"Wir trainieren nicht, wie man Angriffe macht. Wir bilden keine Hacker aus", beteuert Jörg Schneider von der TU Berlin. Als wissenschaftlicher Mitarbeiter eines Informatik-Lehrstuhls betreut er dort die Arbeitsgruppe Rechnersicherheit. Unter dem Namen "Enoflag" gewann sie im Dezember 2008 den renommierten internationalen IT-Sicherheitswettbewerb "Capture the Flag". Dabei galt es, unter hohem Zeitdruck die Sicherheitslücken im eigenen, von den Veranstaltern vorbereiteten, Netzwerk zu schließen und gleichzeitig die Lücken in den Netzen der konkurrierenden Studententeams für Angriffe auszunutzen. Doch trotz des Erfolgs ist Schneider vorsichtig geblieben. Er fürchtet den Vorwurf in der Öffentlichkeit, in solchen universitären Veranstaltungen könnten anrüchige oder gar illegale Hackermethoden unterrichtet werden.

Dabei herrscht in der Fachwelt Einigkeit darin, dass es zur Ausbildung von fitten IT-Sicherheitsexperten höchst sinnvoll ist, dass sie gelernt haben, sich in die Lage des Angreifers zu versetzen. "Das ist geradezu unverzichtbar. Sonst entsteht der Eindruck, dass die vorhandenen technischen Sicherheitsmittel ausreichen", sagt Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg. Der Professor für Informationssicherheit ist Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik. Seit Jahren beschäftigt er sich mit den Möglichkeiten digitaler Kriegsführung und sicherer Software-Entwicklung. "Mir ist das Ausbildungsziel wichtig, dass die Studenten unbekannte Lücken finden. Es wird nämlich kritisch, wenn Unternehmen Jahre lang ihre individuelle Software nutzen und deren Lücken nicht kennen."

In einer Übung zu seiner Vorlesung trainieren zehn Studenten zwei Semester lang Angriffe innerhalb eines Hochschullabors. Die "Erfolgsquote" schwankt je nach Sicherheit des anvisierten Servers zwischen 50 und 95 Prozent. "Dafür sind keine großartigen IT-Kenntnisse nötig", so Pohl. Die Studierenden können für die Attacken auf zehn verschiedene Software-Werkzeuge zurückgreifen, die ihnen gestellt werden. Dazu zählen Tools wie Core Impact, Metasploit und Canvas. Man kann sie abends einschalten. Am Morgen darauf liefern sie einen Bericht, der die Sicherheitslücken des geprüften Systems auflistet. Diese kann man anschließend gezielt attackieren.

Ähnlich sieht das Felix Leder, Dozent einer Übung zur Netzwerksicherheit an der Uni Bonn und kürzlich Autor einer viel beachteten Analyse des Conficker-Wurms: "Je kreativer man im Angriff ist, desto kreativer ist man auch in der Verteidigung. In jedem System gibt es Lücken. Das hängt einfach damit zusammen, dass es im Durchschnitt in 1000 Zeilen Programmiercode drei Fehler gibt. Die gefundenen Lücken dann auszunutzen ist nicht so schwierig." An der Uni Bonn tummeln sich mehrere Dutzend Studenten in zwei Lehrveranstaltungen, in denen das Vorgehen von Hackern unterrichtet wird und Schadprogramme untersucht werden.

Die Philosophie, dass man kein kompetenter "White Hat" werden kann, wenn man nicht nachvollziehen kann, wie ein "Black Hat" denkt, wurde bereits in den achtziger Jahren an amerikanischen Unis praktiziert. Die Einteilung basiert auf alten Western-Filmen, die Cowboys mit ihrer Hutfarbe als "gut" (weiß) oder "böse" (schwarz) charakterisiert hat. Deutsche Hochschulen verfolgen diesen Ansatz erst seit fünf Jahren – mit steigender Tendenz. Insgesamt tun das aber weniger als zehn Hochschulen hierzulande. Martin Mink, Informatiker an der Uni Mannheim, erklärt den zeitlichen Abstand zu Amerika mit der in Deutschland lange vorherrschenden klassischen Auffassung, dass es primär darum geht, IT-Systeme abzusichern. Auch den Vorwurf der Hackerausbildung macht er dafür verantwortlich, wobei diese Kritik "nicht mehr so stark wie früher ist". Leder macht dagegen die "fehlende Hackererfahrung" der Dozenten dafür verantwortlich, dass nicht mehr Hochschulen die offensive Perspektive pflegen.

Mink arbeitet zurzeit an seiner Dissertation, in der er die defensive Lehrmethode mit der offensiven vergleicht. Letztere ähnele dem Crashtest in der Autoindustrie, wo es ebenfalls um das Aufdecken von Schwachstellen geht. Bei den Studenten kommt der neue Ansatz besser an: "Sie sind in solchen Lehrveranstaltungen motivierter", hat Mink herausgefunden. "Denn der Erfolg stellt sich bei Angriffen schneller ein als in der Defensive, wo man an alles denken muss, um ein System abzusichern. Außerdem ist es interessanter und macht mehr Spaß, Fehler zu finden."

Dabei ist die Abgrenzung zwischen defensiven und offensiven Methoden nicht immer einfach. "Es gibt das Problem des Dual Use. So kann zum Beispiel ein Password Recovery Tool, das Netzwerk-Administratoren gegen schwache Passwörter einsetzen, auch durch Angreifer missbraucht werden", sagt Mink. Generell dienen oft Testtools zur Überprüfung von Sicherheitslücken. "Schwarz-weiß formuliert sind das alles Angriffstools. Es kommt aber auf den Nutzungszweck an", erklärt Pohl.

Darauf stellt auch die Justiz in ihrer Auslegung des Hackerparagrafen ab. Der Paragraf 202c des Strafgesetzbuchs stellt das Herstellen und das Verbreiten von Hackerwerkzeugen unter Strafe, wenn sie dazu dienen, das Ausspähen und Abfangen von Daten vorzubereiten. Die Verabschiedung der schwammig formulierten Vorschrift im Jahre 2007 hatte zu kontroversen Diskussionen geführt. Experten kritisierten das Fehlen von klaren Ausnahmeregelungen, die den Einsatz dieser Werkzeuge für legale Zwecke erlauben.

Da der akademische Unterricht nach Einschätzung der Justiz gutartigen Ausbildungszwecken dient, haben sie noch kein Ermittlungsverfahren gegen Dozenten oder Studenten angestrengt. Damit fehlt aber die Konkretisierung des Gesetzestext durch Gerichtsurteile. Die Hochschullehrer sichern sich gegen die strittige Vorschrift in der Regel durch Aufklärung und Warnungen der Studenten vor kriminellem Missbrauch des in den Übungen gelernten Know-hows ab. Professor Norbert Pohlmann, Direktor des Instituts für Internet-Sicherheit an der FH Gelsenkirchen, lässt die Teilnehmer der Hacking AG sogar eine Belehrung unterschreiben.

Leder sieht das Problem einer drohenden Strafbarkeit eher in der Forschung als in der Lehre, da im Unterricht nur bekannte Tools zum Einsatz kämen. Mink dagegen vertraut auf den Grundsatz der Freiheit von Forschung und Lehre. Er hält eher Firmen für gefährdet, die auf Penetrationstests spezialisiert sind. Eine solche Firma ist "RedTeam Pentesting". Sie bietet Penetrationstests an. Durch eine solche Prüfung aller Teile und Anwendungen eines Netzwerks können Sicherheitslücken in Unternehmensnetzen aufgedeckt und danach behoben werden. Das Unternehmen ist aus einer Informatik-Forschungsgruppe der RWTH Aachen hervorgegangen, die 2005 den Capture the Flag -Wettbewerb gewonnen hatte.

Auch wenn die Computerexperten die offensive Lehre der IT-Sicherheit unisono befürworten, so legen sie doch Wert auf eine differenzierte Sicht. "Nicht jeder erfolgreiche Angreifer kann ein System sichern", sagt Mink. Und Sebastian Koch , wie sein Kollege Schneider ein Betreuer der Enoflags, erklärt: "Die Offensive ist leichter als die Defensive, da sie nur einmal gelingen muss, denn eine Lücke reicht dafür. Hauptziel der Lehre ist und bleibt die Defensive."