auch, dass Mitnick staatliche Behörden und Organisationen auf seiner Angriffsliste hatte: Er hackte sich in die amerikanische Sozialversicherungsbehörde, die Kfz-Zulassungsstelle und hörte ein Gespräch der National Security Agency ab - und dies alles im Alter von gerade einmal 17 Jahren.

Bei seinen "Raubzügen" bekam Mitnick Einblicke in Softwareprogramme, sammelte zehntausende Daten - alleine 20.000 Namen, Telefonnummern und Kreditkarten-Nummern plus PIN der US-Firma Netcom konnte er erbeuten - doch profitierte der Hacker nie finanziell von seinen Hacks. "Geld hat mich nicht interessiert. Ich wollte nur zeigen, dass ich es kann."

Als sich das Fahndungsnetz des FBI immer enger zog, tauchte Mitnick ab. Drei Jahre lang trickste er die Ermittler aus. Unter anderem, weil er deren Telefonsystem angezapft hatte und den Bundesagenten so immer einen Schritt voraus war. Auch heute noch zeigt sich in Mitnicks Gesicht ein Lächeln, wenn er über seinen Schabernack mit dem FBI berichtet. So fanden die Agenten bei der Durchsuchung seiner Wohnung am 30. September 1992 statt brisantem Hacker-Material nur eine Box mit der Aufschrift "FBI Doughnuts". "Das hat sie wohl echt wütend gemacht."

Wo er war, ging der Betrüger ganz selbstverständlich einem bürgerlichen Leben nach - unter falschem Namen. Mitnick entscheidet sich zunächst für eine neue Identität als Eric Weiss, den bürgerlichen Namen Harry Houdinis. Er bediente sich dabei der Sozialversicherungsnummer eines gleichnamigen Mannes im Bundesstaat Washington und auch hier kam er mit seiner Social-Engineering-Technik ans Ziel: Eine Beamtin verrät ihm zunächst über das Telefon die Sozialversicherungsnummer seines Opfers. Danach beantragt Mitnick bei der Behörde die Kopie von Weiss’ Geburtsurkunde. Aus beiden Datensätzen baute sich Mitnick ein als Ausweis anerkanntes Dokument - das Steuerformular W-2. Als Steuernummer wählte er dabei jene des US-Softwarekonzerns Microsoft aus, die er ebenfalls telefonisch herausfand. Danach ist der Weg frei zum Führerschein. Als Eric Weiss zieht Mitnick nach Denver, wo er einen Lebenslauf erfindet und einen Job bei einer Anwaltsfirma bekommt. Im Frühling 1994 hackt Mitnick immer noch -inzwischen ist er 30 Jahre alt. Er bricht dabei erfolgreich bei Novell und Nokia ein. Das zeitaufwendige Hacken kostet ihn schließlich seinen Arbeitsplatz - er wird beim Rechtsanwaltsbüro entlassen, weil er während seiner Arbeitszeit allzu beschäftigt aussieht; eine Kollegin vermutet, dass er nebenbei Jobs für andere Kunden erledigt.

Im Dezember 1994 kommt Mitnick nach Raleigh/North Carolina. Dort endet seine Flucht am 15. Februar 1995. Mitnicks Fehler: Er war in die Firma eines anderen Technikexperten eingebrochen. Der Japaner Tsutomu Shimomura verbündete sich daraufhin mit dem FBI, spürte den Cyber-Kriminellen über dessen Mobiltelefon auf und brachte ihn ins Gefängnis.

Das Thema Sicherheit beschäftigt die IT-Branche mehr denn je. Hacker und Sicherheitsexperten liefern einander auf technischem Gebiet ein Kopf-an-Kopf-Rennen. Doch einen Aspekt kann man nur schwer unter Kontrolle bringen - den Faktor Mensch. "Wenn ich heute in ein Unternehmensnetzwerk einbrechen wollte, dann würde ich es noch immer mit einfachem Social Engineering versuchen. Glauben Sie nicht, dass ein Mensch, der einen teuren USB-Stick in der Nähe seines Büros oder im öffentlichen Bereich seines Firma findet, diesen mitnehmen und an seinem Firmen-PC anstecken würde? Und wenn auf diesem Stick schädliche Software wäre? Schon wäre man im Unternehmensnetzwerk, ganz ohne technischen Aufwand. Das größte Sicherheitsrisiko ist noch immer der Mensch", so Mitnick. Keine Information ist sicher, egal, wie gut sie technisch gesichert ist. Und in vielen Firmen wird dieses Risiko immer noch unterschätzt und werden Mitarbeiter nicht geschult.