Anzeige
Anzeige
Interview

Cybersecurity-Expertin Keren Elazari im Interview: Was sind „friendly Hacker“?

Die israelische Cybersecurity-Expertin Keren Elazari bezeichnet sich selbst als „freundliche Hackerin“. Im ­Interview erklärt sie, was das bedeutet, welche Rolle Bug-Bounty-Programme für ihre Community spielen und warum ­Passwörter abgeschafft gehören.

10 Min.
Artikel merken
Anzeige
Anzeige

Keren Elazari bezeichnet sich selbst als „freundliche Hackerin“. (Abbildung: Keren Elazari)

Keren Elazari sitzt in Tel Aviv im Dunkeln. Stromausfall. Ihr Gesicht ist vom schwachen Schein ihres Bildschirms nur schemen­haft beleuchtet. In ihren Vorträgen warnt die Cybersecurity-­Expertin immer wieder eindringlich vor Cyberattacken, die auch die physische Welt treffen können. In diesem Fall haben allerdings keine Hacker, sondern Bauarbeiter aus Versehen die Stromzufuhr gekappt. Wir sprechen miteinander, solange ihr Akku reicht. Elazari, geboren 1982, war 13  Jahre alt, als Angelina Jolie sie im Film „Hackers“ begeisterte. Als sie mit 18 Jahren zum Militärdienst musste, sagte sie dem diensthabenden Offizier: „Ich bin Hackerin und will im Bereich ­IT-Sicherheit arbeiten.“

Anzeige
Anzeige

Und es funktionierte – sie wurde einer Einheit der Kommunikationssicherheit zugeteilt, erzählt sie und lacht. Sie habe in dieser Zeit viel gelernt und wichtige Kontakte geknüpft. Es sei die „Eintrittskarte in die traditionell männlich dominierten Netzwerke“ gewesen. So habe sie auch ihre ersten Jobs bekommen. Ihr Ted-Talk über Hacker als Immunsystem des Internets hat sie dann 2014 international einem breiten Publikum bekannt gemacht. Heute forscht Elazari zu Cybersecurity an der Universität von Tel Aviv, berät Unternehmen und organisiert das Cybersecurity-Community-Event BSidesTLV und das Netzwerk Leading Cyber Ladies.

t3n: Frau Elazari, Sie bezeichnen sich selbst als freundliche Hackerin. Welche Fähigkeiten machen Ihrer Meinung nach Hacker aus? Braucht es mehr als gewisse Tech-Skills?

Anzeige
Anzeige

Keren Elazari: Es geht an erster Stelle um die richtige Einstellung und dann erst um die Fähigkeiten. Am wichtigsten ist aber Neugier. In seinem ­Hacker Manifesto aus den 1980ern schreibt Loyd Blankenship alias The ­Mentor im Moment seiner Verhaftung: „Ja, ich bin ein Hacker, ja, ich bin ein Verbrecher, schuldig des Verbrechens der Neugier.“ Unabhängig vom Geschlecht, Aussehen, Herkunft oder Alter geht es Hackern darum, die Wahrheit ans Tageslicht zu bringen, der Welt die Schwachstellen in der Technologie, von der wir alle abhängig sind, aufzuzeigen.

Anzeige
Anzeige

t3n: Fordern Sie deshalb Unternehmen auf, nur Daten zu sammeln, wenn sie diese auch schützen können?

Richtig, ich kann das nicht oft genug sagen. Wir leben im Informations­zeitalter und jeder spricht vom Wert der Daten. Den meisten ist dabei nicht klar, was damit geschieht. Viele von uns geben sich damit zufrieden, einfach nur Konsumenten oder Endverbraucher eines Produktes oder eines Services zu sein. In vielen Fällen willigen wir blindlings ein, für scheinbar kostenlose Dien­ste mit unseren Daten und ­Privatsphäre zu bezahlen. Wenn unsere Daten gehackt werden, ist das für uns ein Verbrechen; gleichzeitig überlassen wir unsere Daten freiwillig Milliarden­konzernen. Es sind Hacker, die uns vor Augen führen, was das bedeutet.

Anzeige
Anzeige

t3n: Zum Beispiel?

Das US-Telekommunikationsunternehmen Comcast hat eine Smart Remote mit eingebautem Mikrofon auf den Markt gebracht. Forschern ist es gelungen, diese Fernbedienung zu ­hacken und das Mikrofon damit zur Wanze zu machen. Übrigens nicht über die Internetverbindung, sondern über die Radio­frequenz. Hacker im Dienst der Wissenschaft erbringen den Machbarkeitsnachweis und zwingen Unternehmen so, bessere, sichere Produkte zu entwickeln. Als Konsumenten müssen wir uns klarmachen, dass Unternehmen zwar dahinter her sind, so viele Daten wie möglich zu sammeln, aber nicht immer, auch ­diese Daten zu schützen.

