Zum Inhalt springen
Video
Die netten Hacker
Aus 10 vor 10 vom 12.04.2022.
abspielen. Laufzeit 4 Minuten 20 Sekunden.

Kampf gegen Cyber-Attacken «Gute» Hacker machen gutes Geld – wegen «bösen» Hackern

Hacker haben ein schlechtes Image. Es gibt aber auch die «guten» Hacker. Sie schleusen sich in IT-Systemen von Firmen ein – im Auftrag dieser Firmen.

«Ich finde das super, weil ich endlich das machen kann, was ich schon immer gerne gemacht hätte», sagt Andreas Hauser strahlend. 15 Stunden pro Woche hackt sich der Schaffhauser in die Computer-Systeme von Schweizer Unternehmen. Vom kleinen, dunklen Zimmerchen im obersten Stock seines kleinen Reihenhauses aus. Legal, denn er ist ein sogenannter «ethischer Hacker».

Hacker haben bisher ein denkbar schlechtes Image: Cyber-Kriminelle, die Unternehmen flachlegen, Cyber-Angriffe im Ukraine-Krieg oder Daten, die gestohlen im Dark-Web auftauchen und für viel Geld den Besitzer wechseln.

Doch es gibt sie auch, die «guten Hacker». Sie schleusen sich in IT-Systeme von Firmen ein – im Auftrag dieser Unternehmen. Als Lohn für das erfolgreiche Finden von Lücken winkt eine Erfolgsprämie, oder in der Szene auch ein «Bounty», ein Kopfgeld genannt. Es ist ein neuer Karrierepfad in der Schweiz.

Bei Erfolg gibt's Cash

Hauser sagt, es sei vor allem sein Bauchgefühl und seine Erfahrung, die er hier zu Gold machen könne. «Man sieht sofort, dort könnte etwas kaputt sein. Oder da ist etwas Komplexeres im IT-System dahinter – da passieren auch mehr Fehler in der Programmierung und damit willkommene Lücken für mich.»

Es seien nicht unbedingt die offensichtlichsten Lücken, die er suche. Denn diese würden auch die anderen Hacker finden, die in so einem Kopfgeld-Programm akkreditiert seien. Vielmehr suche er nach Lücken, die andere Hacker erst mit viel Aufwand finden. Denn wenn er der Erste ist, der ein Einfallstor in die IT-Systeme der Firmen findet, winkt ihm ein attraktives Kopfgeld.

Mann sitzt vor Computer
Legende: Im Vordergrund ein physischer Spamfilter, im Hintergrund Andreas Hauser. SRF

Am Abend oder am Wochenende, «wenn ein bisschen Ruhe im ganzen Haus» einkehre, setze er sich in seiner Hacker-Kammer an den Computer und suche nach Lücken. Adrenalin sei jeweils schon dabei bei seiner Arbeit.

«Gerade im ersten Moment, wenn man das Gefühl hat – oh jetzt ist etwas passiert – da wird man ein bisschen nervös.» Das winkende Preisgeld sei schon eine Motivation, aber nicht nur: «Es ist auch ein bisschen der Stolz, wenn man etwas findet.»

Akkreditierte Kopfgeld-Jäger

Solche Kopfgeld-Programme, sogenannte «Bug Bounty»-Programme, gibt es in der Schweiz noch nicht lange. Die Firma Bug Bounty Switzerland gehört zu den ersten, die solche Dienstleistungen für Unternehmen anbietet.

Wichtig sei vor allem, Hacker und Unternehmen über eine seriöse Plattform zu vermitteln, sagt Sandro Nafzger, Geschäftsführer und Mitgründer der Vermittlungsfirma. Denn Hacker würden oft nicht die gleiche Sprache wie Unternehmen sprechen: «Hier prallen zwei Welten aufeinander.»

Video
Sandro Nafzger, Bug Bounty Switzerland: «Absolute Sicherheit ist eine Illusion»
Aus News-Clip vom 12.04.2022.
abspielen. Laufzeit 20 Sekunden.

«Wenn ein Hacker eine Lücke gefunden hat, und diese direkt den Unternehmen melden möchte, geht er ein beträchtliches Risiko ein.» Die Unternehmen wüssten dann beispielsweise oft erst einmal nicht, wer die entsprechende Ansprechperson sei oder wie in einem solchen Fall vorzugehen sei. «Häufig werden in so einem Fall die Anwälte eingeschaltet», weil es sich auch um einen strafrechtlich relevanten Fall handeln könnte, sagt Nafzger.

Seine Firma springe hier in die Bresche. Zusammen mit den Firmen würden Kopfgeld-Programme aufgegleist, die Spielregeln definiert und die Hacker, sofern sie sich an die Regeln halten, auch entkriminalisiert. «Dann dürfen sie etwas machen, was sonst illegal wäre.»

