«Ich finde das super, weil ich endlich das machen kann, was ich schon immer gerne gemacht hätte», sagt Andreas Hauser strahlend. 15 Stunden pro Woche hackt sich der Schaffhauser in die Computer-Systeme von Schweizer Unternehmen. Vom kleinen, dunklen Zimmerchen im obersten Stock seines kleinen Reihenhauses aus. Legal, denn er ist ein sogenannter «ethischer Hacker».
Hacker haben bisher ein denkbar schlechtes Image: Cyber-Kriminelle, die Unternehmen flachlegen, Cyber-Angriffe im Ukraine-Krieg oder Daten, die gestohlen im Dark-Web auftauchen und für viel Geld den Besitzer wechseln.
Doch es gibt sie auch, die «guten Hacker». Sie schleusen sich in IT-Systeme von Firmen ein – im Auftrag dieser Unternehmen. Als Lohn für das erfolgreiche Finden von Lücken winkt eine Erfolgsprämie, oder in der Szene auch ein «Bounty», ein Kopfgeld genannt. Es ist ein neuer Karrierepfad in der Schweiz.
Bei Erfolg gibt's Cash
Hauser sagt, es sei vor allem sein Bauchgefühl und seine Erfahrung, die er hier zu Gold machen könne. «Man sieht sofort, dort könnte etwas kaputt sein. Oder da ist etwas Komplexeres im IT-System dahinter – da passieren auch mehr Fehler in der Programmierung und damit willkommene Lücken für mich.»
Es seien nicht unbedingt die offensichtlichsten Lücken, die er suche. Denn diese würden auch die anderen Hacker finden, die in so einem Kopfgeld-Programm akkreditiert seien. Vielmehr suche er nach Lücken, die andere Hacker erst mit viel Aufwand finden. Denn wenn er der Erste ist, der ein Einfallstor in die IT-Systeme der Firmen findet, winkt ihm ein attraktives Kopfgeld.
Am Abend oder am Wochenende, «wenn ein bisschen Ruhe im ganzen Haus» einkehre, setze er sich in seiner Hacker-Kammer an den Computer und suche nach Lücken. Adrenalin sei jeweils schon dabei bei seiner Arbeit.
«Gerade im ersten Moment, wenn man das Gefühl hat – oh jetzt ist etwas passiert – da wird man ein bisschen nervös.» Das winkende Preisgeld sei schon eine Motivation, aber nicht nur: «Es ist auch ein bisschen der Stolz, wenn man etwas findet.»
Akkreditierte Kopfgeld-Jäger
Solche Kopfgeld-Programme, sogenannte «Bug Bounty»-Programme, gibt es in der Schweiz noch nicht lange. Die Firma Bug Bounty Switzerland gehört zu den ersten, die solche Dienstleistungen für Unternehmen anbietet.
Wichtig sei vor allem, Hacker und Unternehmen über eine seriöse Plattform zu vermitteln, sagt Sandro Nafzger, Geschäftsführer und Mitgründer der Vermittlungsfirma. Denn Hacker würden oft nicht die gleiche Sprache wie Unternehmen sprechen: «Hier prallen zwei Welten aufeinander.»
«Wenn ein Hacker eine Lücke gefunden hat, und diese direkt den Unternehmen melden möchte, geht er ein beträchtliches Risiko ein.» Die Unternehmen wüssten dann beispielsweise oft erst einmal nicht, wer die entsprechende Ansprechperson sei oder wie in einem solchen Fall vorzugehen sei. «Häufig werden in so einem Fall die Anwälte eingeschaltet», weil es sich auch um einen strafrechtlich relevanten Fall handeln könnte, sagt Nafzger.
Seine Firma springe hier in die Bresche. Zusammen mit den Firmen würden Kopfgeld-Programme aufgegleist, die Spielregeln definiert und die Hacker, sofern sie sich an die Regeln halten, auch entkriminalisiert. «Dann dürfen sie etwas machen, was sonst illegal wäre.»
Die Hacker werden durch die Firma über ihr Netzwerk gesucht und, wenn ihre Reputation stimmt, im Programm akkreditiert. Solche Programme laufen kontinuierlich über mehrere Wochen und Monate. Finden die Hacker eine Lücke, müssten sie diese auf der Plattform der Firma erfassen und detailliert darlegen, wie sie die Lücke gefunden haben.
Anhand eines internationalen Referenzrahmens wird die Lücke anschliessend auf einer Skala von 1 bis 10 bezüglich des Schweregrads eingestuft. Die Kopfgelder sind in der Höhe von mehreren hundert bis zu mehreren zehntausend Franken.
Ethische Hacker gegen Unispital
Freiwillig hacken lässt sich beispielsweise das Universitätsspital Zürich. Denn, das stellt Erik Dinkel, Sicherheitschef des Spitals, unumwunden klar: «Cyber-Angriffe sind eine Realität». Wie andere Unternehmen auch erlebt das Unispital monatlich rund 10'000 Cyber-Angriffe. Nur redet die Betreiberin dieser kritischen Infrastruktur bewusst darüber, um auch die Sensibilität anderer zu erhöhen.
Ethische Hacker sind hochgradig motiviert, weil sie nur etwas verdienen, wenn sie auch etwas finden.
