Digital
Interview

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

Chris Nickerson versucht in Firmen einzubrechen – im Auftrag der Firmen.
Chris Nickerson versucht in Firmen einzubrechen – im Auftrag der Firmen.Bild: watson
Hacker Chris Nickerson

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

Bezahlte Profihacker testen Firmen, Bundeseinrichtungen oder Atomkraftwerke auf Sicherheitslücken. Hacker Chris Nickerson weiss, wie man in ein AKW einbricht, eine Boeing 777 stiehlt und warum Spitäler vor Cyberattacken geschützt werden müssen.
04.06.2014, 18:0815.07.2014, 21:24
Mehr «Digital»

Chris Nickerson, wie kommt man auf die Idee, professioneller Hacker zu werden?
Chris Nickerson: Als ich etwa zwölf Jahre alt war, schlossen meine Eltern den Computer in ihrem Zimmer ein, da sie nicht wollten, dass ich ihn nutze und kaputt mache. Ich musste also lernen, wie man das Schloss knackt und den PC wieder repariert, wenn ich etwas beschädigt hatte. 

Heute sind Sie Chef eines Sicherheitsunternehmens und werden von grossen Firmen dafür bezahlt, dass Sie bei ihnen einbrechen. 
Stimmt. Im Fachjargon sprechen wir von Penetrationtests. Wir geben uns im Auftrag unserer Kunden als kriminelle Hacker aus, und versuchen in das Unternehmen einzubrechen. Dabei simulieren wir physische und elektronische Einbrüche. Wir sammeln Informationen über den Konzern, suchen nach Sicherheitslücken oder senden Mitarbeitern infizierte E-Mails, um Zugriff auf den PC und das Firmennetzwerk zu erhalten. Braucht es physischen Zugriff, verkleiden wir uns zum Beispiel als Sicherheitspersonal, um auf das Firmengelände zu gelangen. Nach dem simulierten Angriff informieren wir unsere Kunden über gefundene Schwachstellen, die beispielsweise von der Konkurrenz ausgenutzt werden könnten.

«In einer Filiale einer sehr grossen Bank konnte ich einfach hineinlaufen und kam unbehelligt bis in den Tresorraum.»

Klingt spannend. Was erlebt man so als bestellter Einbrecher?
Ich bin sein 15 Jahren Penetrationtester und habe ein paar wirklich, wirklich dumme Dinge gesehen. In einer Filiale einer sehr grossen Bank konnte ich einfach hineinlaufen und kam unbehelligt bis in den Tresorraum. Ich nahm das Geld und spazierte aus der Bank.

Echt jetzt?
Echt jetzt!

Das war aber nicht in der Schweiz?
(Zuckt mit den Schultern) Sie wären sehr, sehr erstaunt, wo solche Dinge überall passieren. 

Was sind die typischen Fehler von Firmen, die sich gegen Hacker schützen wollen?
Es scheitert oft schon an den elementaren Sicherheitsvorkehrungen: Schwache Passwörter, veraltete Software mit Sicherheitslücken und ungeschützter Zugang zum Firmengelände. Wenn ich weiss, dass ich problemlos in die Büros komme, verwanze ich die wichtigen Räume und höre die Konkurrenz einfach ab. Bei vielen Mitarbeitern hapert's auch beim Verständnis, welche Informationen öffentlich sind und welche auf keinen Fall nach Aussen dringen dürfen. Das grundlegende Problem ist: Die meisten Firmen konzentrieren sich auf den Schutz der kritischen Systeme und vernachlässigen dabei grundlegende Schutzvorkehrungen. Aufwändige Sicherheitslösungen können immer von irgendwem überlistet werden, wichtig wäre aber, dass man den Angreifer nicht einfach ins Gebäude laufen lässt.

Wie würden Sie watson hacken?
Ich würde zuerst nach Schwachstellen suchen. watson ist eine sehr junge Firma und Start-ups sind oft ziemlich leicht mit Geld manipulierbar. Ich könnte mich also als Kapitalgeber ausgeben, um euer Vertrauen zu gewinnen. Ich könnte mir auch eine gefälschte Identität als Journalist zulegen mit einem Profil, das möglichst gut zu watson passt – alles mit dem Ziel, so mit watson-Journalisten in Kontakt zu treten. Der direkte Weg wäre, an alle Mitarbeiter eine manipulierte E-Mail zu senden. Mindestens eine Person wird sie öffnen und mir so Zugang zum System geben.