 

Anzeige
Anzeige

t3n: Wie können wir denn unsere Daten besser schützen? Von Passwörtern halten Sie ja bekanntlich nichts.

Passwörter sind ein Ding der Vergangenheit. Durch Datenlecks sind Milliarden Datensätze da draußen in der Welt. Und zu viele Menschen recyceln einfach ihre Passwörter. Auch wenn man es selbst nicht tut; es reicht, wenn es einer der Kollegen macht und dadurch die Daten aller gefährdet werden. Die meisten Passwörter befinden sich im Grunde alle auf dem gleichen Sicherheits­level – sei es für die Online-Einkaufsliste oder das Online-Bankkonto. Alles auf Basis von acht oder zwölf bis 18 Zeichen. Das ist nicht gut für den Standard des 21. Jahrhunderts und angesichts der Fähigkeiten von Hackern. Und automatisierter Tools zum Knacken von Passwörtern.
t3n: Was ist mit biometrischen Authentifizierungsoptionen? Da gibt es doch schon einiges.

Wir brauchen aber eine echte Multifaktorauthentifizierung. Zum einen biometrische Authentifizierung – Gesichts- und Stimm­erkennung, das Scannen der Iris oder eine Kombination aus ­allem. Wir alle haben Smartphones mit so vielen Sensoren und so viel Rechenkraft, dass es wirklich einfach wäre, eine einzigartige Kombination aus Fingerabdruck und zum Beispiel Stimm­erkennung zu schaffen. Wenn wir heute über Multifaktorauthentifizierung sprechen, dann ist das im Grunde nur ein Code, der zusätzlich zum Passwort an unser Handy gesendet wird. Das reicht nicht aus. Aber gerade Unternehmen müssen über Neues nachdenken.

Anzeige
Anzeige

t3n: Wozu würden Sie denn raten?

Etwa eine weitere Hardware-Komponente oder eine spezifische IP-Adresse. Was wirklich interessant ist, ist etwas, das sich kontinuierliche Verhaltensauthentifizierung nennt. Das klingt nach Big Brother, kann aber hilfreich sein. Google macht das etwa, sie tracken nicht nur das Passwort, sondern auch den geografischen Aufenthaltsort sowie weitere Logins. Die nächste Stufe ist das, was manche Finanzdienstleister machen: kontinuierliches biometrisches Verhaltenstracking, also wie man tippt, wie man mit dem Cursor von einem Tab zum anderen klickt. So überprüfen sie den Nutzer. Die Zukunft liegt in der Kombination aus Biometrie, Hardware und auch kryptografischen Lösungen. Aber wir nutzen das noch nicht: wegen der Reibung, die es verursacht.

„Bug-Bounty-Programme sind eine Alternative zu einer kriminellen Laufbahn.“

t3n: Heißt: Die Leute sind zu bequem; es ist ihnen letztlich einfach zu kompliziert.

Anzeige
Anzeige

Richtig, in der Payment- und App-Welt versucht man alles, um Reibungen zu verhindern, einen zusätzlichen Schritt, eine zusätzliche Registrierung, bloß nicht! Doch leider ist die Realität, dass Sicherheitsmechanismen nun mal zu Reibungen führen. Sie machen unser Leben nicht einfacher. Das beste Beispiel dafür ist Zoom. Warum ist es so erfolgreich? Weil man kein Passwort und keinen Benutzernamen braucht. Einfach draufklicken und es funktioniert.

t3n: Doch dann begann das Zoom-Bombing …

Genau, und die Leute haben zum ersten Mal darüber nachgedacht: Wenn es für sie selbst so einfach ist, sich einzuloggen, muss es wohl auch für jemanden, der Böses im Schilde führt, einfach sein. Am Ende haben manche Unternehmen die Nutzung von Zoom verboten. Sicher­heit steht immer in Konflikt mit Komfort und leichter Bedienung.

Anzeige
Anzeige

t3n: Was motiviert Hacker denn dazu, auf der Seite der Guten zu stehen und Sicherheitslücken zu melden, anstatt sie für sich zu nutzen?

Aus meiner wissenschaftlichen Arbeit kann ich sagen, dass es drei oder vier große Triebfedern gibt. Die bereits angesprochene intellektuelle Neugier. Dann die Anerkennung von anderen ­Hackern und der Community. Und dann natürlich auch die finanzielle Motivation. Ich habe in den vergangenen fünf Jahren zu Bug-Bounty-Programmen geforscht. Manchen Hackern geht es dabei um die Anerkennung, es ist nur ein Hobby. Andere verdienen so ihren Lebensunterhalt, für manche ist es eine Alternative zu einer kriminellen Laufbahn.

t3n: Inwiefern?

