Danach machte ich es mir zur Aufgabe, Sicherheitssysteme zu umgehen. Ich sah mich als eine Art Zauberer im Stile von Harry Houdini (amerikanischer Entfesselungs- und Zauberkünstler, 1874-1926 – Anm. d. Red.) und wollte es schaffen, in abgesicherte IT-Umgebungen einzudringen. Es ging mir nicht um die Informationen, an die ich gelangen konnte, sondern um den Weg ins abgeschottete System hinein. Ich wollte hier einfach der Beste sein.
Viele Jahre später ging es mir um den Zugang zu Quellcodes von mobilen Betriebssystemen, um das Innenleben von Handys besser verstehen zu können. Der Ehrgeiz, in allem was ich tat, der Beste zu werden, hat mich während meines gesamten Hackerlebens begleitet.
CW: Sahen Sie sich als „Robin Hood der Cyberwelt“?
MITNICK: Nicht wirklich. Robin Hood hat den Reichen etwas weggenommen, um es den Armen zu geben. Ich wollte nie Informationen stehlen, um sie jemand anderem zu geben. Dafür waren und sind andere zuständig – wie heute das Anonymous-Kollektiv. Ich war nie ein Hacktivist, der aus politischen Motiven gehandelt hat. Es ging mir auch nie um Geld. Mein Ziel war es immer nur, der Beste in einem großen Spiel zu sein. Als ich zwischenzeitlich Katz und Maus mit dem FBI gespielt habe – was im Nachhinein ziemlich verrückt erscheint – habe ich meine Kenntnisse genutzt, um sogar der Regierung regelmäßig zu entwischen. Ich würde mich daher eher als „Nervenkitzel-Suchender“ oder auch Hacking-Sportler bezeichnen. Ich suchte das Abenteuer – wie in einem Videospiel. Der Unterschied: Mein Handeln hatte direkte Konsequenzen im realen Leben.
CW: Sie standen lange Zeit auf der „Most Wanted“-Liste des FBI. Wie fühlt es sich an, der meistgesuchte Hacker der Welt zu sein?
MITNICK: Es war schrecklich, von der Regierung gejagt zu werden. Es war wirklich äußerst stressig, sich ständig verstecken zu müssen.
CW: Sie sind in die Systeme vieler bekannter IT-Konzerne eingedrungen – Sun, Nokia, Motorola, Fujitsu, NEC und anderer. Wie haben Sie die Entscheidung für oder gegen einen Angriff jeweils getroffen?
MITNICK: Es hatte viel damit zu tun, ob ich die Produkte eines Unternehmens gut fand. Gefiel mir eines, wollte ich seine Funktionsweise besser verstehen – und suchte nach internen Informationen darüber beim jeweiligen Hersteller. Microsoft blieb beispielsweise immer verschont, weil ich Windows nicht leiden konnte.
CW: Um in eine geschützte Umgebung einzudringen, sind umfangreiche Vorarbeiten im zwischenmenschlichen Bereich notwendig. Sie haben das Social Engineering ja quasi „erfunden“. Inwiefern sind für einen Hacker Kommunikationsfähigkeit und Rhetorik fast wichtiger als das technische Know-how?
MITNICK: Hacking umfasst beides gleichermaßen – technische Schwachstellen zu finden und den „Faktor Mensch“ auszunutzen. Das Verhältnis liegt bei 50:50. Das hat sich nie geändert. Wenn Sie sich die großen Hacks von heute anschauen – Google, Sony, RSA – sehen Sie, dass diese prinzipiell immer noch genauso funktionieren wie die, die ich in den 70ern gestartet habe. Der erste Schritt ist das Aufspüren von Schwachstellen in Desktop-Software wie Adobe Acrobat oder Java und die Entwicklung entsprechender Malware, die diese Lücken ausnutzen kann. Mittels Social Engineering über einen Telefonanruf oder eine E-Mail wird dann ein Mitarbeiter eines dieser Unternehmen dazu gebracht, einen Link aufzurufen, über den der Schadcode geradewegs auf den Rechner bugsiert wird. Dieser öffnet die Hintertüren der betreffenden Programme, nistet sich ein und übernimmt die Kontrolle, ohne dass jemand etwas davon mitbekommt.
CW: Wie lässt sich der Erfolg von Social Engineering eindämmen?
MITNICK: Mit Training. Ich habe gerade erst gemeinsam mit KnowBe4.com ein Web-Trainingsprogramm entwickelt. Es soll Anwendern Wissen darüber vermitteln, wie Hacker menschliche Schwächen ausnutzen und manipulieren. Darüber hinaus sollen besonders Unternehmensangestellte lernen, wie mit gängigen Angriffsvektoren umzugehen ist, indem das Programm ihnen Fragen zu gängigen Attacken stellt. Es befindet sich noch im geschlossenen Betatest.
CW: Kommen wir vom Social Engineering zum „Dumpster Diving“. Finden sich die für Hacker interessantesten Unterlagen nach wie vor im Papiercontainer im Hinterhof großer Unternehmen?