Fünf IT-Techniker sitzen miteinander an einem Tisch an einer Besprechung.
Legende: Besprechung einer Lücke, die ein Hacker gefunden hat. Das Team von Bug Bounty Switzerland muss die Lücke in einer Skala anhand ihres Schweregrads einstufen. Für den Hacker entscheidend, denn sein Kopfgeld-Erlös hängt davon ab. SRF

Die Hacker werden durch die Firma über ihr Netzwerk gesucht und, wenn ihre Reputation stimmt, im Programm akkreditiert. Solche Programme laufen kontinuierlich über mehrere Wochen und Monate. Finden die Hacker eine Lücke, müssten sie diese auf der Plattform der Firma erfassen und detailliert darlegen, wie sie die Lücke gefunden haben.

Anhand eines internationalen Referenzrahmens wird die Lücke anschliessend auf einer Skala von 1 bis 10 bezüglich des Schweregrads eingestuft. Die Kopfgelder sind in der Höhe von mehreren hundert bis zu mehreren zehntausend Franken.

Ethische Hacker gegen Unispital

Freiwillig hacken lässt sich beispielsweise das Universitätsspital Zürich. Denn, das stellt Erik Dinkel, Sicherheitschef des Spitals, unumwunden klar: «Cyber-Angriffe sind eine Realität». Wie andere Unternehmen auch erlebt das Unispital monatlich rund 10'000 Cyber-Angriffe. Nur redet die Betreiberin dieser kritischen Infrastruktur bewusst darüber, um auch die Sensibilität anderer zu erhöhen.

Ethische Hacker sind hochgradig motiviert, weil sie nur etwas verdienen, wenn sie auch etwas finden.
Autor: Erik Dinkel Sicherheitschef, Universitätsspital Zürich

Die Erfahrungen mit dem Programm seien sehr gut, sagt Dinkel. Denn bisherige Sicherheitstests, die man standardisiert schon lange anwende, reichten nicht mehr aus. «Der Unterschied ist, dass Standard-Tests oft auf bekannte Sicherheitslücken und bekannte Muster zielen.»

Ethische Hacker würden mit ihrer Intelligenz auch Lücken entdecken, die noch nicht bekannt sind. «Die sind hochgradig motiviert, weil sie nur etwas verdienen, wenn sie auch etwas finden.» Somit sei die Methode nicht nur effektiv, sondern auch aus einer Kostensicht attraktiv. «Ich bezahle nur für etwas, das mir effektiv einen konkreten Mehrwert bringt», sagt der Sicherheitschef.

Kritische Infrastruktur im Fokus

Box aufklappen Box zuklappen
Legende: Keystone


Betreiber von kritischen Infrastrukturen in der Schweiz sollen Cyber-Angriffe mit erheblichem Schadenspotenzial künftig melden müssen. Das will der Bundesrat. Heute ist dies noch freiwillig.

Das Ziel sei es, dass das nationale Zentrum für Cybersicherheit (NSCS) ein übersichtlicheres Bild über die Angriffe erhalte und dadurch andere Betreiber kritischer Infrastrukturen frühzeitig vor Cyber-Angriffen warnen könne, so die Landesregierung.

Der Meldepflicht unterstellt werden sollen etwa die Betreiber kritischer Infrastrukturen, Energieversorgungs-Unternehmen, Behörden aller föderalen Ebenen, Blaulichtorganisationen, Organisationen der Trinkwasserversorgung, der Abwasseraufbereitung und der Abfallentsorgung, die kantonalen Universitäten, die Eidgenössischen Technischen Hochschulen, die Fachhochschulen und die pädagogischen Hochschulen.

Auch gewisse Spitäler, Laboratorien und Arzneimittelherstellerinnen sollen der Pflicht unterstellt werden.

Es wäre aber falsch anzunehmen, dass Hacker im Unispital rumspazieren und medizinische Geräte zu hacken versuchen. Das Programm ist ganz klar eingegrenzt auf Systeme, die ohnehin dem Internet angeschlossen sind und deshalb exponiert sind. Dabei nennt Dinkel explizit die Webseite des Spitals. Dank der «guten Hacker» sei man den «bösen Hacker» einen Schritt voraus. Denn wenn diese durch eine Lücke in der Webseite erst einmal ins System hineinfinden, so könnten sie sich darin dann potenziell auch ausbreiten.

Dass Hacker somit Systeme live hacken, sei kein Problem, so Sicherheitschef Dinkel. «Das Hacking findet unter ganz bestimmten, vorher abgemachten Regeln statt. Die ethischen Hacker sind ja auch akkreditiert. Nicht jeder, der gerade Lust hat, kann da mitmachen.»

