Wenn mein Job im Zuge der Digitalisierung verschwindet, habe ich schon einen Back-Up Plan: Ich werde mich auf das Hacken von Kühlschränken spezialisieren. Denn in 10 Jahren zur Blütezeit des Internet of Things sagen Sie dem Kühlschrank morgens, was Sie zum Abendessen wollen, der Kühlschrank bestellt dann die Zutaten von selbst. Mein Hack-Programm wird einmal pro Woche bei allen Kühlschränken einen zusätzlichen Joghurt bestellen, das merkt gar keiner. Ich versteigere diese millionenfache Bestellung meistbietend an Bauer, Landliebe oder Müller; der Erlös geht zu 50% in die Entwicklungshilfe und mein Programm wird auch ein paar ungesunde Dinge von der Einkaufsliste streichen – ich bin ja einer von den Guten.
Leider sind nicht alle Hacker so gemeinwohlorientiert wie ich: Im November 2016 legte ein Angriff bei 900.000 Kunden der Telekom Internet- und Festnetzanschluss lahm (die Telekom wehrt bis zu einer Million Hackerangriffe ab – PRO TAG!). Der RansomWare Angriff von WannyCry erreichte binnen 48 Stunden über 230.000 Computer, darunter prominente Opfer wie Deutsche Bahn und Telefonica. Im Februar 2016 stahlen Hacker 81 Mio. US-Dollar aus der Zentralbank von Bangladesh. Und im Februar 2017 druckten Hundertausende von Kassendruckgeräten in Restaurants die Nachricht „with love from the hacker God himself“, und zwar auf Befehl eines noch minderjährigen britischen Hackers, der GottseiDank nur Sicherheitslücken sichtbar machen wollte.
Der Ruf nach mehr Sicherheit und sicherer Software ist praktisch nicht so einfach einlösbar. Aktuell eigentlich gar nicht. Die Gründe liegen zum einen im Hardware-Design, zum anderen im Faktor Mensch bei der Softwareentwicklung: So machen nach Einschätzungen des Software-Guru Steve McConnell Entwickler im ersten Anlauf zwischen 10 bis 50 Fehler (=Bug) je 1.000 Programmierzeilen; mit diversen Qualitätsmaßnahmen lässt sich der Anteil auf 0,5 Fehler je 1.000 Zeilen reduzieren. Das aktuelle Windows-Betriebssystem hat etwa 50 Mio. Zeilen, Facebook etwa 60 Mio., alle Produkte von Google zusammengenommen ca. 2 Mrd. Programmierzeilen. Es lässt sich leicht abschätzen, in welcher Größenordnung Bugs in jeder dieser Software zu finden sind. Jeder Bug ist ein potentieller Angriffspunkt für Hacker.
Softwarehäuser setzen unter anderem auf ethische Hacker, sie schreiben Prämien aus für die Identifizierung von Bugs. Zahlungen von $20.000 sind üblich, die ausgelobten Prämien von Google gehen bis zu $200.000. Das klingt großzügig – aber es gibt auch einen alternativen Markt: Exploits sind Hack-Programme, die Schwächen von Software gezielt ausnutzen. Gehandelt werden solche Hack-Programme von Exploit-Brokern, Schätzungen zufolge gibt es weltweit etwa 200 solcher Broker, nicht alle folgen hohen moralischen Standards bei der Auswahl ihrer Kundschaft. Mit dem Verkauf eines Exploits, das iPhones hackt, können Programmierer („Bug Hunter“) aktuell ca. 1,5 Mio. Dollar erzielen. Bereits für einfache Exploits zum Hacken von Webbrowsern gibt’s mehrere Zehntausend Dollar. Angebot und Nachfrage regeln den Preis. Klar ist: Softwarehäuser müssen hier nachlegen mit Ihren Prämien für Bug-Hunter.
Es ist absehbar, dass IT Sicherheit in den nächsten Jahren eine wachsende strategische Bedeutung erhalten wird – und zwar nicht nur bei traditionellen Softwarehäusern. Auch in Privathaushalten. Auch in sonstigen Industrien: Denn in dem Maße, da Software Produkte „smart“ machen (vom Kühlschrank bis zur Glühbirne) werden diese eine Thema für IT Sicherheit; so ist spätestens 2015 mit der Schlagzeile um den erfolgreichen Hack eines Jeep das Risikobewusstsein zu IT Sicherheit in der Automobilindustrie rasant angestiegen; ein heutiges Fahrzeug ist ein fahrender Computer mit mehr Rechenleistung als Apollo 11, in der Louis Armstrong seinerzeit zum Mond geflogen ist. Es ist wahrlich keine einfache Aufgabe für OEMs, IT Sicherheit für zunehmend komplexere Systeme aus Dutzenden von chipgesteuerten Komponenten zahlreicher Zulieferer sicherzustellen.
Das Thema ist natürlich auch schon längst in der Unterhaltsindustrie angekommen. Hier werden Themen von Cyber War („Threat Vector“ – Roman von Tom Clancy/Mark Greaney) bis zum großangelegten Milliarden-Raub („Stirb Langsam 4.0“ mit Bruce Willis) durchdekliniert. Der Film „Who am I“ ist übrigens eine wirklich gelungene deutsche Produktion zu dem Thema. Auch sonst taucht der Hacker inzwischen in fast jedem Unterhaltungsthriller auf (vgl. auch die Trilogie von Stieg Larsson), er ist der neue „Deus ex machina“: In unserem säkularen Zeitalter glauben wir ja nicht mehr an Wunder, aber mit einem kleinen Hack lassen sich Probleme mit wenigen Klicks lösen oder auch nur eine überraschende Wendung herbeizaubern.
