"Wir trainieren nicht, wie man Angriffe macht. Wir bilden keine Hacker aus", beteuert Jörg Schneider von der TU Berlin. Als wissenschaftlicher Mitarbeiter eines Informatik-Lehrstuhls betreut er dort die Arbeitsgruppe Rechnersicherheit. Unter dem Namen "Enoflag" gewann sie im Dezember 2008 den renommierten internationalen IT-Sicherheitswettbewerb "Capture the Flag". Dabei galt es, unter hohem Zeitdruck die Sicherheitslücken im eigenen, von den Veranstaltern vorbereiteten, Netzwerk zu schließen und gleichzeitig die Lücken in den Netzen der konkurrierenden Studententeams für Angriffe auszunutzen. Doch trotz des Erfolgs ist Schneider vorsichtig geblieben. Er fürchtet den Vorwurf in der Öffentlichkeit, in solchen universitären Veranstaltungen könnten anrüchige oder gar illegale Hackermethoden unterrichtet werden.

Dabei herrscht in der Fachwelt Einigkeit darin, dass es zur Ausbildung von fitten IT-Sicherheitsexperten höchst sinnvoll ist, dass sie gelernt haben, sich in die Lage des Angreifers zu versetzen. "Das ist geradezu unverzichtbar. Sonst entsteht der Eindruck, dass die vorhandenen technischen Sicherheitsmittel ausreichen", sagt Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg. Der Professor für Informationssicherheit ist Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik. Seit Jahren beschäftigt er sich mit den Möglichkeiten digitaler Kriegsführung und sicherer Software-Entwicklung. "Mir ist das Ausbildungsziel wichtig, dass die Studenten unbekannte Lücken finden. Es wird nämlich kritisch, wenn Unternehmen Jahre lang ihre individuelle Software nutzen und deren Lücken nicht kennen."

In einer Übung zu seiner Vorlesung trainieren zehn Studenten zwei Semester lang Angriffe innerhalb eines Hochschullabors. Die "Erfolgsquote" schwankt je nach Sicherheit des anvisierten Servers zwischen 50 und 95 Prozent. "Dafür sind keine großartigen IT-Kenntnisse nötig", so Pohl. Die Studierenden können für die Attacken auf zehn verschiedene Software-Werkzeuge zurückgreifen, die ihnen gestellt werden. Dazu zählen Tools wie Core Impact, Metasploit und Canvas. Man kann sie abends einschalten. Am Morgen darauf liefern sie einen Bericht, der die Sicherheitslücken des geprüften Systems auflistet. Diese kann man anschließend gezielt attackieren.

Ähnlich sieht das Felix Leder, Dozent einer Übung zur Netzwerksicherheit an der Uni Bonn und kürzlich Autor einer viel beachteten Analyse des Conficker-Wurms: "Je kreativer man im Angriff ist, desto kreativer ist man auch in der Verteidigung. In jedem System gibt es Lücken. Das hängt einfach damit zusammen, dass es im Durchschnitt in 1000 Zeilen Programmiercode drei Fehler gibt. Die gefundenen Lücken dann auszunutzen ist nicht so schwierig." An der Uni Bonn tummeln sich mehrere Dutzend Studenten in zwei Lehrveranstaltungen, in denen das Vorgehen von Hackern unterrichtet wird und Schadprogramme untersucht werden.