Anzeige
Anzeige

Wenn man vor fünf bis zehn Jahren eine Sicherheitslücke entdeckt hat und sie melden wollte, musste man große Risiken eingehen, persönlich und auch rechtlich. Dazu gehört auch das Risiko, dass eine kriminelle Organisation von meiner Entdeckung erfährt und mich zwingt, für sie zu arbeiten. Das ist in manchen Teilen der Welt nach wie vor der Fall, dass Hacker Tools für Cyber­attacken entwickeln. Nicht weil sie das persönlich wollen, sondern weil sie in Ländern und Umständen leben, die sie dazu nötigen. Bug-­Bounty-Programme sind ein legaler Weg, um Geld zu verdienen – manchmal sind es zehn US-Dollar, manchmal 20.000. Vor ­Kurzem hat sich eine Gruppe von Hackern zusammengeschlossen – das kann man sich wie im Film „Ocean’s 11“ vorstellen –, um Schwachstellen im Apple-Ökosystem zu finden. Sie haben welche gefunden und Apple gemeldet. Hätten sie diese Lücken verkauft, hätten sie vermutlich zehnmal mehr dafür bekommen, aber sie hätten auch für den Rest ihres Lebens über die Schulter schauen müssen, weil sie selbst zu Kriminellen geworden wären und nur noch in dieser Welt arbeiten könnten.

t3n: Geht es letztlich dann vor allem ums Geld?

Für manche spielen auch ideologische Motive eine Rolle. Ein Beispiel: Es gab vor nicht allzu langer Zeit eine Ransom-­Malware-Attacke auf ein Industrieunternehmen, das Aluminium produziert. Später kam heraus, dass das Unternehmen Flüsse in Lateinamerika verschmutzt hat. Im Grunde könnte man also ­sagen, es handelt sich hierbei um eine ­Attacke von Öko­terroristen. Das ist zumindest die Hypothese von manchen Analysten. Politische Motive können einen Hacker auch dazu bringen, an staat­lichen Bug-Bounty-Programmen teilzunehmen – wie in den USA mit „Hack the Pentagon“. Auch in den Niederlanden und anderen Ländern gibt es ähnliche Initiativen.

t3n: Das hört sich danach an, als ob Unternehmen und Regierungen inzwischen erkannt hätten, dass es sich lohnt, ­Hacker für sich einzuspannen, statt sie zu verfolgen. Aber wie verbreitet sind Bug-Bounty-­Programme tatsächlich in der breiten Wirtschaft?

Der Anteil ist in den vergangenen zwei, drei Jahren beträchtlich gewachsen. Als ich das erste Mal in meinem Ted-Talk 2014 darüber gesprochen habe, war es noch ein ziemlich neues Phänomen, ein Silicon-­Valley-Trend. Inzwischen bieten auch Unternehmen von United Airlines über Starbucks bis hin zu Finanzunternehmen wie Western Union, die traditionell eher konservativ sind, Bug-Bounty-Programme an. Vor wenigen Monaten hat auch das US-Heimatschutzministerium (DHS) eine Direktive erlassen, dass alle großen US-Bundesbehörden Mechanismen etablieren sollen, um mit Hackern zusammenzuarbeiten. Daneben gibt es inzwischen zwei große Marktplätze, die als Vermittler zwischen Unternehmen und Hackern auftreten: Hackerone und Bugcrowd, deren eigener Unternehmenswert inzwischen mit mehr als 100 Millionen US-Dollar bewertet wird. Wenn man aber auf die Fortune 500 schaut, sind wir vielleicht bei einem Anteil von fünf bis zehn Prozent, die ein Bug-Bounty-Programm anbieten. Es gibt also noch viel Potenzial.

t3n: Was sind denn die größten Gefahren in Sachen Cyber­security für Unternehmen oder gar Länder?

Die Bedrohungslage ist sehr unterschiedlich. Für Unternehmen geht es um Daten und den Zugang zu Daten. Jedes Unternehmen ist heute von Daten und digitaler Vernetzung abhängig – ­gerade jetzt, während Covid-19, können sie nur so überhaupt existieren. Im Fall von Regierungen geht es um viel mehr, um die Bedrohungen für die physische Welt. Zum Beispiel Attacken auf die Energieversorgung. Ich sitze jetzt gerade auch im ­Dunkeln und kann nichts dagegen tun, mein Essen im Kühlschrank verdirbt wahrscheinlich langsam, weder Klimaanlage noch ­Heizung funktionieren. Ich habe nur fließend Wasser und meinen Akku. Ohne Strom funktionieren keine Industrieanlagen, keine Lebensmittelproduktion, keine medizinische Versorgung im Krankenhaus.

t3n: Wie sieht es denn mit Wahlen aus? Da geht es zwar nicht um die kritische Infrastruktur im klassischen Sinne, aber sie entscheiden über das Schicksal eines ganzen Landes, manchmal sogar der Welt.

