World Wide War: Angriff aus dem Internet (German Edition)

verschiedensten großen (und mittelständischen) Unternehmen arbeiten. Die Bezeichnung Black Hat geht darauf zurück, dass die Höhepunkte der Konferenz stets die Berichte jener Hacker sind, die neue Wege gefunden haben, um verbreitete Software-Anwendungen dazu zu bewegen, Dinge zu tun, für die sie nicht bestimmt sind. Die Softwarefirmen sahen in der Konferenz lange Zeit eine Versammlung böser Jungs. Die Demonstrationen der Hacker beweisen normalerweise, dass sich die Softwareentwickler nicht genug Gedanken über die Sicherheit gemacht haben, womit sie es Angreifern erlauben, unbefugt in ein Computernetz einzudringen oder es sogar unter Kontrolle zu bringen.
    Microsoft war jahrelang das bevorzugte Ziel der Konferenzteilnehmer, und die Manager des Unternehmens freuten sich so sehr auf die Black-Hat-Konferenz wie die meisten Leute auf eine Steuerprüfung. Im Jahr 2009 wandten sich die Hacker Apple zu, da sich seine Produkte wachsender Beliebtheit erfreuten. Für die größte Aufregung sorgten Hacker, die vorführten, wie man ein iPhone mit einer einfachen SMS-Nachricht hacken konnte. Mag sein, dass es nach Meinung von Bill Gates und nun auch Steve Jobs illegal sein sollte, Mängel an ihren Produkten aufzuspüren und zu veröffentlichen, aber das ist keineswegs ein Verbrechen. Ein Verbrechen ist es nur, wenn ein Hacker die von ihm entwickelte Methode (ein sogenanntes Exploit) einsetzt, um durch die entdeckte Sicherheitslücke in die Software einzudringen und sich unerlaubten Zutritt zum Computernetz eines Unternehmens oder einer öffentlichen Einrichtung zu verschaffen. Sobald eine Sicherheitslücke veröffentlicht oder, was noch schlimmer ist, ein Exploit in Umlauf gebracht wird, kann natürlich jedermann alle Netze attackieren, in denen die fehlerhafte Software zum Einsatz kommt.
    Ich verärgerte einige Leute, als ich im Jahr 2002 in einer Grundsatzrede auf der Black-Hat-Konferenz erklärte, es sei zu begrüßen, dass die Hacker Mängel in Computerprogrammen entdeckten. Ich war zu jener Zeit Sonderberater der Regierung Bush für Cybersecurity. Jemand, vermutlich jemand in der Microsoft-Zentrale, war nicht erfreut darüber, dass eine konservative republikanische Regierung illegale Handlungen guthieß. In Wahrheit hatte ich gesagt, dass ethische Hacker, die eine Sicherheitslücke entdeckten, zunächst den Hersteller der Software darauf hinweisen sollten, um sich anschließend an die Behörden zu wenden, falls der Hersteller nicht reagierte. Nur wenn sich der Hersteller weigere, den Fehler zu beheben, sollten die Hacker in die Öffentlichkeit gehen. Meine Überlegung war, dass eine Sicherheitslücke, die für amerikanische Hacker erkennbar war, auch ihren Kollegen in China, Russland und anderen Ländern nicht verborgen bleiben würde. Da Spione und Kriminelle den Fehler ohnehin finden würden, war es besser, wenn ihn alle Welt kannte. Die Veröffentlichung eines Softwarefehlers hat zwei wahrscheinliche Folgen: 1. In den meisten empfindlichen Netzen wird die Software nicht weiterverwendet, bis der Mangel behoben ist. 2. Der blamierte Softwarehersteller beeilt sich, die Sicherheitslücke zu schließen, oder wird von wichtigen Kunden wie Banken und staatlichen Einrichtungen dazu gedrängt.
    Mit Äußerungen wie dieser machte ich mir keine Freunde bei bestimmten Wirtschaftsgruppen. Es gefiel ihnen auch nicht, dass ich im Jahr 2002 auf der Jahreskonferenz der RSA einen Vortrag hielt. Die RSA ist ein Zusammenschluss von etwa 12000 Fachleuten für Cybersecurity. Die Konferenz ist auch eine Gelegenheit für eine Reihe von Partys, die bis spät in die Nacht dauern. Mein Vortrag war für den frühen Morgen angesetzt. Ich wartete hinter der Bühne und wünschte mir mehr Kaffee. Die Musik von Kansas schallte durch den großen Saal. Als der Auftritt der Band beendet war, sollte ich in einer Wolke Theaternebel die Bühne betreten. Sie können sich die Szene vorstellen. Mit meinem Bedürfnis nach Koffein im Hinterkopf erwähnte ich zu Beginn des Vortrags eine kurz zuvor veröffentlichte Studie, die gezeigt hatte, dass viele große Unternehmen mehr Geld in Gratiskaffee für ihre Mitarbeiter und Besucher investierten als in die Sicherheit ihrer Computernetze. Und ich fügte hinzu: »Ein großes Unternehmen, das mehr für Kaffee ausgibt als für die Cybersecurity, wird zwangsläufig gehackt werden.« Pause. Und dann brachte ich es auf den Punkt: »Und ein Unternehmen mit diesen Prioritäten verdient es,gehackt zu werden.« Für diese