Mehr zum Thema

Angenommen Sie möchten mein Smartphone oder meinen PC hacken. Wie gehen Sie vor?
Ich würde Ihnen eine preparierte E-Mail senden. Wenn Sie sie öffnen, installiert sich die Schadsoftware und ich habe Zugriff auf den Computer. Falls das nicht klappt, würde ich bei Ihnen einbrechen und zum Beispiel einen Trojaner auf dem PC installieren. Bei Ihrem Android-Smartphone könnte ich den Sperrbildschirm mit hoher Wahrscheinlichkeit innert zehn Sekunden umgehen, sofern ich es in der Hand hätte. Alles was ich dazu brauche, wäre ein Kabel, damit ich via ADB (Android Debug Bridge A.d.Red.) auf das Gerät zugreifen kann. Natürlich könnte ich auch eine Pistole an Ihren Kopf halten und Sie würden mir vermutlich alle Firmengeheimnisse ausplaudern.

Waffengewalt wird in den meisten Fällen nicht notwendig sein. Viele Internetnutzer pfeifen auf Sicherheit und sagen: Ich habe nichts zu verbergen, also muss ich meine E-Mails nicht verschlüsseln. Was antworten Sie auf solche Aussagen? 
Ich würde sagen: Wenn Du nichts zu verbergen hast, warum regst Du dich dann auf, dass die USA die ganze Welt ausspionieren? Ich denke, jeder hat etwas zu verbergen. Jeder will seine Privatsphäre. Und jeder wäre geschockt, wenn er realisiert, dass jemand sein Schlafzimmer ausspioniert.

An der Hacker-Konferenz Area41 in Zürich tauschen sich rund 350 Hacker, Sicherheitsexperten und Informatikstudenten aus.
An der Hacker-Konferenz Area41 in Zürich tauschen sich rund 350 Hacker, Sicherheitsexperten und Informatikstudenten aus.Bild: watson

Sind Firmen heute mehr um ihre Firmengeheimnisse besorgt als vor fünf oder zehn Jahren?
Ja. Das Wachstum der Sicherheitsbranche ist der beste Beweis dafür. Die Firmen haben gelernt, dass Medienberichte über Hackerangriffe und Datenklau schlecht fürs Image sind. Niemand will heute dumm dastehen, wenn er ein Datenleck zugeben muss. Ein sicheres Image ist extrem wichtig. Das ist doch der Grund, warum ich lieber ein Bankkonto in der Schweiz als in Nicaragua möchte.

Kümmern sich Firmen seit der NSA-Affäre mehr um ihre Daten?
Die Medienberichterstattung hat das Thema Datensicherheit auf die Agenda gebracht. Die Firmen geben mehr Geld aus für Sicherheit, aber Sicherheit kann man nicht einfach wie eine Flasche Wasser kaufen. Nur weil man sich einen Helm aufsetzt, ist man nicht unverwundbar. Unsere Kunden wissen im Normalfall, dass sie ausspioniert werden und dies auch nicht vollständig stoppen können.

«Ich wette jeden Dollar, den ich besitze, dass ich Ihnen beibringen könnte, wie Sie in ein Atomkraftwerk einbrechen.»

In der Schweiz fürchtet man sich vor Hacker-Angriffen auf Atomkraftwerke oder die Wasserversogung. Könnten Terroristen ein Atomkraftwerk hacken?
Wir haben dies selbst getan. Wir sind mehrfach physisch in Atomkraftwerke eingebrochen und hatten Zugriff auf die Computersysteme. Wir konnten bei diesen Sicherheitstest beweisen, dass kriminelle Hacker die Systeme in einem AKW manipulieren könnten. Bei simulierten Einbrüchen tragen alle Teammitglieder Streaming-Kameras auf sich, damit die Auftraggeber den Ablauf live verfolgen können.

Könnten Sie auch ein Schweizer Atomkraftwerk hacken?
Das ist in jedem Land möglich. Einrichtungen mit Computer-Infrastruktur sind immer angreifbar. Es gibt Personal, das auf die Systeme Zugriff hat, also gibt es auch Wege für Hacker.

Klingt vage. Wie schwierig ist es wirklich, ein Atomkraftwerk zu hacken?
Ich wette jeden Dollar, den ich besitze, dass ich Ihnen beibringen könnte, wie Sie in ein Atomkraftwerk einbrechen. Sie könnten das in einer Woche lernen.

OK. Kann ich das AKW allein hacken oder brauche ich ein Team?
Das ist davon abhängig, wie gut die Einrichtung geschützt ist. Weltweit gibt es Atomkraftwerke, die nicht mal mit einem Zaun geschützt sind, andere haben zehn Zäune und bewaffnete Sicherheitsleute. Ob Sie allein arbeiten oder im Team, ist bei jedem Job unterschiedlich. Ein Beispiel: Erwartet das AKW nur einen Sicherheitsinspektor, sollten Sie auch allein auftauchen und sich mit einem gefälschten Ausweis als Sicherheitsinspektor ausweisen können. Möglicherweise braucht das AKW aber neue Hardware. Dann erwarten sie vermutlich ein Team, das die Anlage montieren kommt.

«Wir haben schon eine Boeing 777 gestohlen.»

Was könnten Sie mir sonst noch beibringen, was ich hacken könnte?
Wir haben Flugzeuge gestohlen wie die Boeing 777. Wir sind in Flugkontrollsysteme und Kläranlagen eingedrungen. Kürzlich haben wir gezeigt, wie man Morphinabgabe-Maschinen in Spitälern so manipulieren kann, dass sie alle angeschlossenen Patienten umbringen würden. Ein Hacker könnte in die Morphium-Anlage ein Software-Update einspielen, das die Abgabemenge von einem Deziliter auf einen Liter hochsetzt ...

Sollten wir beunruhigt sein?
Ja, wir sollten beunruhigt sein. Ich sage nicht, dass wir jetzt in Panik geraten und überreagieren sollten. Wir sollten die Bedrohungen durch Online-Attacken analysieren und prüfen, inwiefern wir gegen unerschiedliche Angriffsarten verwundbar sind. 2001 hatten wir in den USA Krisenszenarios für Erdbeben, Waldbrände etc. Wir hatten aber nicht auf der Rechnung, dass jemand ein Flugzeug in einen Wolkenkratzer steuert. Cyber-Terrorismus beschert mir keine schlaflosen Nächte, trotzdem sollten wir diese Bedrohung auf unseren Radar nehmen, um bei einer potenziellen Katastrophe vorbereitet zu sein.

Mehr zum Thema

Ich vermute, Sie kennen das Buch «Blackout». Wie realistisch ist es, dass Hacker ganz Europa den Strom abschalten?
Das ist sehr realistisch. Das schlimme ist, die Terroristen im Buch machen es sich viel schwerer, als es eigentlich ist.

Wenn das so einfach wäre, hätte uns doch schon längst jemand den Strom abgestellt.
Gab es in den letzten Jahren keine Stromausfälle?

Ein paar wenige.
Woher wissen Sie, dass es kein Hacker war?

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
7 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
C0BR4.cH
23.09.2015 08:53registriert März 2015
Super Interview Oli! Danke : )
Spannender Job : D
830
Melden
Zum Kommentar
avatar
jdd2405
05.06.2014 15:20registriert Januar 2014
Sagt er das nur, weil er mit Angst Geld verdient, oder sagt er die Wahrheit? Wenn das wahr ist, dann mach ich mir grosse Sorgen um die immer mehr digitalisierte und vernetzte Welt.
614
Melden
Zum Kommentar
avatar
G.
17.08.2016 23:45registriert Dezember 2014
Endlich mal einer der ein bisschen Ahnung vom ganzen Schlamassel zu haben scheint.

Ich bin jetzt wieder beruhigter als auch schon.
390
Melden
Zum Kommentar
7
Warum Forscher vor diesem Garnelen-Jesus auf Facebook warnen
Mithilfe von KI-generierten Bildern erreichen Betrüger auf Facebook Hunderttausende Nutzerinnen und Nutzer. Dabei hilft ihnen der Facebook-Algorithmus.

Eine Jesusfigur, geformt aus Garnelen. Jesus mit dem Körper eines Krebses, wie er von anderen Krebsen angebetet wird. Diese und ähnliche KI-generierte Bilder überfluten gerade Facebook und bekommen oft Hunderttausende Likes.

Zur Story