InformatikstudiumAkademisches Hackertraining

An mehreren Hochschulen lernen Studenten, wie man Computersysteme knackt, um diese so besser schützen zu können. Die Lehrmethode bewegt sich am Rande der Legalität von Ulrich Hottelet

"Wir trainieren nicht, wie man Angriffe macht. Wir bilden keine Hacker aus", beteuert Jörg Schneider von der TU Berlin. Als wissenschaftlicher Mitarbeiter eines Informatik-Lehrstuhls betreut er dort die Arbeitsgruppe Rechnersicherheit. Unter dem Namen "Enoflag" gewann sie im Dezember 2008 den renommierten internationalen IT-Sicherheitswettbewerb "Capture the Flag". Dabei galt es, unter hohem Zeitdruck die Sicherheitslücken im eigenen, von den Veranstaltern vorbereiteten, Netzwerk zu schließen und gleichzeitig die Lücken in den Netzen der konkurrierenden Studententeams für Angriffe auszunutzen. Doch trotz des Erfolgs ist Schneider vorsichtig geblieben. Er fürchtet den Vorwurf in der Öffentlichkeit, in solchen universitären Veranstaltungen könnten anrüchige oder gar illegale Hackermethoden unterrichtet werden.

Dabei herrscht in der Fachwelt Einigkeit darin, dass es zur Ausbildung von fitten IT-Sicherheitsexperten höchst sinnvoll ist, dass sie gelernt haben, sich in die Lage des Angreifers zu versetzen. "Das ist geradezu unverzichtbar. Sonst entsteht der Eindruck, dass die vorhandenen technischen Sicherheitsmittel ausreichen", sagt Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg. Der Professor für Informationssicherheit ist Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik. Seit Jahren beschäftigt er sich mit den Möglichkeiten digitaler Kriegsführung und sicherer Software-Entwicklung. "Mir ist das Ausbildungsziel wichtig, dass die Studenten unbekannte Lücken finden. Es wird nämlich kritisch, wenn Unternehmen Jahre lang ihre individuelle Software nutzen und deren Lücken nicht kennen."

Anzeige

In einer Übung zu seiner Vorlesung trainieren zehn Studenten zwei Semester lang Angriffe innerhalb eines Hochschullabors. Die "Erfolgsquote" schwankt je nach Sicherheit des anvisierten Servers zwischen 50 und 95 Prozent. "Dafür sind keine großartigen IT-Kenntnisse nötig", so Pohl. Die Studierenden können für die Attacken auf zehn verschiedene Software-Werkzeuge zurückgreifen, die ihnen gestellt werden. Dazu zählen Tools wie Core Impact, Metasploit und Canvas. Man kann sie abends einschalten. Am Morgen darauf liefern sie einen Bericht, der die Sicherheitslücken des geprüften Systems auflistet. Diese kann man anschließend gezielt attackieren.

Ähnlich sieht das Felix Leder, Dozent einer Übung zur Netzwerksicherheit an der Uni Bonn und kürzlich Autor einer viel beachteten Analyse des Conficker-Wurms: "Je kreativer man im Angriff ist, desto kreativer ist man auch in der Verteidigung. In jedem System gibt es Lücken. Das hängt einfach damit zusammen, dass es im Durchschnitt in 1000 Zeilen Programmiercode drei Fehler gibt. Die gefundenen Lücken dann auszunutzen ist nicht so schwierig." An der Uni Bonn tummeln sich mehrere Dutzend Studenten in zwei Lehrveranstaltungen, in denen das Vorgehen von Hackern unterrichtet wird und Schadprogramme untersucht werden.

Die Philosophie, dass man kein kompetenter "White Hat" werden kann, wenn man nicht nachvollziehen kann, wie ein "Black Hat" denkt, wurde bereits in den achtziger Jahren an amerikanischen Unis praktiziert. Die Einteilung basiert auf alten Western-Filmen, die Cowboys mit ihrer Hutfarbe als "gut" (weiß) oder "böse" (schwarz) charakterisiert hat. Deutsche Hochschulen verfolgen diesen Ansatz erst seit fünf Jahren – mit steigender Tendenz. Insgesamt tun das aber weniger als zehn Hochschulen hierzulande. Martin Mink, Informatiker an der Uni Mannheim, erklärt den zeitlichen Abstand zu Amerika mit der in Deutschland lange vorherrschenden klassischen Auffassung, dass es primär darum geht, IT-Systeme abzusichern. Auch den Vorwurf der Hackerausbildung macht er dafür verantwortlich, wobei diese Kritik "nicht mehr so stark wie früher ist". Leder macht dagegen die "fehlende Hackererfahrung" der Dozenten dafür verantwortlich, dass nicht mehr Hochschulen die offensive Perspektive pflegen.

Mink arbeitet zurzeit an seiner Dissertation, in der er die defensive Lehrmethode mit der offensiven vergleicht. Letztere ähnele dem Crashtest in der Autoindustrie, wo es ebenfalls um das Aufdecken von Schwachstellen geht. Bei den Studenten kommt der neue Ansatz besser an: "Sie sind in solchen Lehrveranstaltungen motivierter", hat Mink herausgefunden. "Denn der Erfolg stellt sich bei Angriffen schneller ein als in der Defensive, wo man an alles denken muss, um ein System abzusichern. Außerdem ist es interessanter und macht mehr Spaß, Fehler zu finden."

Dabei ist die Abgrenzung zwischen defensiven und offensiven Methoden nicht immer einfach. "Es gibt das Problem des Dual Use. So kann zum Beispiel ein Password Recovery Tool, das Netzwerk-Administratoren gegen schwache Passwörter einsetzen, auch durch Angreifer missbraucht werden", sagt Mink. Generell dienen oft Testtools zur Überprüfung von Sicherheitslücken. "Schwarz-weiß formuliert sind das alles Angriffstools. Es kommt aber auf den Nutzungszweck an", erklärt Pohl.

Darauf stellt auch die Justiz in ihrer Auslegung des Hackerparagrafen ab. Der Paragraf 202c des Strafgesetzbuchs stellt das Herstellen und das Verbreiten von Hackerwerkzeugen unter Strafe, wenn sie dazu dienen, das Ausspähen und Abfangen von Daten vorzubereiten. Die Verabschiedung der schwammig formulierten Vorschrift im Jahre 2007 hatte zu kontroversen Diskussionen geführt. Experten kritisierten das Fehlen von klaren Ausnahmeregelungen, die den Einsatz dieser Werkzeuge für legale Zwecke erlauben.

Da der akademische Unterricht nach Einschätzung der Justiz gutartigen Ausbildungszwecken dient, haben sie noch kein Ermittlungsverfahren gegen Dozenten oder Studenten angestrengt. Damit fehlt aber die Konkretisierung des Gesetzestext durch Gerichtsurteile. Die Hochschullehrer sichern sich gegen die strittige Vorschrift in der Regel durch Aufklärung und Warnungen der Studenten vor kriminellem Missbrauch des in den Übungen gelernten Know-hows ab. Professor Norbert Pohlmann, Direktor des Instituts für Internet-Sicherheit an der FH Gelsenkirchen, lässt die Teilnehmer der Hacking AG sogar eine Belehrung unterschreiben.

Leder sieht das Problem einer drohenden Strafbarkeit eher in der Forschung als in der Lehre, da im Unterricht nur bekannte Tools zum Einsatz kämen. Mink dagegen vertraut auf den Grundsatz der Freiheit von Forschung und Lehre. Er hält eher Firmen für gefährdet, die auf Penetrationstests spezialisiert sind. Eine solche Firma ist "RedTeam Pentesting". Sie bietet Penetrationstests an. Durch eine solche Prüfung aller Teile und Anwendungen eines Netzwerks können Sicherheitslücken in Unternehmensnetzen aufgedeckt und danach behoben werden. Das Unternehmen ist aus einer Informatik-Forschungsgruppe der RWTH Aachen hervorgegangen, die 2005 den Capture the Flag -Wettbewerb gewonnen hatte.

Auch wenn die Computerexperten die offensive Lehre der IT-Sicherheit unisono befürworten, so legen sie doch Wert auf eine differenzierte Sicht. "Nicht jeder erfolgreiche Angreifer kann ein System sichern", sagt Mink. Und Sebastian Koch , wie sein Kollege Schneider ein Betreuer der Enoflags, erklärt: "Die Offensive ist leichter als die Defensive, da sie nur einmal gelingen muss, denn eine Lücke reicht dafür. Hauptziel der Lehre ist und bleibt die Defensive."

Zur Startseite
 
Leserkommentare
    • johaupt
    • 06. August 2009 11:49 Uhr

    "Der Paragraf 202c des Strafgesetzbuchs stellt das Herstellen und das Verbreiten von Hackerwerkzeugen unter Strafe, wenn sie dazu dienen, das Ausspähen und Abfangen von Daten vorzubereiten."

    ... der Internet-Ausdrucker. Zu dumm aber auch, wenn man eine Sache bestrafen will, die man nicht ansatzweise versteht und dazu auch noch gleich zu umfassenden Kopier- und Herstellungsverboten greift. Gummi-Gesetze die eine effektive Willkürpolitik möglich machen.

    Im Übrigen glaube ich eher, dass ein Großteil der Firmen sich strafbar macht, denn das Ausspähen und Abfangen von Mitarbeiterdaten, die im Internet surfen, ist so ziemlich Gang und Gäbe, nur würde halt nie jemand die Log-Funktion eines Servers als "Hackertool" bezeichnen. Oder doch? Wer weiß...

  1. Gesetze werden vom Justizministerium ausgebrütet und dem steht, in Person von Frau Zypries, die fleischgewordene Inkompetenz vor. Die Dame ist republikweit die schlimmste Bürgerfeindin nach Schäuble und von der Laien.
    Dass es in Deutschland überhaupt noch freie Softwareentwickler gibt ist ausschliesslich einem Machtwort des Basta-Kanzlers zu verdanken. Hätte die Zypresse feie Hand gehabt, wäre jede mögliche Software, die irgendwer irgendwann hätte schreiben können, von MicroSoft&Co schon vorab patentiert gewesen. Aber in dieser einen Hinsicht ist auf deutsche Politiker Verlass: Dümmer geht immer. Und so kam der 202c zur Welt.

    _________________________________________________
    Lassen wir Taten folgen:
    Werden Sie Mitglied, wählen Sie die Piratenpartei.
    Für Freiheit und Demokratie.
    Denn etwas besseres als den Tod finden wir überall.

    [Anmerkung: Bitte tragen Sie zu einer sachlichen Diskussion bei und unterlassen Sie die Verballhornung von Namen. Vielen Dank. / Die Redaktion as]

    Reaktionen auf diesen Kommentar anzeigen
    • Chaled
    • 08. August 2009 10:42 Uhr

    Wo war da eine Verballhornung eines Namens ?
    Der Name von Frau Zypries und Herrn Schäuble ist wohl korrekt und dementsprechend (auch aus dem Kontext ersichtlich) der Name "von der Laien" versehendlich falsch geschrieben. Ich weis auch nie wie man die Dame schreibt.
    Herr Schröder ist auch nicht verballhornt sondern eher positiv hervorgehoben. Also was soll Ihre Anmerkung ?

    Früher laß ich tagesschau.de und heute.de. Ich bin auf Zeit-Online umgestiegen weil die Artikel ausgewogener zusammengestellt sind und ich durch die Kommentarfunktion Meinungen anderer Leute zu den Artikel erhalte. Früher (bei tageschau/heute) habe ich oft gedacht: Was für ein grottenschlechter verfälschter Artikel, merken das die Leser nicht ? Wenn soetwas bei Zeit-Online passiert, wird der Artikel in den Kommentaren aufbereitet. Dadurch verändert sich oft meine Sicht auf das Beschriebene (bzw. den Artikel) oder ich merke, dass ich richtig liege. Das finde ich klasse. Also weiter so Redaktion.

    P.S.: Ich finde es auch gut, dass Ihr wieder die Bewertungsfunktion eingeführt habt. Wen es stört soll sie einfach nicht nutzen.

  2. Wenn man es genau betrachtet sind alle "Hackertools" nur Such- und Protokol-Programme. Da gibt es nicht wirklich eine Differenzierung in meinen Augen.
    Ich würde das immer über die Absicht des Nutzers definieren.

    Reaktionen auf diesen Kommentar anzeigen
    • johaupt
    • 06. August 2009 15:26 Uhr

    "Ich würde das immer über die Absicht des Nutzers definieren."

    Besser noch über die Taten des Users, also ob er damit Schaden angerichtet hat, denn Absichten sind idR schwer zu erkennen. Wir haben in unserer Uni auch die Passwörter von unseren Professoren geknackt (bzw. versucht), da aber nie jemand zu Schaden gekommen ist, warum sollte man sowas unter Strafe stellen? Wenn ich an einer Wohnungstür klinke, dann bedeutet das ja auch nicht automatisch, dass ich demjenigen die Bude ausräumen möchte. Und der Besitz und die Herstellung von Stemmeisen ist auch nicht verboten, noch nichtmal der Einsatz, außer ich tue es entgegen dem Willen des Eigentümers :-)

  3. Ein Skalpell ist schließlich auch eine Waffe;-) Nee, dass ist ja das klassische Sicherheitsdilemma. Wenn die Jungs und Mädels nicht mal wissen, wie die bösen Buben in das System eindringen, woher sollen sie dann wissen, wie sie dagegen vorgehen sollen? Genau genommen ist das ohnehin kein Hacking, was sie da machen. Ein Zwölfjähriger könnte diese Tools verwenden, um Server zu hacken. Erst, wenn man selber solche Lücken ausnützt oder Tools programmiert, wäre man ein Hacker.

  4. Die c't hat kürzlich darüber berichtet. Wenn ich den Artikel noch richtig im Gedächtnis habe, sind die Entscheidungen durchaus mit Sachverstand ergangen, und die böse Absicht bei der Herstellung der Tools ist entscheidend. Wer also Conficker als Einbruchswerkzeug verwendet, der handelt illegal (weil Conficker ganz absichtlich als bösartiger Wurm programmiert wurde, und der Einbruch auch eine böse Tat ist), wer dagegen für gute wie böse Zwecke verwendbare Tools programmiert oder kopiert, handelt auf jeden Fall legal - solange er sie nicht selbst gezielt für illegale Attacken verwendet (und auch dann ist nicht das Tool schuld).

    Dass die ganze Idee dahinter natürlich krank ist, versteht sich von selbst. Nicht das Tool ist böse, die Hacker sind es. Und solange Zypries es nicht mal hinkriegt, Leute zu stoppen, die Kindern per Abo-Falle das Taschengeld klauen (Jamba), braucht sie gar nicht erst mit so etwas kompliziertem anfangen.

    • johaupt
    • 06. August 2009 15:26 Uhr

    "Ich würde das immer über die Absicht des Nutzers definieren."

    Besser noch über die Taten des Users, also ob er damit Schaden angerichtet hat, denn Absichten sind idR schwer zu erkennen. Wir haben in unserer Uni auch die Passwörter von unseren Professoren geknackt (bzw. versucht), da aber nie jemand zu Schaden gekommen ist, warum sollte man sowas unter Strafe stellen? Wenn ich an einer Wohnungstür klinke, dann bedeutet das ja auch nicht automatisch, dass ich demjenigen die Bude ausräumen möchte. Und der Besitz und die Herstellung von Stemmeisen ist auch nicht verboten, noch nichtmal der Einsatz, außer ich tue es entgegen dem Willen des Eigentümers :-)

    • Kaegi
    • 06. August 2009 21:43 Uhr

    Akademiker betreiben so manches Illegale. NIEMALS darf der Zweck die ittel heiligen!

    Reaktionen auf diesen Kommentar anzeigen

    der an Oberflächlichkeit nicht zu überbieten ist. Gratulation dazu!

    Zum Thema:
    Wenn man etwas verteidigen will, sollte man doch wissen wie ein potentieller Angreifer vorgeht.
    Genauso wie schon einige geschrieben haben sind viele Tools, die man zum analysieren eines Netzwerks einsetzt, grundsätzlich dazu fähig, auch zum 'Hacken' eingesetzt zu werden.
    Jeder der nur annähernd etwas mit Netzwerktechnik zu tun hat kommt an solchen Tools nicht vorbei.

  5. der an Oberflächlichkeit nicht zu überbieten ist. Gratulation dazu!

    Zum Thema:
    Wenn man etwas verteidigen will, sollte man doch wissen wie ein potentieller Angreifer vorgeht.
    Genauso wie schon einige geschrieben haben sind viele Tools, die man zum analysieren eines Netzwerks einsetzt, grundsätzlich dazu fähig, auch zum 'Hacken' eingesetzt zu werden.
    Jeder der nur annähernd etwas mit Netzwerktechnik zu tun hat kommt an solchen Tools nicht vorbei.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf mehreren Seiten lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Sebastian Koch | USA | Aachen
Service