Internet Studieren in der Grauzone

Die besten Hacker der Welt sind Aachener Studenten. Systeme knacken sie im Seminar und setzten dabei auf Ethik statt kriminelle Energie

„Wer ein richtig guter Hacker sein will, muss vor allem eines wissen: wie Computersysteme eigentlich funktionieren - und warum und wie sie manchmal zerstört werden können. So ein Job erfordert Fingerspitzengefühl!“

Bedächtig erklärt Alexis Pimenidis, Informatik-Doktorand an der RWTH Aachen, die Grundregel der Lehre von der IT-Sicherheit. Als Hacker bewege man sich ständig in einer Grauzone zwischen legal und illegal. „Es gibt zahllose Unis, die etwas über das Hacken erzählen“, sagt der 30-Jährige. Doch meist kämen praktische Übungen dabei zu kurz. Vor fünf Jahren sah es auch an der RWTH noch ähnlich aus. Heute dagegen wird angehenden Informatikern zweierlei Strategien beigebracht: Zum einen die defensive Methode, um das eigene System gegen Angriffe von außen zu schützen, zum Beispiel gegen Würmer und Passwortknacker. Zum anderen die offensive Vorgehensweise. Dabei lernen die Studenten, wie ein Hacker denkt und vorgeht.

Die Technische Hochschule Aachen und die Technische Universität Darmstadt zählen zu den wenigen deutschen Instituten, an denen Studenten das Hacken lernen können. Dennoch sind die Job-Aussichten für professionelle Systemknacker schlecht: „Da muss man schon ziemlich genial sein“, sagt Pimenidis. Dass seine Studenten einiges draufhaben, haben sie im vergangenen halben Jahr eindrucksvoll unter Beweis gestellt. Im Dezember gewann eine Gruppe von ihnen den weltweit größten Hackerwettbewerb, den „Capture The Flag Contest", der jedes Jahr von der kalifornischen Universität in Santa Barbara organisiert wird. 21 gegnerische Teams konnte die Aachener Mannschaft schlagen und ihnen geheime Informationen, die „flags“, rauben.

Im Juli setzten sich die Aachener beim ebenfalls internationalen „Cipher“-Wettbewerb durch. Die deutschen Unis gaben dabei insgesamt ein gutes Bild ab: Auch Studenten aus Bochum und Darmstadt landeten unter den ersten vier. Bei diesen Wettkämpfen müssen die Gruppen ihren eigenen Server schützen, aber gleichzeitig versuchen, in die der anderen Uni-Teams einzudringen. Die gefährliche Bastelei findet allerdings nicht im Internet statt, sondern in einem speziell abgesicherten, virtuellen privaten Netz. In dieser Situation müssen die Nachwuchs-Computerspezialisten praktische Problemen bewältigen - Bücherwissen allein hilft ihnen dabei nicht weiter.

Ist es nicht gefährlich, sich so gute Hacker heranzuzüchten? Pimenidis sieht darin jedoch keine Gefahr - schließlich nähmen ja an den entsprechenden Seminaren wie dem „Hacker-Praktikum“ nur wenige Studenten teil, und meist handele es sich dabei um höhere Semester. „Die Jungs kenne ich dann über die Jahre ganz gut. Dass die ihr Wissen für kriminelle Zwecke missbrauchen, glaube ich nicht“, sagt Pimenidis. „Klar, ich kann mir schon vorstellen, dass die mal außerhalb der Uni eine Webseite hacken, aber Schaden wollen sie keinen anrichten. Das ist einfach natürlicher Spieltrieb“, sagt er lächelnd.

Die Verlockungen im Netz sind groß, weiß der Informatik-Experte. „Manche Homepagebetreiber, vor allem die privaten, machen es einem wirklich nicht schwer. Es gibt immer wieder gravierende Sicherheitslücken, die Leute machen immer wieder die gleichen Fehler.“ Nicht mal seinem eigenen PC traut Pimenidis wirklich. Den perfekten Programmierer gebe es eben nicht.

Für einige Studenten ist das Aufspüren von Sicherheitslücken in Netzwerksystemen, schon längst keine reine Spielerei mehr. Schon vor zwei Jahren haben sich acht Informatik-Studenten aus Aachen mit einer eigenen Firma selbstständig gemacht und bieten die Hackerei ganz legal an. „Ethical Hacking“ wird so etwas auch genannt - also Hacken mit guten Absichten. Wer genau zu ihren Kunden gehört, wollen sie nicht publik machen. Aber Claus Overbeck, einer der Gründer von „RedTeam Pentesting“, gibt ein Beispiel: „Wir testen beispielsweise die Software für Online-Banking, bevor das Unternehmen sie an den Kunden weitergibt.“

Der 26-Jährige hat bereits im Alter von zwölf Jahren mit dem Programmieren angefangen. Doch vom unerlaubten Hacken hält Overbeck nicht viel, denn mit der Firma hat er jetzt einen Ruf zu verlieren. „Da achten wir schon sehr drauf, schließlich gewähren uns ja die Firmen Zugang zu vertraulichen Daten und erlauben uns, in ihren intimsten Systemen herumzuwühlen. Da haben wir sowieso genug zum Rumspielen“, sagt Overbeck und grinst. Manchmal bekomme "RedTeam Pentesting" aber auch Angebote, die es ablehnen müsse. „Da fragen Firmen schon mal an, ob wir uns nicht mal in die Konkurrenz einhacken könnten, quasi spionieren“, erzählt Overbeck. Aber das würden die Jungunternehmer ablehnen.

Die Computer-Freaks aus Aachen setzen auf freien Informationsaustausch. Regelmäßig treffen sie sich mit Mitgliedern des Chaos Computer Clubs (CCC), des wohl bekanntesten Hackerforums der Szene, um Vorträge zu halten und ihr Uni-Wissen weiterzugeben. Mit einer Versammlung von langhaarigen Bastlern, die ihre Tage in abgedunkelten Räumen verbringen und sich nur von Cola und Pizza ernähren, haben diese Runden laut Overbeck nichts zu tun. Die Hacker von heute seien ganz normale Leute, versichert er. "Das sind Menschen wie du und ich."

Campus - Das Studentenmagazin auf ZEIT online »