Die Erfahrungen mit dem Programm seien sehr gut, sagt Dinkel. Denn bisherige Sicherheitstests, die man standardisiert schon lange anwende, reichten nicht mehr aus. «Der Unterschied ist, dass Standard-Tests oft auf bekannte Sicherheitslücken und bekannte Muster zielen.»
Ethische Hacker würden mit ihrer Intelligenz auch Lücken entdecken, die noch nicht bekannt sind. «Die sind hochgradig motiviert, weil sie nur etwas verdienen, wenn sie auch etwas finden.» Somit sei die Methode nicht nur effektiv, sondern auch aus einer Kostensicht attraktiv. «Ich bezahle nur für etwas, das mir effektiv einen konkreten Mehrwert bringt», sagt der Sicherheitschef.
Betreiber von kritischen Infrastrukturen in der Schweiz sollen Cyber-Angriffe mit erheblichem Schadenspotenzial künftig melden müssen. Das will der Bundesrat. Heute ist dies noch freiwillig.
Das Ziel sei es, dass das nationale Zentrum für Cybersicherheit (NSCS) ein übersichtlicheres Bild über die Angriffe erhalte und dadurch andere Betreiber kritischer Infrastrukturen frühzeitig vor Cyber-Angriffen warnen könne, so die Landesregierung.
Der Meldepflicht unterstellt werden sollen etwa die Betreiber kritischer Infrastrukturen, Energieversorgungs-Unternehmen, Behörden aller föderalen Ebenen, Blaulichtorganisationen, Organisationen der Trinkwasserversorgung, der Abwasseraufbereitung und der Abfallentsorgung, die kantonalen Universitäten, die Eidgenössischen Technischen Hochschulen, die Fachhochschulen und die pädagogischen Hochschulen.
Auch gewisse Spitäler, Laboratorien und Arzneimittelherstellerinnen sollen der Pflicht unterstellt werden.
Es wäre aber falsch anzunehmen, dass Hacker im Unispital rumspazieren und medizinische Geräte zu hacken versuchen. Das Programm ist ganz klar eingegrenzt auf Systeme, die ohnehin dem Internet angeschlossen sind und deshalb exponiert sind. Dabei nennt Dinkel explizit die Webseite des Spitals. Dank der «guten Hacker» sei man den «bösen Hacker» einen Schritt voraus. Denn wenn diese durch eine Lücke in der Webseite erst einmal ins System hineinfinden, so könnten sie sich darin dann potenziell auch ausbreiten.
Dass Hacker somit Systeme live hacken, sei kein Problem, so Sicherheitschef Dinkel. «Das Hacking findet unter ganz bestimmten, vorher abgemachten Regeln statt. Die ethischen Hacker sind ja auch akkreditiert. Nicht jeder, der gerade Lust hat, kann da mitmachen.»
Vom Hacken leben
In Lonay in der Nähe von Lausanne sitzen fünf Vollzeit-Hacker in einem etwas übergrossen Büro in einem Gewerbegebiet. Man sei erst gerade in dieses grössere Büro eingezogen, sagt Daniel Le Gall fast entschuldigend. Zusammen mit anderen Hackern haben sie eine Firma gegründet, die nur vom Hacking lebt.
Die Kopfgelder fliessen reichlich, das Geschäft boomt. Er habe als Kopfgeld-Hacker beispielsweise im Jahr 2018, noch vor dem Start des Schweizer «Bug Bounty»-Programms, rund 340'000 Franken verdient, sagt Le Gall.
Klar, wenn er die gefundenen Lücken im Dark-Web verkaufen würde, wären seine Einkünfte womöglich noch höher. «Doch es ist auch eine Frage des Gewissens», sagt er. Er bevorzuge es, mit den Unternehmen zusammenzuarbeiten und ihnen die Lücken aufzuzeigen. Denn: «Ich schlafe nachts gut und habe keine Angst vor einem Türklopfen der Polizei um fünf Uhr morgens.» Und dann fügt er hinzu: «Ich bin auch stolz darauf, dass ich zur IT-Sicherheit beitragen kann.»
Leicht verdient ist das Geld aber nicht. «Manchmal schaue ich mir ein Unternehmen an und finde nichts.» Es könne passieren, dass er zwei, drei Tage lang suche und nichts oder nur sehr kleine Lücken finde, die kaum Erlöse bringen. Er stelle auch fest, dass sich die IT-Sicherheit in den Firmen etwas verbessert habe, seit die Unternehmen das Thema nicht mehr so stiefmütterlich behandeln.
Doch noch längst nicht überall: «Es kann passieren, dass ich mir ein Unternehmen in einem Kopfgeld-Programm anschaue und am Ende des Tages bereits fünfzehn kritische Lücken gefunden habe», sagt Le Gall.
Zurück zur Hacker-Kammer im Reihenhaus. Dass er nur etwas für seine Arbeit erhalte, wenn er auch fündig werde, empfinde er nicht als Problem, sagt Andreas Hauser. «Das ist keine Gratis-Arbeit.» Er spüre ziemlich gut, wo es sich lohne Zeit zu investieren. Dementsprechend könne er sich seine Zeit und Aufwand selbständig aufteilen. Diese Freiheit geniesst Hauser.
Doch auch er spürt, dass sein bisheriger Teilzeit-Job riesiges Potenzial hat. «Gerade mit der Digitalisierung, die überall kommt, sowieso. Jetzt geht es richtig los.»
