Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Chris Nickerson versucht in Firmen einzubrechen – im Auftrag der Firmen. Bild: watson

Hacker Chris Nickerson

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

Bezahlte Profihacker testen Firmen, Bundeseinrichtungen oder Atomkraftwerke auf Sicherheitslücken. Hacker Chris Nickerson weiss, wie man in ein AKW einbricht, eine Boeing 777 stiehlt und warum Spitäler vor Cyberattacken geschützt werden müssen.

04.06.14, 18:08 15.07.14, 21:24

Chris Nickerson, wie kommt man auf die Idee, professioneller Hacker zu werden?
Chris Nickerson: Als ich etwa zwölf Jahre alt war, schlossen meine Eltern den Computer in ihrem Zimmer ein, da sie nicht wollten, dass ich ihn nutze und kaputt mache. Ich musste also lernen, wie man das Schloss knackt und den PC wieder repariert, wenn ich etwas beschädigt hatte. 

Heute sind Sie Chef eines Sicherheitsunternehmens und werden von grossen Firmen dafür bezahlt, dass Sie bei ihnen einbrechen. 
Stimmt. Im Fachjargon sprechen wir von Penetrationtests. Wir geben uns im Auftrag unserer Kunden als kriminelle Hacker aus, und versuchen in das Unternehmen einzubrechen. Dabei simulieren wir physische und elektronische Einbrüche. Wir sammeln Informationen über den Konzern, suchen nach Sicherheitslücken oder senden Mitarbeitern infizierte E-Mails, um Zugriff auf den PC und das Firmennetzwerk zu erhalten. Braucht es physischen Zugriff, verkleiden wir uns zum Beispiel als Sicherheitspersonal, um auf das Firmengelände zu gelangen. Nach dem simulierten Angriff informieren wir unsere Kunden über gefundene Schwachstellen, die beispielsweise von der Konkurrenz ausgenutzt werden könnten.

«In einer Filiale einer sehr grossen Bank konnte ich einfach hineinlaufen und kam unbehelligt bis in den Tresorraum.»

Klingt spannend. Was erlebt man so als bestellter Einbrecher?
Ich bin sein 15 Jahren Penetrationtester und habe ein paar wirklich, wirklich dumme Dinge gesehen. In einer Filiale einer sehr grossen Bank konnte ich einfach hineinlaufen und kam unbehelligt bis in den Tresorraum. Ich nahm das Geld und spazierte aus der Bank.

Echt jetzt?
Echt jetzt!

Das war aber nicht in der Schweiz?
(Zuckt mit den Schultern) Sie wären sehr, sehr erstaunt, wo solche Dinge überall passieren. 

Was sind die typischen Fehler von Firmen, die sich gegen Hacker schützen wollen?
Es scheitert oft schon an den elementaren Sicherheitsvorkehrungen: Schwache Passwörter, veraltete Software mit Sicherheitslücken und ungeschützter Zugang zum Firmengelände. Wenn ich weiss, dass ich problemlos in die Büros komme, verwanze ich die wichtigen Räume und höre die Konkurrenz einfach ab. Bei vielen Mitarbeitern hapert's auch beim Verständnis, welche Informationen öffentlich sind und welche auf keinen Fall nach Aussen dringen dürfen. Das grundlegende Problem ist: Die meisten Firmen konzentrieren sich auf den Schutz der kritischen Systeme und vernachlässigen dabei grundlegende Schutzvorkehrungen. Aufwändige Sicherheitslösungen können immer von irgendwem überlistet werden, wichtig wäre aber, dass man den Angreifer nicht einfach ins Gebäude laufen lässt.

Wie würden Sie watson hacken?
Ich würde zuerst nach Schwachstellen suchen. watson ist eine sehr junge Firma und Start-ups sind oft ziemlich leicht mit Geld manipulierbar. Ich könnte mich also als Kapitalgeber ausgeben, um euer Vertrauen zu gewinnen. Ich könnte mir auch eine gefälschte Identität als Journalist zulegen mit einem Profil, das möglichst gut zu watson passt – alles mit dem Ziel, so mit watson-Journalisten in Kontakt zu treten. Der direkte Weg wäre, an alle Mitarbeiter eine manipulierte E-Mail zu senden. Mindestens eine Person wird sie öffnen und mir so Zugang zum System geben.

Angenommen Sie möchten mein Smartphone oder meinen PC hacken. Wie gehen Sie vor?
Ich würde Ihnen eine preparierte E-Mail senden. Wenn Sie sie öffnen, installiert sich die Schadsoftware und ich habe Zugriff auf den Computer. Falls das nicht klappt, würde ich bei Ihnen einbrechen und zum Beispiel einen Trojaner auf dem PC installieren. Bei Ihrem Android-Smartphone könnte ich den Sperrbildschirm mit hoher Wahrscheinlichkeit innert zehn Sekunden umgehen, sofern ich es in der Hand hätte. Alles was ich dazu brauche, wäre ein Kabel, damit ich via ADB (Android Debug Bridge A.d.Red.) auf das Gerät zugreifen kann. Natürlich könnte ich auch eine Pistole an Ihren Kopf halten und Sie würden mir vermutlich alle Firmengeheimnisse ausplaudern.

Waffengewalt wird in den meisten Fällen nicht notwendig sein. Viele Internetnutzer pfeifen auf Sicherheit und sagen: Ich habe nichts zu verbergen, also muss ich meine E-Mails nicht verschlüsseln. Was antworten Sie auf solche Aussagen? 
Ich würde sagen: Wenn Du nichts zu verbergen hast, warum regst Du dich dann auf, dass die USA die ganze Welt ausspionieren? Ich denke, jeder hat etwas zu verbergen. Jeder will seine Privatsphäre. Und jeder wäre geschockt, wenn er realisiert, dass jemand sein Schlafzimmer ausspioniert.

An der Hacker-Konferenz Area41 in Zürich tauschen sich rund 350 Hacker, Sicherheitsexperten und Informatikstudenten aus. Bild: watson



Sind Firmen heute mehr um ihre Firmengeheimnisse besorgt als vor fünf oder zehn Jahren?
Ja. Das Wachstum der Sicherheitsbranche ist der beste Beweis dafür. Die Firmen haben gelernt, dass Medienberichte über Hackerangriffe und Datenklau schlecht fürs Image sind. Niemand will heute dumm dastehen, wenn er ein Datenleck zugeben muss. Ein sicheres Image ist extrem wichtig. Das ist doch der Grund, warum ich lieber ein Bankkonto in der Schweiz als in Nicaragua möchte.

Kümmern sich Firmen seit der NSA-Affäre mehr um ihre Daten?
Die Medienberichterstattung hat das Thema Datensicherheit auf die Agenda gebracht. Die Firmen geben mehr Geld aus für Sicherheit, aber Sicherheit kann man nicht einfach wie eine Flasche Wasser kaufen. Nur weil man sich einen Helm aufsetzt, ist man nicht unverwundbar. Unsere Kunden wissen im Normalfall, dass sie ausspioniert werden und dies auch nicht vollständig stoppen können.

«Ich wette jeden Dollar, den ich besitze, dass ich Ihnen beibringen könnte, wie Sie in ein Atomkraftwerk einbrechen.»

In der Schweiz fürchtet man sich vor Hacker-Angriffen auf Atomkraftwerke oder die Wasserversogung. Könnten Terroristen ein Atomkraftwerk hacken?
Wir haben dies selbst getan. Wir sind mehrfach physisch in Atomkraftwerke eingebrochen und hatten Zugriff auf die Computersysteme. Wir konnten bei diesen Sicherheitstest beweisen, dass kriminelle Hacker die Systeme in einem AKW manipulieren könnten. Bei simulierten Einbrüchen tragen alle Teammitglieder Streaming-Kameras auf sich, damit die Auftraggeber den Ablauf live verfolgen können.

Könnten Sie auch ein Schweizer Atomkraftwerk hacken?
Das ist in jedem Land möglich. Einrichtungen mit Computer-Infrastruktur sind immer angreifbar. Es gibt Personal, das auf die Systeme Zugriff hat, also gibt es auch Wege für Hacker.

Klingt vage. Wie schwierig ist es wirklich, ein Atomkraftwerk zu hacken?
Ich wette jeden Dollar, den ich besitze, dass ich Ihnen beibringen könnte, wie Sie in ein Atomkraftwerk einbrechen. Sie könnten das in einer Woche lernen.

OK. Kann ich das AKW allein hacken oder brauche ich ein Team?
Das ist davon abhängig, wie gut die Einrichtung geschützt ist. Weltweit gibt es Atomkraftwerke, die nicht mal mit einem Zaun geschützt sind, andere haben zehn Zäune und bewaffnete Sicherheitsleute. Ob Sie allein arbeiten oder im Team, ist bei jedem Job unterschiedlich. Ein Beispiel: Erwartet das AKW nur einen Sicherheitsinspektor, sollten Sie auch allein auftauchen und sich mit einem gefälschten Ausweis als Sicherheitsinspektor ausweisen können. Möglicherweise braucht das AKW aber neue Hardware. Dann erwarten sie vermutlich ein Team, das die Anlage montieren kommt.

«Wir haben schon eine Boeing 777 gestohlen.»

Was könnten Sie mir sonst noch beibringen, was ich hacken könnte?
Wir haben Flugzeuge gestohlen wie die Boeing 777. Wir sind in Flugkontrollsysteme und Kläranlagen eingedrungen. Kürzlich haben wir gezeigt, wie man Morphinabgabe-Maschinen in Spitälern so manipulieren kann, dass sie alle angeschlossenen Patienten umbringen würden. Ein Hacker könnte in die Morphium-Anlage ein Software-Update einspielen, das die Abgabemenge von einem Deziliter auf einen Liter hochsetzt ...