MITNICK: Manchmal schon. Es ist der Wahnsinn. Wenn ich Studenten unterrichte, mache ich mit ihnen ab und zu „Dumpster-Diving-Übungen“. Wir suchen uns einen Firmen-Hinterhof und durchforsten die dort abgestellten Papiercontainer. Bisher haben wir immer wertvolle Informationen gefunden. Gerade auch im Ausland wie beispielsweise in Costa Rica werden sensible Unterlagen zumeist nicht einmal geschreddert.
CW: Einer Ihrer engsten Freunde ist Apple-Mitgründer Steve Wozniak. Wie haben Sie ihn kennen gelernt und wie ist Ihre Freundschaft gewachsen?
MITNICK: Meine erste persönliche Begegnung mit Steve hatte ich nach meiner Entlassung aus dem Gefängnis im Jahr 2000 auf einem Filmset. Die englische Produktionsfirma September Films drehte damals die Dokumentation „Die Geschichte des Hackings“ und interviewte unter anderem Steve und mich. Er kannte mich aus den Medien – und natürlich wusste ich auch, wer er war. Er war ein Superheld für mich, seit ich Kind war. Er sprach mich an, dass er gerne mehr öffentliche Auftritte hätte und ich vermittelte ihm meinen Agenten, der mir damals schon erste Vorträge und Reden organisierte. Seit dieser Zeit haben wir den gleichen Agenten, sind rund um die Welt unterwegs und sprechen alle paar Wochen persönlich miteinander. Außerdem schrieb Steve die Vorworte für meine Bücher „Die Kunst der Täuschung“ und „Das Phantom im Netz“. Steve und ich sind auch deshalb so eng befreundet, weil wir viele Gemeinsamkeiten haben. Das geht schon bei unserer Faszination für Telefonanlagen los. Steve Jobs und er haben genau wie ich einst mit „Phreaking“ solche Systeme manipuliert, bevor ich zum Computer-Hacking übergegangen bin. Deshalb kann er meine Beweggründe nachvollziehen, dass ich mit meinem Tun nie jemandem schaden oder bestehlen wollte. Ich bin glücklich darüber, dass ich Steve Wozniak heute zu meinen Freunden zählen darf.
CW: Sie sprechen Ihre Zeit im Gefängnis an. Nachdem Sie mit Unterbrechungen mehr als fünf Jahre inhaftiert waren, den Großteil davon wegen „Eindringens in einige der am besten gesicherten Computersysteme der USA“, kamen Sie im Januar 2000 mit der Auflage frei, drei Jahre lang keine EDV-Systeme benutzen zu dürfen. Wie haben Sie es geschafft, diese Vorgabe zu erfüllen?
MITNICK: Es war eine Herausforderung. Die US-Regierung wollte mich von jeglicher Art von Technologie fernhalten. Ich durfte kein Handy benutzen, kein Fax, kein gar nichts – sie haben mich behandelt, als sei ich MacGyver, der aus einer 9-Volt-Batterie und einem Stück Klebeband eine Bombe basteln kann. Es war total verrückt. Das war übrigens die gleiche Regierung, die mich in den Jahren davor in Einzelhaft steckte, weil die Staatsanwaltschaft behauptete hatte, ich könne einen Nuklearkrieg auslösen, wenn ich nur in ein Telefon pfeife. Glücklicherweise bekam ich direkt nach meiner Entlassung viele Jobangebote, Artikel zum Thema IT-Sicherheit zu verfassen und Reden zu halten. Ich habe kurze Zeit später auch eine Radioshow im Los Angeles moderiert, obwohl ich nichts im Internet recherchieren durfte. Ich hatte dort immer Helfer an meiner Seite, die die entsprechenden Websites für mich aufgerufen haben. Die Benutzung von Technologie war mir lange nur mit der Hilfe von Dritten möglich. Das ging sogar soweit, dass ich in der TV-Serie „Alias“ einen CIA-Computerexperten spielen sollte und es fast nicht gekonnt hätte. Der Sender fragte bei den Behörden an, ob ich im Rahmen des Drehs einen Computer berühren dürfe, bekam aber natürlich eine Absage. Also baute man extra für mich ein Computerattrappe aus Holz. Später lockerten die Behörden meine Bewährungsauflagen und standen mir zumindest einen Laptop zu.
CW: Inwiefern wäre Ihre Geschichte in dieser Form in einem anderen Land denkbar gewesen?
MITNICK: Diese Frage stelle ich mir oft. Ich glaube nicht, dass ich in allzu vielen anderen Staaten in Einzelhaft oder viereinhalb Jahre ohne Prozess eingesperrt gewesen wäre. Ich habe oft das Gefühl, dass die US-Behörden überreagiert haben in der Frage, ob ich eine Bedrohung für die nationale Sicherheit war oder nicht. Mein Pech war sicher auch, dass 1983 der Film „War Games“ ins Kino kam. Die Behörden haben die Bedrohung, die dort von einem Hacker ausgeht, 1:1 in die Realität übertragen und mich in dieser gefährlichen Rolle gesehen.
