Ein Vorurteil klärt Berufshacker Yves Bieri (28) gleich vorweg: «Ich sitze nicht mit Sturmhaube vor dem Computer». Der Beruf des blonden Berners heisst streng genommen auch nicht «Hacker» sondern «IT Security Analyst».
«Wir werden von Firmen angefragt, um deren Produkte zu testen», erklärt er, «das können zum Beispiel Ebankinganwendungen oder Firmenwebsites sein».
Mit «Produkte testen» meint Bieri das, was andere unter «Hacken» verstehen. Im Schnitt zwei Wochen hat er Zeit, um mit allen Mitteln die IT-Sicherheit seines Kunden zu testen. Er überprüft, ob Passwortrichtlinien streng genug sind, kontrolliert, ob die Software, die sein Kunde verwendet, bekannte Lücken hat, die er ausnützen könnte, oder ob er einfach die Daten anderer Benutzer stehlen kann.
Von Banken bis KMU
Zu den Kunden von Yves Bieri, der für die Schweizer Firma Compass Security arbeitet, zählen verschiedenste Unternehmen. «Von Grossfirmen wie Banken und Versicherungen bis zu KMU mit zehn Mitarbeitenden ist alles dabei», erklärt er. Namen der Kunden darf er aus Sicherheitsgründen nicht nennen.
Genauso vielfältig wie die Kunden fällt auch Bieris Urteil über ihre Sicherheit aus: «Bei kleinen Unternehmen, zum Beispiel Start-ups, kann es passieren, dass gröbere Sicherheitslücken bestehen. Bei Grossfirmen, die viel Ressourcen in Sicherheit investieren sieht man tendenziell weniger. Vor allem Banken und Versicherungen sind meist sehr gut aufgestellt»
Sicherheitslücke Mensch
Manchmal erhält Bieri den Auftrag, Sicherheitslücken nicht nur bei der Technik, sondern beim Menschen zu finden: «Wir testen die Mitarbeitenden auch mittels Phishing-Emails.» Bieri sendet dann Emails an die Belegschaft, in denen er die Angabe von Passwörtern fordert: «Ich schreibe zum Beispiel, dass die Firma ein neues Email-Programm nutzt und man sich daher über einen Link auf dessen Website einloggen soll».
Den Link und die Website fälscht Bieri aber vorgängig. Statt auf die angebliche Emailsite gelangt man auf eine Fake-Seite. Dort werden die Passwörter gesammelt. Eine Taktik, die auch von kriminellen Hackern gerne genutzt wird.
In der Freizeit weiterhacken
In einem echten Hacking-Fall können solche Passwort-Leaks schwerwiegende Folgen haben. Bei Bieri und seinen Kollegen, erhält die betroffene Person nur eine Warnung, dass sie besser auf ihre Daten Acht geben soll.
Das Ganze wird dann protokolliert. Am Ende eines Auftrags muss Bieri detailliert angeben, welche Tests er durchgeführt hat, welche Sicherheitslücken gefunden wurden und vor allem, welche Verbesserungen er empfiehlt. «Diese Dokumentation interessiert die Kunden natürlich am meisten. Mir persönlich macht es aber mehr Spass, Lücken zu finden, als alles schriftlich festzuhalten», schmunzelt der Berufs-Hacker.
Wie sehr ihm sein Job Spass macht, zeigt sich auch in Yves Bieris Freizeit. Gemeinsam mit Freunden von der ETH nimmt er regelmässig an sogenannten «CTF»-Competitions teil. Das sind IT-Sicherheitswettbewerbe, bei denen man möglichst schnell ein Sicherheitssystem hacken muss. «Ein System zu missbrauchen und es dazu zu bringen, etwas anderes zu tun, das fasziniert mich einfach», erklärt Bieri.
Auf die Frage, ob er auch mal ohne Erlaubnis hackt, winkt Bieri lachend ab: «Nein, wirklich nicht. Dafür gibt es viel zu viele Möglichkeiten, legal zu hacken!»