Sollten wir beunruhigt sein?
Ja, wir sollten beunruhigt sein. Ich sage nicht, dass wir jetzt in Panik geraten und überreagieren sollten. Wir sollten die Bedrohungen durch Online-Attacken analysieren und prüfen, inwiefern wir gegen unerschiedliche Angriffsarten verwundbar sind. 2001 hatten wir in den USA Krisenszenarios für Erdbeben, Waldbrände etc. Wir hatten aber nicht auf der Rechnung, dass jemand ein Flugzeug in einen Wolkenkratzer steuert. Cyber-Terrorismus beschert mir keine schlaflosen Nächte, trotzdem sollten wir diese Bedrohung auf unseren Radar nehmen, um bei einer potenziellen Katastrophe vorbereitet zu sein.

Ich vermute, Sie kennen das Buch «Blackout». Wie realistisch ist es, dass Hacker ganz Europa den Strom abschalten?
Das ist sehr realistisch. Das schlimme ist, die Terroristen im Buch machen es sich viel schwerer, als es eigentlich ist.

Wenn das so einfach wäre, hätte uns doch schon längst jemand den Strom abgestellt.
Gab es in den letzten Jahren keine Stromausfälle?

Ein paar wenige.
Woher wissen Sie, dass es kein Hacker war?

Abonniere unseren Daily Newsletter

9
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
9Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • G. 17.08.2016 23:45
    Highlight Endlich mal einer der ein bisschen Ahnung vom ganzen Schlamassel zu haben scheint.

    Ich bin jetzt wieder beruhigter als auch schon.

    28 0 Melden
  • C0BR4.cH 23.09.2015 08:53
    Highlight Super Interview Oli! Danke : )
    Spannender Job : D
    65 0 Melden
  • jdd2405 05.06.2014 15:20
    Highlight Sagt er das nur, weil er mit Angst Geld verdient, oder sagt er die Wahrheit? Wenn das wahr ist, dann mach ich mir grosse Sorgen um die immer mehr digitalisierte und vernetzte Welt.
    46 3 Melden
    • Tux 06.06.2014 08:31
      Highlight Vor etwa 12 Jahren hatte ich eine Firma welche genau dies tat. Wir machten genau dasselbe...
      Aus privaten Gründen musste ich damals aufhören - aber ich kann jedes Wort was hier steht nur dick unterstreichen...
      Es ist oft sogar noch weitaus schlimmer. Eines der kleinen Themen die uns im täglichen Leben angeht ist zB WhatsUp - trotz einem Hype wird dieses immer noch gerne benutzt - und die Adressen und Informationen werden fröhlich ausgelesen.... und einer meiner Kolleginnen wundert sich, dass Facebook ihr 3 Monate altes Baby bereist locker identifizieren kann, obwohl dies noch NIE auf FB erschienen ist - aber 1000 mal durch WahtsUp lief... und als dann endlich ein Foto bei FB hochkam,. machte FB sofort den richtigen Vorschlag für den Namen.... eine kleine Geschichte - aber tragisch genug....
      Wir dürfen den Computern nicht trauen, nur weil sie in unserem geschützten Raum stehen - das unsichtbare Kabel (WiFi) ist ungesichert mit der Aussenwelt verbunden...
      46 10 Melden
  • Adonis 05.06.2014 13:40
    Highlight Toller Typ. Frage: Warum fragt man nicht einfach einen Einbrecher wieviel er beim Einbruch gerne "verdienen" möchte, (die verursachen ja oft riesige Schäden), zahlt ihn aus und die Deliktsumme bezahlt die Versicherung. Bedingung: Er darf sich im Leben nur einmal für einen Einbruch bewerben:-)
    9 16 Melden
  • SwissGronkh 05.06.2014 12:56
    Highlight Watch_Dog in Reallife. ;)
    31 0 Melden
    • _stefanzweifel 05.06.2014 14:34
      Highlight Ging mir auch durch den Kopf :)
      5 1 Melden

«Wir sind die grössten Loser – wenn das BGE mit uns klappt, dann klappt es überall»

Im Zuge eines Experiments darf der Finne Juha Jarvinen zwei Jahre von einem Bedingungslosen Grundeinkommen (BGE) leben. Nach nur einem halben Jahr geht er bereits seinem Traumjob nach – und arbeitet mehr als zuvor.

Bereits im Januar haben wir mit Juha Jarvinen gesprochen. Damals steckten seine Projekte noch in den Kinderschuhen. Das Intverview findest du hier:

Herr Jarvinen, wie geht es Ihnen?Ausgezeichnet, ich komme gerade vom Blaubeeren pflücken. Die haben hier Saison. 

Sie erhalten seit über einem halben Jahr ein Bedingungsloses Grundeinkommen. Im Januar waren Sie voller Tatendrang und hatten diverse Projekte im Kopf. Was hat sich seither getan?Das Bedingungslose Grundeinkommen hat es mir …

Artikel lesen