Das ist ein guter Punkt. Wahlen sind nicht nur im Sinne des demokratischen Prozesses bedroht, sondern auch, was die politische Willensbildung im Vorfeld angeht. Wir haben das mit dem Aufstieg von Social Media und Fake News erlebt. Das ganze Konzept, wie Menschen ihre Meinung bilden und Entscheidungen treffen, ist dadurch bedroht. Was die Stimmabgabe angeht – sie erfolgt in den meisten Ländern nicht digital. Wenn aber erst mal die Stimmen abgegeben sind, dann werden sie gezählt. Dazu werden spezielle Tabelliermaschinen eingesetzt und hier liegt das Risiko. Selbst wenn man persönlich zur Wahlurne geht und sein Kreuz auf Papier macht, gibt es irgendwann im System eine Stelle, an der die Daten verarbeitet und übermittelt werden, um der Welt dann das Ergebnis mitzuteilen. Jede Wahl ist damit digital, ob wir das wollen oder nicht.

t3n: Sie haben mal gesagt, dass das Internet es hasst, wenn versucht wird, Dinge zu entfernen, und dann entsprechend zurückschlägt. Was halten Sie von EU-Regulierungen, Uploadfiltern und Bemühungen, die Macht von Techunternehmen zu begrenzen?

Das sind zwei unterschiedliche Dinge. Als ich sagte, das ­Internet mag es nicht, wenn Dinge entfernt werden, meinte ich damit ­explizit ­Hacktivism am Anfang der 2000er-Jahre mit Bezug auf Anonymus und den Arabischen Frühling, als Regierungen versucht haben, das Internet abzuschalten, und Hacker den Menschen halfen, Zugang zum Netz zu bekommen. Heute sehen wir, dass das Internet ein Eigen­leben entwickelt hat. Wir müssen sehr vorsichtig damit umgehen, was wir teilen, denn wir wissen nicht, wie das, was wir heute teilen, morgen verwendet wird. Zum Beispiel, ob die Geo-Daten, die wir heute einer Fitness-App über­lassen, nicht morgen über den Verkauf an dritte Unternehmen bei den Steuerbehörden landen.

t3n: Befürworten Sie also mehr Regulierung?

Mit Regulierungen habe ich kein Problem, außer dass zu wenig, zu spät kommt. Ich will damit nicht sagen, dass unser Leben viel stärker reguliert werden sollte, sondern dass viele Regulierungen, die das Handeln von Unternehmen kontrollieren sollen, erst angegangen werden, wenn das Problem schon in der Welt ist. Wir müssen uns als Konsumenten und Entscheidungsträger viel besser informieren über die Technologie, die wir nutzen, und von Hackern lernen. Sie zeigen uns, wie die Realität aussieht und was möglich ist. Vielleicht sollten Hacker einfach die Regulierungen schreiben.

t3n: Wollen Hacker das denn?

Ja, in der Tat. In den vergangenen Jahren haben sich Hacker-­Gruppen zusammengeschlossen, um im Politikbereich zu­ ar­beiten, gemeinsam mit Behörden und sogar mit internationalen ­Organisationen.

t3n: Wie kann man sich das dann vorstellen? Gibt es da spezielle ­Taskforces?

Es gibt dafür tolle Beispiele: Zum Beispiel die Electronic Frontier ­Foundation, die in den USA, aber auch weltweit tätig ist. Dann gibt es da noch I am the Cavalry, die sich auf Gesundheits­politik und das Hacken von medizinischen Geräten konzentriert und heute mit der US-Lebensmittel- und Arzneimittelbehörde FDA kooperiert, um ­Hacker mit Krankenhäusern und Herstellern von Medizingeräten zusammenzubringen, um Schwachstellen zu eruieren. In unserer Cybersecurity-Branche habe ich schon einige Menschen kennengelernt, die sich politisch engagieren. Katie Moussouris zum Beispiel. Sie ist Mit­autorin des internationalen Standards für die Offenlegung von Sicherheitslücken. Und gilt damit als Pionierin der Bug-Bounty-Programme. Ein weiteres Beispiel ist meine eigene Schwester, Amit Elazari, die als Anwältin zu den führenden Experten für die rechtlichen Rahmenbedingungen von Bug-Bounty-Programmen zählt. Dass sie alle sich Zeit nehmen, in der öffentlichen Politik zu arbeiten und sich damit für uns alle engagieren, erfüllt mich mit Hoffnung.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige