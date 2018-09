Die Datenbank spuckte alles aus: Nutzernamen und Passwörter von allen Internetseiten, die der Dienstleister gebaut hatte. Etliche Webpräsenzen, programmiert für zahlreiche Unternehmen – eines davon war die kleine Firma meines Kumpels. Dieser hatte mich gebeten, seine Homepage zu hacken. Ich wurde nervös – und fragte ihn: Soll ich wirklich weiter machen? Das war 2014, ich war damals noch Informatik-Student in Oldenburg. IT-Sicherheit interessierte mich schon länger, aber ich hatte noch nie probiert, eine Internetseite zu knacken. Heute ist das mein Job. Hacken basiert darauf, dass jemand beim Programmieren einer Seite Fehler macht – und Fehler findet man fast immer. Der Unterschied zum Hacken in Filmen und Serien: Es dauert. Ausprobieren, nachlesen und wieder ausprobieren. Das frustriert manchmal, man muss eine ziemlich hohe Frustrationstoleranz mitbringen. Dafür ist die Spannung umso größer, wenn ich etwas finde – heute wie damals.

Die Webseite von meinem Kumpel hatte eine Katalogsuche, wie man sie aus Onlineshops kennt, in denen man etwa nach Preisen, Modellen oder der Verfügbarkeit sucht. Mir kam schon früh etwas komisch vor, ich wusste nur nicht genau was. Ich klickte durch die Seite, versuchte zu verstehen, wie sie aufgebaut ist. Heute habe ich einen genauen Plan, aber durchklicken und umschauen ist immer noch ein wichtiger Teil meiner Strategie. So verstehe ich, wie eine Seite arbeitet.

Besonders anfällig für Fehler sind selbst gebaute Bestandteile von Webseiten, etwa eine kompliziertere Suchfunktion oder Login-Formulare, die über den Standard hinausgehen. Es gibt spezielle Werkzeuge, um diese Fehler zu finden. Diese Programme kannte ich damals noch nicht. Stattdessen habe ich einfach ausprobiert. Es hilft oft, etwas Unerwartetes zu tun: Geht eine Funktion von einem Wert zwischen 1 und 100 aus, gebe ich eine -1 oder eine 0 ein und beobachte, wie die Anwendung reagiert. Ich empfinde Hacken als sehr kreativen Prozess, selten funktionieren Lösungen aus dem Lehrbuch.

Nach zwei Tagen fand ich die entscheidende Schwachstelle. Die Suchfunktion ließ sich in der Browserzeile um Steuerungsbefehle erweitern. Das nennt man „Blind SQL Injection“. Sie suchte dann in der Datenbank nicht mehr nur nach einem Produkt, sondern ich konnte Entscheidungsfragen stellen: Gibt es in der Datenbank eine Liste mit dem Anfangsbuchstaben „U“? Ja oder Nein? So kann man sich durchfragen, bis man weiß, ob es etwa eine Liste gibt, die „Users“ heißt – ein Verzeichnis aller Nutzer. Das ist sehr zeitaufwendig, insgesamt waren es mehrere Hundert Abfragen, deswegen schrieb ich ein kleines Programm, um automatisch nachzubohren.

Nach und nach sah ich, wie ich immer tiefer in die Datenbank vorstieß. Eine einzige große Sammlung von Kundendaten der IT-Firma, ein Nutzer, der überall Zugriffsrechte hatte, alle Passwörter im Klartext gespeichert – das sind drei schwerwiegende Fehler. Ich rief meinen Kumpel an, ließ mir schriftlich geben, dass er mich beauftragt hatte. Rechtlich war das trotzdem nicht sauber, ich würde es niemandem empfehlen und auch nicht mehr so machen. Eigentlich hätte ich den Dienstleister informieren müssen, bevor ich in seine Datenbank eindringe.

Ich rief bei dem Unternehmen an, um davor zu warnen, dass die Seite schwere Sicherheitsmängel hat. An der Hotline schenkte man mir wenig Aufmerksamkeit, aber nachdem ich eine E-Mail geschrieben hatte, rief eine halbe Stunde später der Geschäftsführer bei mir an. Er war sehr dankbar, dass ich auf die Probleme aufmerksam gemacht hatte.

Generell kann jede Seite geknackt werden – aber man kann sich trotzdem gut schützen. Ein Haus ist ein guter Vergleich: Um sich gegen einen Einbruch zu wehren, hilft es schon, die Tür abzuschließen. Zusätzlich kann man Überwachungskameras aufstellen oder sogar Wachmänner postieren – das schreckt viele potentielle Einbrecher ab. Aber mit viel Aufwand kann ein geschickter Dieb alle Sicherheitsmaßnahmen umgehen und trotzdem in das Haus einbrechen – es wird nur deutlich schwieriger.

Aufgezeichnet von Jonas Mielke

Zur Person

Carsten Cordes

ist 32 Jahre alt und arbeitet als IT-Sicherheitsexperte bei HEC in der Bremer Überseestadt. Nachdem er 2014 zum ersten Mal eine Webseite knackte, gewann er 2015 die Cyber Security Challenge Germany, ein damals vom Bundeswirtschaftsministerium finanzierter Wettbewerb für Nachwuchshacker. Heute knackt er beruflich Internetseiten von Unternehmen, um anschließend die IT-Sicherheit seiner Auftraggeber zu verbessern.