Vom Hacken leben

In Lonay in der Nähe von Lausanne sitzen fünf Vollzeit-Hacker in einem etwas übergrossen Büro in einem Gewerbegebiet. Man sei erst gerade in dieses grössere Büro eingezogen, sagt Daniel Le Gall fast entschuldigend. Zusammen mit anderen Hackern haben sie eine Firma gegründet, die nur vom Hacking lebt.

Hacker im Büro
Legende: Hacken als Bürojob bei der Firma Bugscale in Lonay VD. SRF

Die Kopfgelder fliessen reichlich, das Geschäft boomt. Er habe als Kopfgeld-Hacker beispielsweise im Jahr 2018, noch vor dem Start des Schweizer «Bug Bounty»-Programms, rund 340'000 Franken verdient, sagt Le Gall.

Klar, wenn er die gefundenen Lücken im Dark-Web verkaufen würde, wären seine Einkünfte womöglich noch höher. «Doch es ist auch eine Frage des Gewissens», sagt er. Er bevorzuge es, mit den Unternehmen zusammenzuarbeiten und ihnen die Lücken aufzuzeigen. Denn: «Ich schlafe nachts gut und habe keine Angst vor einem Türklopfen der Polizei um fünf Uhr morgens.» Und dann fügt er hinzu: «Ich bin auch stolz darauf, dass ich zur IT-Sicherheit beitragen kann.»

Video
Daniel Le Gall, Hacker Bugscale: «2018 habe ich etwas mehr als 340'000 Franken verdient» (franz.)
Aus News-Clip vom 12.04.2022.
abspielen. Laufzeit 20 Sekunden.

Leicht verdient ist das Geld aber nicht. «Manchmal schaue ich mir ein Unternehmen an und finde nichts.» Es könne passieren, dass er zwei, drei Tage lang suche und nichts oder nur sehr kleine Lücken finde, die kaum Erlöse bringen. Er stelle auch fest, dass sich die IT-Sicherheit in den Firmen etwas verbessert habe, seit die Unternehmen das Thema nicht mehr so stiefmütterlich behandeln.

Doch noch längst nicht überall: «Es kann passieren, dass ich mir ein Unternehmen in einem Kopfgeld-Programm anschaue und am Ende des Tages bereits fünfzehn kritische Lücken gefunden habe», sagt Le Gall.

Cyber-Attacken auf Unternehmen

Box aufklappen Box zuklappen

Cyber-Angriffe seien zu einer ernsthaften Bedrohung der Sicherheit und Wirtschaft der Schweiz geworden, sagte der Bundesrat Anfang Januar. Es gebe täglich Angriffe auf Unternehmen und Behörden – das nationale Zentrum für Cybersicherheit (NCSC) erhalte im Durchschnitt wöchentlich über 300 Meldungen zu erfolgreichen oder versuchten Cyber-Angriffen.

Unternehmen zählen zu den beliebten Opfern von Cyber-Kriminellen. Zahlreiche Beispiel aus den letzten Wochen illustrieren dies.

  • März 2022: Hacker erbeuteten Gesundheitsdaten über mehrere tausend Patienten von Arztpraxen im Kanton Neuenburg. Diese Patientendaten veröffentlichten sie mit einer Lösegeld-Forderung für kurze Zeit im Dark-Web.
  • Februar 2022: Auch der Flughafendienstleister Swissport wurde Opfer. Ein Ransomware-Angriff auf einen begrenzten Teil der weltweiten IT-Infrastruktur führte unter anderem zu Verzögerungen beim Flugbetrieb.
  • Februar 2022: Die Universität Neuenburg wurde gehackt – einige der erbeuteten Daten erschienen später im Dark-Web.
  • Januar 2022: Ein Hackerangriff auf die Luzerner Industriegruppe Chemie+Papier Holding führte dazu, dass ein Teil der Produktion kurzfristig eingestellt werden musste.

Zurück zur Hacker-Kammer im Reihenhaus. Dass er nur etwas für seine Arbeit erhalte, wenn er auch fündig werde, empfinde er nicht als Problem, sagt Andreas Hauser. «Das ist keine Gratis-Arbeit.» Er spüre ziemlich gut, wo es sich lohne Zeit zu investieren. Dementsprechend könne er sich seine Zeit und Aufwand selbständig aufteilen. Diese Freiheit geniesst Hauser.

Doch auch er spürt, dass sein bisheriger Teilzeit-Job riesiges Potenzial hat. «Gerade mit der Digitalisierung, die überall kommt, sowieso. Jetzt geht es richtig los.»

10vor10, 12.04.2022, 21.50 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel