Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Chris Nickerson versucht in Firmen einzubrechen – im Auftrag der Firmen. Bild: watson

Hacker Chris Nickerson

Interview

«Ich bin schon in mehrere Atomkraftwerke eingebrochen»

Bezahlte Profihacker testen Firmen, Bundeseinrichtungen oder Atomkraftwerke auf Sicherheitslücken. Hacker Chris Nickerson weiss, wie man in ein AKW einbricht, eine Boeing 777 stiehlt und warum Spitäler vor Cyberattacken geschützt werden müssen.



Chris Nickerson, wie kommt man auf die Idee, professioneller Hacker zu werden?
Chris Nickerson: Als ich etwa zwölf Jahre alt war, schlossen meine Eltern den Computer in ihrem Zimmer ein, da sie nicht wollten, dass ich ihn nutze und kaputt mache. Ich musste also lernen, wie man das Schloss knackt und den PC wieder repariert, wenn ich etwas beschädigt hatte. 

Heute sind Sie Chef eines Sicherheitsunternehmens und werden von grossen Firmen dafür bezahlt, dass Sie bei ihnen einbrechen. 
Stimmt. Im Fachjargon sprechen wir von Penetrationtests. Wir geben uns im Auftrag unserer Kunden als kriminelle Hacker aus, und versuchen in das Unternehmen einzubrechen. Dabei simulieren wir physische und elektronische Einbrüche. Wir sammeln Informationen über den Konzern, suchen nach Sicherheitslücken oder senden Mitarbeitern infizierte E-Mails, um Zugriff auf den PC und das Firmennetzwerk zu erhalten. Braucht es physischen Zugriff, verkleiden wir uns zum Beispiel als Sicherheitspersonal, um auf das Firmengelände zu gelangen. Nach dem simulierten Angriff informieren wir unsere Kunden über gefundene Schwachstellen, die beispielsweise von der Konkurrenz ausgenutzt werden könnten.

«In einer Filiale einer sehr grossen Bank konnte ich einfach hineinlaufen und kam unbehelligt bis in den Tresorraum.»

Klingt spannend. Was erlebt man so als bestellter Einbrecher?
Ich bin sein 15 Jahren Penetrationtester und habe ein paar wirklich, wirklich dumme Dinge gesehen. In einer Filiale einer sehr grossen Bank konnte ich einfach hineinlaufen und kam unbehelligt bis in den Tresorraum. Ich nahm das Geld und spazierte aus der Bank.

Echt jetzt?
Echt jetzt!

Das war aber nicht in der Schweiz?
(Zuckt mit den Schultern) Sie wären sehr, sehr erstaunt, wo solche Dinge überall passieren. 

Was sind die typischen Fehler von Firmen, die sich gegen Hacker schützen wollen?
Es scheitert oft schon an den elementaren Sicherheitsvorkehrungen: Schwache Passwörter, veraltete Software mit Sicherheitslücken und ungeschützter Zugang zum Firmengelände. Wenn ich weiss, dass ich problemlos in die Büros komme, verwanze ich die wichtigen Räume und höre die Konkurrenz einfach ab. Bei vielen Mitarbeitern hapert's auch beim Verständnis, welche Informationen öffentlich sind und welche auf keinen Fall nach Aussen dringen dürfen. Das grundlegende Problem ist: Die meisten Firmen konzentrieren sich auf den Schutz der kritischen Systeme und vernachlässigen dabei grundlegende Schutzvorkehrungen. Aufwändige Sicherheitslösungen können immer von irgendwem überlistet werden, wichtig wäre aber, dass man den Angreifer nicht einfach ins Gebäude laufen lässt.

Wie würden Sie watson hacken?
Ich würde zuerst nach Schwachstellen suchen. watson ist eine sehr junge Firma und Start-ups sind oft ziemlich leicht mit Geld manipulierbar. Ich könnte mich also als Kapitalgeber ausgeben, um euer Vertrauen zu gewinnen. Ich könnte mir auch eine gefälschte Identität als Journalist zulegen mit einem Profil, das möglichst gut zu watson passt – alles mit dem Ziel, so mit watson-Journalisten in Kontakt zu treten. Der direkte Weg wäre, an alle Mitarbeiter eine manipulierte E-Mail zu senden. Mindestens eine Person wird sie öffnen und mir so Zugang zum System geben.

Angenommen Sie möchten mein Smartphone oder meinen PC hacken. Wie gehen Sie vor?
Ich würde Ihnen eine preparierte E-Mail senden. Wenn Sie sie öffnen, installiert sich die Schadsoftware und ich habe Zugriff auf den Computer. Falls das nicht klappt, würde ich bei Ihnen einbrechen und zum Beispiel einen Trojaner auf dem PC installieren. Bei Ihrem Android-Smartphone könnte ich den Sperrbildschirm mit hoher Wahrscheinlichkeit innert zehn Sekunden umgehen, sofern ich es in der Hand hätte. Alles was ich dazu brauche, wäre ein Kabel, damit ich via ADB (Android Debug Bridge A.d.Red.) auf das Gerät zugreifen kann. Natürlich könnte ich auch eine Pistole an Ihren Kopf halten und Sie würden mir vermutlich alle Firmengeheimnisse ausplaudern.

Waffengewalt wird in den meisten Fällen nicht notwendig sein. Viele Internetnutzer pfeifen auf Sicherheit und sagen: Ich habe nichts zu verbergen, also muss ich meine E-Mails nicht verschlüsseln. Was antworten Sie auf solche Aussagen? 
Ich würde sagen: Wenn Du nichts zu verbergen hast, warum regst Du dich dann auf, dass die USA die ganze Welt ausspionieren? Ich denke, jeder hat etwas zu verbergen. Jeder will seine Privatsphäre. Und jeder wäre geschockt, wenn er realisiert, dass jemand sein Schlafzimmer ausspioniert.

Bild

An der Hacker-Konferenz Area41 in Zürich tauschen sich rund 350 Hacker, Sicherheitsexperten und Informatikstudenten aus. Bild: watson

Sind Firmen heute mehr um ihre Firmengeheimnisse besorgt als vor fünf oder zehn Jahren?
Ja. Das Wachstum der Sicherheitsbranche ist der beste Beweis dafür. Die Firmen haben gelernt, dass Medienberichte über Hackerangriffe und Datenklau schlecht fürs Image sind. Niemand will heute dumm dastehen, wenn er ein Datenleck zugeben muss. Ein sicheres Image ist extrem wichtig. Das ist doch der Grund, warum ich lieber ein Bankkonto in der Schweiz als in Nicaragua möchte.

Kümmern sich Firmen seit der NSA-Affäre mehr um ihre Daten?
Die Medienberichterstattung hat das Thema Datensicherheit auf die Agenda gebracht. Die Firmen geben mehr Geld aus für Sicherheit, aber Sicherheit kann man nicht einfach wie eine Flasche Wasser kaufen. Nur weil man sich einen Helm aufsetzt, ist man nicht unverwundbar. Unsere Kunden wissen im Normalfall, dass sie ausspioniert werden und dies auch nicht vollständig stoppen können.

«Ich wette jeden Dollar, den ich besitze, dass ich Ihnen beibringen könnte, wie Sie in ein Atomkraftwerk einbrechen.»

In der Schweiz fürchtet man sich vor Hacker-Angriffen auf Atomkraftwerke oder die Wasserversogung. Könnten Terroristen ein Atomkraftwerk hacken?
Wir haben dies selbst getan. Wir sind mehrfach physisch in Atomkraftwerke eingebrochen und hatten Zugriff auf die Computersysteme. Wir konnten bei diesen Sicherheitstest beweisen, dass kriminelle Hacker die Systeme in einem AKW manipulieren könnten. Bei simulierten Einbrüchen tragen alle Teammitglieder Streaming-Kameras auf sich, damit die Auftraggeber den Ablauf live verfolgen können.

Könnten Sie auch ein Schweizer Atomkraftwerk hacken?
Das ist in jedem Land möglich. Einrichtungen mit Computer-Infrastruktur sind immer angreifbar. Es gibt Personal, das auf die Systeme Zugriff hat, also gibt es auch Wege für Hacker.

Klingt vage. Wie schwierig ist es wirklich, ein Atomkraftwerk zu hacken?
Ich wette jeden Dollar, den ich besitze, dass ich Ihnen beibringen könnte, wie Sie in ein Atomkraftwerk einbrechen. Sie könnten das in einer Woche lernen.

OK. Kann ich das AKW allein hacken oder brauche ich ein Team?
Das ist davon abhängig, wie gut die Einrichtung geschützt ist. Weltweit gibt es Atomkraftwerke, die nicht mal mit einem Zaun geschützt sind, andere haben zehn Zäune und bewaffnete Sicherheitsleute. Ob Sie allein arbeiten oder im Team, ist bei jedem Job unterschiedlich. Ein Beispiel: Erwartet das AKW nur einen Sicherheitsinspektor, sollten Sie auch allein auftauchen und sich mit einem gefälschten Ausweis als Sicherheitsinspektor ausweisen können. Möglicherweise braucht das AKW aber neue Hardware. Dann erwarten sie vermutlich ein Team, das die Anlage montieren kommt.

«Wir haben schon eine Boeing 777 gestohlen.»

Was könnten Sie mir sonst noch beibringen, was ich hacken könnte?
Wir haben Flugzeuge gestohlen wie die Boeing 777. Wir sind in Flugkontrollsysteme und Kläranlagen eingedrungen. Kürzlich haben wir gezeigt, wie man Morphinabgabe-Maschinen in Spitälern so manipulieren kann, dass sie alle angeschlossenen Patienten umbringen würden. Ein Hacker könnte in die Morphium-Anlage ein Software-Update einspielen, das die Abgabemenge von einem Deziliter auf einen Liter hochsetzt ...

Sollten wir beunruhigt sein?
Ja, wir sollten beunruhigt sein. Ich sage nicht, dass wir jetzt in Panik geraten und überreagieren sollten. Wir sollten die Bedrohungen durch Online-Attacken analysieren und prüfen, inwiefern wir gegen unerschiedliche Angriffsarten verwundbar sind. 2001 hatten wir in den USA Krisenszenarios für Erdbeben, Waldbrände etc. Wir hatten aber nicht auf der Rechnung, dass jemand ein Flugzeug in einen Wolkenkratzer steuert. Cyber-Terrorismus beschert mir keine schlaflosen Nächte, trotzdem sollten wir diese Bedrohung auf unseren Radar nehmen, um bei einer potenziellen Katastrophe vorbereitet zu sein.

Ich vermute, Sie kennen das Buch «Blackout». Wie realistisch ist es, dass Hacker ganz Europa den Strom abschalten?
Das ist sehr realistisch. Das schlimme ist, die Terroristen im Buch machen es sich viel schwerer, als es eigentlich ist.

Wenn das so einfach wäre, hätte uns doch schon längst jemand den Strom abgestellt.
Gab es in den letzten Jahren keine Stromausfälle?

Ein paar wenige.
Woher wissen Sie, dass es kein Hacker war?

Das könnte dich auch interessieren:

Haaland-Mania – und sonst? Wer beim Dortmund-Sieg gegen PSG alles auffiel

Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

Link zum Artikel

Kehrt Arno Del Curto rechtzeitig heim und ist es Kloten zu wohl in der Swiss League?

Link zum Artikel

«Black Mirror» in Utrecht – so sieht die Vision eines «gesunden Wohnviertels» aus

Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

Link zum Artikel

«Nazis raus» – die grossartige Fan-Reaktion gegen einen Rassisten im Stadion

Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

Link zum Artikel

Mirage-Skandal lässt grüssen: 5 Dinge, die du zu einer möglichen Crypto-PUK wissen musst

Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

Link zum Artikel

15-Jähriger greift Schwule vor Zürcher Gay-Club an – das hat Folgen für die Justiz

Link zum Artikel

Massive Störungen bei Swisscom ++ Notrufnummern ausgefallen ++ Panne auch in Deutschland

Link zum Artikel

«Etwas pendeln»: Was der Bundesrat im Kampf gegen die SVP besser machen muss

Link zum Artikel

Sander-Sieg, Biden-Frust, Trump-Wut: Alles zur Vorwahl in New Hampshire

Link zum Artikel

Ohne die Fehler der Initianten hätte es die Wohnbau-Vorlage (wohl) geschafft

Link zum Artikel

Schweizer Skifest in Chamonix! Loic Meillard gewinnt vor Thomas Tumler

Link zum Artikel

Ein (sonniges) Trump-Foto erhitzt die Gemüter – aber ist es auch echt? 🙈

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Haaland-Mania – und sonst? Wer beim Dortmund-Sieg gegen PSG alles auffiel

32
Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

10
Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

27
Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

79
Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

48
Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

115
Link zum Artikel

Kehrt Arno Del Curto rechtzeitig heim und ist es Kloten zu wohl in der Swiss League?

32
Link zum Artikel

«Black Mirror» in Utrecht – so sieht die Vision eines «gesunden Wohnviertels» aus

73
Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

130
Link zum Artikel

«Nazis raus» – die grossartige Fan-Reaktion gegen einen Rassisten im Stadion

65
Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

228
Link zum Artikel

Mirage-Skandal lässt grüssen: 5 Dinge, die du zu einer möglichen Crypto-PUK wissen musst

53
Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

11
Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

118
Link zum Artikel

15-Jähriger greift Schwule vor Zürcher Gay-Club an – das hat Folgen für die Justiz

380
Link zum Artikel

Massive Störungen bei Swisscom ++ Notrufnummern ausgefallen ++ Panne auch in Deutschland

148
Link zum Artikel

«Etwas pendeln»: Was der Bundesrat im Kampf gegen die SVP besser machen muss

146
Link zum Artikel

Sander-Sieg, Biden-Frust, Trump-Wut: Alles zur Vorwahl in New Hampshire

138
Link zum Artikel

Ohne die Fehler der Initianten hätte es die Wohnbau-Vorlage (wohl) geschafft

143
Link zum Artikel

Schweizer Skifest in Chamonix! Loic Meillard gewinnt vor Thomas Tumler

12
Link zum Artikel

Ein (sonniges) Trump-Foto erhitzt die Gemüter – aber ist es auch echt? 🙈

153
Link zum Artikel

Das könnte dich auch interessieren:

Haaland-Mania – und sonst? Wer beim Dortmund-Sieg gegen PSG alles auffiel

32
Link zum Artikel

Waadtländer wird von falscher Geliebter abgezockt – und zwar so richtig

10
Link zum Artikel

Schweizer Zahnärzte haben ein Hygiene-Problem – und niemand tut etwas dagegen

27
Link zum Artikel

Bill Gates hat sein erstes Elektroauto gekauft – jetzt rate, was für eins! 🙈

79
Link zum Artikel

«Der Drogenkonsum war nicht das Schlimmste» – Jasmin über ihr Leben bei süchtigen Eltern

48
Link zum Artikel

An dieser Monsterschlange mussten Skifahrer anstehen, um auf den Lift zu kommen 😨

115
Link zum Artikel

Kehrt Arno Del Curto rechtzeitig heim und ist es Kloten zu wohl in der Swiss League?

32
Link zum Artikel

«Black Mirror» in Utrecht – so sieht die Vision eines «gesunden Wohnviertels» aus

73
Link zum Artikel

«Obwohl ich ihn heiraten will, kriege ich jetzt Panik …»

130
Link zum Artikel

«Nazis raus» – die grossartige Fan-Reaktion gegen einen Rassisten im Stadion

65
Link zum Artikel

«Natürlich hatte ich schon mit Piloten Sex»: Eine Swiss-Stewardess erzählt

228
Link zum Artikel

Mirage-Skandal lässt grüssen: 5 Dinge, die du zu einer möglichen Crypto-PUK wissen musst

53
Link zum Artikel

Du kannst mit dem letzten Penalty alles klar machen … UND DANN SCHIESST DU SO?!

11
Link zum Artikel

Du willst Polizist werden? Dann musst du zuerst dieses Deutsch-Diktat meistern

118
Link zum Artikel

15-Jähriger greift Schwule vor Zürcher Gay-Club an – das hat Folgen für die Justiz

380
Link zum Artikel

Massive Störungen bei Swisscom ++ Notrufnummern ausgefallen ++ Panne auch in Deutschland

148
Link zum Artikel

«Etwas pendeln»: Was der Bundesrat im Kampf gegen die SVP besser machen muss

146
Link zum Artikel

Sander-Sieg, Biden-Frust, Trump-Wut: Alles zur Vorwahl in New Hampshire

138
Link zum Artikel

Ohne die Fehler der Initianten hätte es die Wohnbau-Vorlage (wohl) geschafft

143
Link zum Artikel

Schweizer Skifest in Chamonix! Loic Meillard gewinnt vor Thomas Tumler

12
Link zum Artikel

Ein (sonniges) Trump-Foto erhitzt die Gemüter – aber ist es auch echt? 🙈

153
Link zum Artikel

Abonniere unseren Newsletter

7
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • G. 17.08.2016 23:45
    Highlight Highlight Endlich mal einer der ein bisschen Ahnung vom ganzen Schlamassel zu haben scheint.

    Ich bin jetzt wieder beruhigter als auch schon.

  • C0BR4.cH 23.09.2015 08:53
    Highlight Highlight Super Interview Oli! Danke : )
    Spannender Job : D
  • jdd2405 05.06.2014 15:20
    Highlight Highlight Sagt er das nur, weil er mit Angst Geld verdient, oder sagt er die Wahrheit? Wenn das wahr ist, dann mach ich mir grosse Sorgen um die immer mehr digitalisierte und vernetzte Welt.
    • Tux 06.06.2014 08:31
      Highlight Highlight Vor etwa 12 Jahren hatte ich eine Firma welche genau dies tat. Wir machten genau dasselbe...
      Aus privaten Gründen musste ich damals aufhören - aber ich kann jedes Wort was hier steht nur dick unterstreichen...
      Es ist oft sogar noch weitaus schlimmer. Eines der kleinen Themen die uns im täglichen Leben angeht ist zB WhatsUp - trotz einem Hype wird dieses immer noch gerne benutzt - und die Adressen und Informationen werden fröhlich ausgelesen.... und einer meiner Kolleginnen wundert sich, dass Facebook ihr 3 Monate altes Baby bereist locker identifizieren kann, obwohl dies noch NIE auf FB erschienen ist - aber 1000 mal durch WahtsUp lief... und als dann endlich ein Foto bei FB hochkam,. machte FB sofort den richtigen Vorschlag für den Namen.... eine kleine Geschichte - aber tragisch genug....
      Wir dürfen den Computern nicht trauen, nur weil sie in unserem geschützten Raum stehen - das unsichtbare Kabel (WiFi) ist ungesichert mit der Aussenwelt verbunden...
  • Adonis 05.06.2014 13:40
    Highlight Highlight Toller Typ. Frage: Warum fragt man nicht einfach einen Einbrecher wieviel er beim Einbruch gerne "verdienen" möchte, (die verursachen ja oft riesige Schäden), zahlt ihn aus und die Deliktsumme bezahlt die Versicherung. Bedingung: Er darf sich im Leben nur einmal für einen Einbruch bewerben:-)
  • SwissGronkh 05.06.2014 12:56
    Highlight Highlight Watch_Dog in Reallife. ;)
    • _stefanzweifel 05.06.2014 14:34
      Highlight Highlight Ging mir auch durch den Kopf :)

Interview

Was ein Statistik-Professor über lügnerische Zahlen und falsche Ängste zu sagen hat

Walter Krämer erzählt, wie mit fragwürdigen Studien Panik gemacht wird, während wir uns eigentlich vor ganz anderen Dingen fürchten sollten.

Herr Krämer, Sie sind Professor für Wirtschafts- und Sozialstatistik und entlarven als solcher gern zwielichtige Datenanalysen. Haben Sie derzeit eine Lieblingsstatistik? Walter Krämer: Ja. Das ist die Tabelle der Fussball-Bundesliga. Ich wohne direkt neben dem BVB-Stadion und bin seit mehr als einem Dutzend Jahren BVB-Aktionär.

Sie haben die Deutschen mal als «Volk von Innummeraten» (Zahlen-Analphabeten) bezeichnet und ihre bedauerliche Schwäche Goethe, dem dichtenden …

Artikel lesen
Link zum Artikel