CW: Damals wurde die Gefahr vielleicht überbewertet – heute aber zeigen die Vorfälle rund um Stuxnet, Duqu oder Flame, dass Cyberattacken durchaus gefährliche Ausmaße annehmen können. Auch die US-Regierung mischt hier ja munter mit. Wie sehen Sie die aktuelle Situation?
MITNICK: Die USA und Israel haben zumindest bei Stuxnet und Flame gemeinsame Sache gemacht und Unternehmen mit viel Fachwissen mit der Entwicklung dieser Malware beauftragt. Dahinter stecken keine Hacker im eigentlichen Sinne. Kriminelle Organisationen wie das „Russian Business Network“, die aufgrund ihrer langjährigen Online-Betrügereien über viel Geld, Zeit und Fachpersonal verfügen, arbeiten aber natürlich genauso. Die Bedrohung geht immer von demjenigen aus, der über ausreichend finanzielle und personelle Kapazitäten verfügt, einen Cyberangriff zu starten.
CW: Gibt es einen Ausweg aus dieser Bedrohungslage?
MITNICK: Schwierig zu sagen. Die Frage ist ja, ob uns Security-Software helfen kann, komplexe Bedrohungen zu erkennen und abzuwehren. Im Zweifelsfall wohl eher nicht – also ist es schon eine angsteinflößende Gesamtsituation. Persönlich arbeite ich viel mit virtuellen Maschinen, wenn ich im Browser surfe, PDF-Dokumente, Foto oder Videos online anschaue. Wenn es dann eine Schwachstelle gibt, die ausgenutzt werden könnte, hat der Angreifer lediglich Zugriff auf die VM-Umgebung und nicht auf meinen lokalen Client.
CW: Inwieweit hilft Ihre Vita Ihnen heute im Tagesgeschäft als Pentester?
MITNICK: Man kann mich heute „mieten“ – ich bin also ein „Hacker for rent“. Der einzige Unterschied zu früher ist, dass ich die Erlaubnis der Unternehmen habe, in ihre Systeme einzubrechen. Gut 20 Prozent meiner täglichen Arbeit besteht nach wie vor aus Social Engineering – der Rest sind technische Aufgaben. In erster Linie geht es meinen Kunden darum, zu erfahren, ob sie ihre Compliance-Vorgaben erfüllen. Sie engagieren mich, damit ich Sicherheitstests an ihren Netzen vollziehe. Natürlich ist mein Lebenslauf hier von Vorteil – ich mache keinerlei Werbung und bin trotzdem sehr gefragt, eben weil mich die Leute kennen. Da hat auch die US-Regierung einen großen Teil zu beigetragen. Sie hat ein Mysterium aus mir gemacht, das die Menschen nach wie vor fasziniert. Alle Unternehmen, die meine Kollegen und ich in den vergangenen fünf Jahren getestet haben, haben uns ein exzellentes Zeugnis ausgestellt. Unsere Erfolgsrate beim Social Engineering liegt bei glatten 100 Prozent. Was die technische Überwindung von Barrieren angeht, finden wir in 95 Prozent aller Fälle mindestens eine Sicherheitslücke, um ins Netz hineinzukommen. Das hat auch damit zu tun, dass ich nur die Besten einstelle.
CW: Ihre Empfehlung an alle Hacker da draußen? Startet eine zweite Karriere in der IT-Sicherheitsindustrie?
MITNICK: Das hängt davon ab, was sie bislang gemacht haben. Cyberkriminelle, die Kreditkartenbetrug begehen, Phishing-Attacken starten oder ähnliches, werden auch in Zukunft einen Job finden und Geld „verdienen“ – im Untergrund. Hacker „alter Schule“ wie ich oder einige meiner Freunde haben ihr einstiges Hobby hingegen zum seriösen Beruf gemacht – beispielsweise bei IBM, wo viele von ihnen heute Security-Software programmieren.
CW: Schlagen wir zum Schluss noch einmal die Brücke nach Deutschland – Sie hatten in Ihrer „ersten“ Hackerkarriere Kontakt zum Chaos Computer Club (CCC). Wie kam es dazu und gibt es auch heute noch Anknüpfungspunkte?
MITNICK: Mitte der 90er Jahre habe ich einen CCC-Hacker kennengelernt, der mir Informationen zum Virtual Memory System (VMS) verschaffen konnte, an die ich selbst nicht gekommen wäre. Leider ist er später an Krebs gestorben. Das war der einzige direkte Kontakt, den ich zum CCC hatte. Ich habe es wegen Terminschwierigkeiten bis heute nicht geschafft, an einem Chaos Communication Congress teilzunehmen. Kürzlich habe ich über meinen Agenten aber die Einladung zu einer CCC-Konferenz im August bekommen. Vielleicht reise ich hin.
