Der international gefragte Security-Experte Sandro Gaycken spricht mit //next über Hacker als knappe Ressource – und welche Chancen Konzerne haben, Talente aus diesem Feld anzulocken. Und er verrät, warum normale Internetnutzer so selten Ziel von Hackern werden.
Herr Gaycken, viele Firmen sind auf der Suche nach qualifizierten IT-Mitarbeitern und talentierten Hackern. Wie wahrscheinlich ist es, dass Unternehmen wie Versicherungen an hochqualifizierte Hacker herankommen?
Sehr gute Hacker lassen sich durchaus auch von Unternehmen anwerben – nur nicht für einen Appel und ein Ei. Es gibt gute Hacker auf beiden Seiten. Es ist nicht so, dass die automatisch auf der bösen Seite sind. Der Großteil der talentierten Hacker waren immer auf der guten Seite und hatte keine Neigung, kriminell zu sein. So wie bei mir: Ich habe keine Absicht, Krimineller zu werden – obwohl ich mit meinen Talenten sicherlich ein großartiger Mafiaboss wäre (lacht). So ist es bei den Hackern auch: Sie können hacken, aber die wollen nicht Verbrecher werden. Das Hacken kommt immer zuerst. Hacker, die Verbrecher sind, waren vorher auch schon welche. Diese „helle und dunkle Seite” gibt es so nicht. Die Hacker, die auf der hellen Seite arbeiten, hatten lange das Problem, das die niemand haben wollte – außer Banken, Polizei und solchen Leuten, die hacken müssen. Viele von denen haben für ein mieses Gehalt irgendwelche Admin-Jobs gemacht. Bis dann der Cyber-Security-Hype losging. In der ersten Phase haben alle gedacht, sie kaufen sich eine Firewall und dann sei alles gut. Dann haben sie gemerkt: Dieses ganze IT-Sicherheits-Geraffel, die Technologie, hält immer nur „von...bis“. Und man muss viel tiefer und architektonischer an diese Sachen herangehen. Das haben die großen IT-Konzerne relativ schnell gemerkt. Und haben dann angefangen, Hacker anzustellen. Dann haben sie gemerkt, dass es gar nicht so viele Hacker gibt. Der Chaos Computer Club hat zwar 6.000 Kiddies jedes Jahr – aber so richtig hacken, das machen in Deutschland vielleicht 40 bis 50 Leute.
Hacker sind also eine knappe Ressource?
Ja, das ist in anderen Ländern genauso. Und deshalb ist da ein „Race for Talents“ losgegangen. Weil alle gemerkt haben, das ist das Sinnvollste, was man machen kann: Architekturen härten und Elite-Hacker anstellen. Im Moment ist die Situation so, dass Amazon, Google und Apple die Haupt-Klienten sind, um dieses Hacker anzuwerben. Die haben sogar eigene Hacker-Hochburgen gegründet, zum Beispiel Google das Projekt „Zero“ in Zürich, um Talente in Europa abzuwerben. Und jetzt ist das Problem für die deutschen Konzerne, dass die richtig guten Hacker und Pentester angeworben werden mit einem Startgehalt von 300.000 Euro im Jahr. Das geht hoch bis 1,2 Millionen Euro. Deutsche Behörden hätten auch gerne Hacker, doch sie zahlen maximal 80.000 Euro, für einen Job in einem Vorort von München, ohne große Aufstiegschancen. Die deutsche Industrie hätte auch gern Hacker, doch will nicht mehr zahlen als 100.000 bis 120.000 Euro. Dadurch bekommen sie aber nur diejenigen Talente, die bei den Silicon Valley Konzernen übrig bleiben.
Geht es bei diesem „War for Talents” nur ums Gehalt? Oder haben auch Unternehmen eine Chance, die eine angenehme Arbeitsumgebung und andere Extras bieten?
Um Geld geht es bei allen, bei Älteren mehr als bei Jüngeren. Aber bei jüngeren Hackern geht es auch um Reputation, um „Fame in the Game“. Mit welchen großartigen Hackern man zusammenarbeiten kann. Das hat „Google Zero” schlau gemacht: Die ersten Leute, die sie angeworben haben, waren sehr bekannt – und die haben dann eine Sogwirkung entwickelt, dass viele gesagt haben: „Mit denen möchte ich unbedingt arbeiten.“ Dazu kommt die entspannte Arbeitsatmosphäre aus dem Silicon Valley, mit viel Home Office. Da tun sich die deutschen Konzerne schwer. Die stellen dann mal eine Tischtennisplatte in ihr Büro und denken, sie hätten jetzt die Kultur verstanden. Das ist natürlich Mist.
Sind Unternehmen, die nur die weniger guten Hacker anlocken können, strategisch im Nachteil? Oder haben die gegen Angreifer noch eine Chance?
Also, manchmal bekommen die auch gute Leute. Ein paar von den Dax-Konzernen haben das hinbekommen – die hatten aber dann auch schon ein paar gute Leute im Team, die andere angeworben haben. Es ist nicht ganz so schlimm. Aber man muss schon sehr flexibel sein, wenn man in dieser Liga mitspielen will.
Einige Hersteller, zum Beispiel von Antiviren-Software, schlagen regelmäßig Alarm und tun so, als ob man als normaler Internetnutzer ständig in Gefahr sei, abgehört und ausspioniert zu werden – oder dass die Kamera laufend gehackt werde...
Das ist großer Unsinn, den auch die Telekom gern macht: warnen vor den hunderttausenden oder Millionen Hackerangriffen pro Tag. Das sind aber automatisch generierte Variationen von bekannten Angriffen auf bestehende Strukturen – relativ harmlos. Dagegen reicht eine 40-Euro-Firewall aus dem Elektronikmarkt. Was wirklich gefährlich ist und auch die Kamera in einem Mac hacken kann, sind gezielte Angriffe, die sehr viel Geld kosten. Die Preise lassen sich im Netz ablesen – etwa bei der Firma Zerodium. Demnach kostet ein maßgeschneiderter Angriff auf einen Mac etwa zwei Millionen Euro. Den kann man vielleicht mehrfach verwenden, aber es ist ein hoher Aufwand, den auf einen Mac zu bringen. Sobald er auffällt, ist er entwertet für alle Plattformen – also wirft man den nicht einfach so in die Masse. Doch viele paranoide Verschwörungstheoretiker denken: Weil sie mal einen Blogartikel über Angela Merkel geschrieben haben, ist jetzt der BND hinter ihnen her. Das ist sehr weit von der Realität entfernt. Das gilt auch für dieses Abkleben der Kameras: Wenn man keine Schlüsselperson in einem internationalen Terrornetzwerk ist, kann man sich das schenken.
Die Chance, dass ich als Normalnutzer gehackt werde, ist also sehr gering?
Klar, warum denn? Warum soll jemand zwei Millionen Euro ausgeben, um irgendeinen Informatikstudenten zu hacken? Das ist totaler Unsinn!
Wie schützen Sie sich? Haben Sie nur Macs zu Hause?
Ja, das macht die Sache sehr viel einfacher …
Interview: Helge Denker
Am beliebtesten