neustes

AUS DEM BAUCH HERAUS Persönlichkeiten

Kevin Mitnick – Der Mann, der keine Firewall brauchte

Wie man mit einem Lächeln und einer Lüge die sichersten Systeme der Welt knackt

Heute wird’s ungemütlich. Nicht wegen einer neuen Sicherheitslücke in einem Betriebssystem, das ihr sowieso nicht nutzt. Auch nicht wegen eines Virus, der eure Festplatten verschlüsselt. Heute geht es um etwas viel Grundlegenderes. Etwas, das keinen Patch kennt, für das es keinen Virenscanner gibt und das in jeder Besprechung, an jedem Telefon und in jeder Firma sitzt.

Ich rede von euch. Von mir. Von uns.

Kevin Mitnick, der Mann, der das zum Beruf gemacht hat, nannte es „Social Engineering“. Die Kunst, Menschen auszutricksen, nicht Maschinen. Wir graben heute tief in den Akten des berühmtesten Hackers der Welt. Und wir werden sehen: Das größte Loch im System sitzt immer noch vor dem Bildschirm.

1. Der Prolog – Die Telefonzelle in L.A.

Los Angeles, irgendwann 1992. In einer schäbigen Telefonzelle steht ein junger Mann, den Blick konzentriert auf das Wählscheibe. Er wirft eine Münze ein, wählt eine Nummer. Am anderen Ende meldet sich ein Techniker von Motorola.

„Hallo, hier spricht Anton Chernoff aus der Entwicklung“, sagt der junge Mann mit fester Stimme. „Wir haben hier eine verdammt kritische Sicherheitslücke in unserem System entdeckt. Ich brauche dringend Zugang, um einen Patch einzuspielen, sonst ist der Laden morgen vielleicht offline. Der FBI-Typ, dieser Mitnick, der ist hinter uns her. Können Sie mir helfen?“

Der Techniker, verunsichert von der Dringlichkeit und dem Namen des FBI, nickt innerlich. Klar, wenn der Chef persönlich anruft… Er notiert sich die Anweisungen, gibt dem Anrufer die benötigten Zugangsdaten durch. Der junge Mann bedankt sich knapp, legt auf, und lächelt. In der Tasche seiner Jacke steckt kein Dienstausweis von Motorola. Nur ein abgegriffener Ausweis der öffentlichen Bibliothek.

Der junge Mann hieß Kevin Mitnick. Er war 29 Jahre alt, stand auf der Most-Wanted-Liste des FBI und hatte gerade wieder bewiesen, dass die beste Firewall der Welt aus zwei Ohren, einem Mund und einem Gehirn besteht – nur leider auf der falschen Seite der Leitung .

2. Der Mensch – Der Fuchs, der die Jäger auslachte

Kevin Mitnick war kein typischer Hacker, wie ihn sich die Öffentlichkeit vorstellt: der einsame Nerd im dunklen Keller, der nächtelang Codezeilen wälzt. Nein, Mitnick war ein Jäger. Ein Meister der Tarnung. Er wuchs in Los Angeles auf und entdeckte schon früh, dass das Telefonnetz ein Spielzeug war, mit dem sich die Welt manipulieren ließ .

Er interessierte sich nie für Geld. Ihn trieb der Nervenkitzel, das Spiel, der Beweis, dass er es kann. Dass er schlauer ist als das System und die Leute, die es bewachen. Er hackte nicht nur Computer, er hackte die Realität. Er las die Akten der Strafverfolgungsbehörden, hörte Gespräche des FBI ab und wusste oft mehr über die Agenten, die ihn jagten, als diese selbst.

Als er untertauchte, erfand er sich einfach neu. Er suchte sich den Namen Eric Weiss aus – den bürgerlichen Namen des Entfesselungskünstlers Harry Houdini . Ein schöner ironischer Zug, schließlich war er selbst ein Meister der Flucht. Er rief bei der Sozialversicherungsbehörde an, gab sich als Beamter aus und erschlich sich die Sozialversicherungsnummer eines echten Eric Weiss. Dann bestellte er eine Kopie von dessen Geburtsurkunde. Ausgestattet mit diesen Papieren, beantragte er einen Führerschein. Mit diesem Ausweis zog er nach Denver, erfand einen Lebenslauf und arbeitete ganz legal als Anwalt, während er nachts weiterhin die Systeme von Nokia und Novell erkundete . Drei Jahre lang führte er das FBI an der Nase herum – nicht mit Gewalt, sondern mit Chuzpe und einem Telefon.

3. Das Problem – Die Sicherheitslücke Mensch

Die Sicherheitsindustrie verkauft uns seit Jahrzehnten teure Schlösser. Firewalls, Verschlüsselungen, Intrusion-Detection-Systeme – ganze Industriezweige leben davon, die Festungen immer höher zu mauern. Und das ist auch gut so.

Aber was nützt das dickste Burgtor, wenn der Pförtner den ersten Fremden, der sich als Kurier ausgibt, freundlich hereinbittet?

Das Problem, das Mitnick erkannte, ist so alt wie die Menschheit: Wir sind soziale Wesen. Wir sind darauf programmiert, zu helfen, zu vertrauen, Autoritäten zu respektieren und Konflikte zu vermeiden. Ein Social Engineer spielt nicht gegen den Code, er spielt auf diesem Klavier der menschlichen Psyche .

Mitnick identifizierte vier Saiten, auf denen er immer spielen konnte:

  1. Der Helferreflex: Wir wollen gerne nützlich sein.
  2. Das Vertrauensvorschuss-Prinzip: Wir gehen erstmal davon aus, dass unser Gegenüber ehrlich ist.
  3. Die Kunst, Nein zu sagen: Den meisten fällt es schwer, jemanden abblitzen zu lassen.
  4. Die Eitelkeit: Wir mögen es, wenn man uns wichtig nimmt oder uns schmeichelt .

Ein 17-jähriger Mitnick rief einfach bei der Firma DEC an und bat um Zugang zum System – als leitender Entwickler. Punkt. Drei der vier Saiten hatten geschwungen. Der Techniker half, vertraute, und konnte nicht Nein sagen zu einem vermeintlich Höhergestellten .

4. Der Bau / Die Funktionsweise – Das Handwerkszeug des Hochstaplers

Social Engineering ist kein Zaubertrick, es ist Handwerk. Und wie jedes Handwerk hat es seine Werkzeuge und Techniken. Schauen wir sie uns an.

Erstens: Die Recherche. Bevor Mitnick zuschlug, wurde er zum Stalker – im positiven Sinne. Er durchforstete Firmenwebseiten nach Namen, las Pressemitteilungen, wühlte in Mülltonnen nach Notizen. Wer spricht auf Konferenzen? Wer ist gerade im Urlaub? Wie heißt der Hund des Abteilungsleiters? Alles Puzzlestücke für die spätere Legende.

Zweitens: Der Vorwand. Die glaubwürdige Geschichte. Der Klassiker: der IT-Support. „Guten Tag, hier ist die EDV-Abteilung. Wir haben einen seltsamen Befall auf Ihrem Rechner festgestellt. Um die Sicherheit zu gewährleisten, müssen wir schnell Ihr Passwort zurücksetzen. Darf ich es mir notieren?“

Drittens: Die Ausnutzung von Autorität. Menschen reagieren auf Titel und vermeintliche Macht. Also gab sich Mitnick als Chernoff aus, als Entwicklungsleiter, als FBI-Agent. Er erfand sich eine Autorität, der man nicht widerspricht.

Viertens: Die Erzeugung von Dringlichkeit. „Wenn wir jetzt nicht handeln, ist die Firma ruiniert!“, „Ihr Konto wird in 24 Stunden gelöscht!“. Wer unter Druck steht, denkt nicht nach.

Fünftens (und am hinterhältigsten): Die schöne neue Welt des USB-Sticks. In den Archiven seiner späteren Firma, der Mitnick Security Consulting, gibt es einen Klassiker. Man lässt einen USB-Stick mit einem Firmenlogo auf dem Parkplatz liegen oder in der Kantine „vergessen“. Irgendwann findet ihn ein Mitarbeiter. Neugierig, vielleicht sogar hilfsbereit, steckt er ihn in seinen Rechner, um zu sehen, wem er gehört. Zack. Der Stick installiert einen Trojaner. Kein Klingeln an der Tür, kein nerviger Anruf. Die Neugier des Mitarbeiters erledigt den Rest . In einer seiner Vorführungen nahm Mitnick ein scheinbar normales iPhone-Ladekabel, steckte es in einen Laptop und hatte sofort die Kontrolle darüber. Das Kabel selbst war die Waffe .

5. Das Herzstück – Der Riss im System namens Vertrauen

Was ist das Geniale, das Heimtückische an dieser Methode? Es ist die Tatsache, dass sie keine Sicherheitslücke im Code ausnutzt, sondern eine im System namens Gesellschaft.

Der große Coup, der mir immer wieder im Gedächtnis bleibt, ist nicht der Einbruch in einen Großrechner. Es ist der Einbruch in ein gesichertes Rechenzentrum einer Bank. Das Gebäude hatte Wachpersonal, Sicherheitsschleusen, alles, was das Security-Herz begehrt. Mitnick spazierte einfach rein.

Zuerst rief er die Hausverwaltung an, gab sich als interessierter Mieter und ergatterte eine Besichtigungstour. In seinem Terminkalender versteckt trug er einen kleinen Scanner, der die HID-Codes der Sicherheitsausweise der Mitarbeiter lesen konnte. Mit diesen Daten ausgestattet, ging er später auf die Herrentoilette, wo er mit einem stärkeren Scanner in seinem Rucksack die Codes der hereinkommenden Männer einsammelte. Einen dieser Codes klonte er auf eine leere Karte und marschierte damit seelenruhig am Empfang vorbei in den heiligen Gral der Datensicherheit .

Die Schwachstelle war nicht der Türcode. Die Schwachstelle war die Höflichkeit des Hausverwalters, der ihm die Tür öffnete, und die Tatsache, dass niemand auf einer Herrentoilette einen Rucksack als Sicherheitsrisiko betrachtet. Das Vertrauen in die sozialen Normen – dass man Besichtigungen macht, dass man auf Toiletten geht – war der Riss, durch den er schlüpfte.

6. Das Ende – Vom Gejagten zum Jäger im weißen Kittel

Am 15. Februar 1995 war das Spiel aus. Ein japanischer Sicherheitsexperte namens Tsutomu Shimomura, den Mitnick zuvor selbst gehackt hatte, half dem FBI, ihn aufzuspüren . Mitnick wurde verhaftet und saß fünf Jahre im Gefängnis, davon acht Monate in Einzelhaft. Die Auflagen nach seiner Entlassung waren drakonisch: Drei Jahre lang durfte er keinen Computer, kein Handy, keinen Codec anfassen – nicht mal eine Spielkonsole .

Man könnte meinen, das sei das Ende der Geschichte. Ein zerstörter Mann, kriminell, vorbestraft. Aber die Technikwelt dreht sich weiter. Und sie brauchte jemanden, der ihre weichen Flanken kennt.

Heute ist Kevin Mitnick (der 2023 leider verstorben ist) einer der gefragtesten Sicherheitsberater der Welt. Seine Firma, Mitnick Security Consulting, hackt für Unternehmen – mit deren Erlaubnis, versteht sich. Er testet die „menschliche Firewall“. Und seine Erfolgsquote liegt angeblich bei 100 Prozent. Jedes Unternehmen, das er testete, hat er geknackt. Nicht weil die Technik versagte, sondern weil irgendwann, irgendwo, ein Mensch half, vertraute, oder einfach nur neugierig war .

Er hat seine Methoden in zwei Büchern offengelegt: „Die Kunst der Täuschung“ und „Die Kunst des Eindringens“ . In diesen Büchern, die heute in jedem Regal eines Sicherheitsbeauftragten stehen sollten, erzählt er genau die Geschichten, die wir hier besprechen. Keine patentierten Exploits, sondern Geschichten von Menschen, die für einen Moment nicht aufgepasst haben.

7. Der Epilog – Was bleibt?

Was bleibt von der Geschichte des Kevin Mitnick für uns? Ist es nur eine nette Anekdote aus den Kindertagen des Internets?

Nein. Es ist aktueller denn je. Die Angriffe auf das Weiße Haus, auf Sony, auf RSA – sie alle begannen nicht mit einem 0-Day-Exploit, sondern mit einer Phishing-Mail, einem Anruf, einem gezielten Köder .

Der wichtigste Satz, den Mitnick je gesagt hat, ist vielleicht dieser: „Es gibt keinen Patch für Dummheit oder Naivität.“ .

Ihr könnt eure Firewalls noch so hochziehen, eure Passwörter noch so kompliziert machen – wenn der Mitarbeiter am Empfang den Typen mit der Kaffeetasse und dem gefälschten Ausweis hereinlässt, weil er ihm den Rucksack hält, ist alles umsonst.

Der Funke, der bleibt, ist die Erkenntnis: Sicherheit ist kein Produkt, das man kauft. Es ist ein Prozess, eine Haltung, ein Training. Es ist das komische Bauchgefühl, wenn jemand zu freundlich ist, zu dringend, zu autoritär. Es ist der Moment, in dem du dich entscheidest, nicht zu helfen, sondern nachzufragen. Es ist der Mut, einfach aufzulegen und die offizielle Nummer zurückzurufen.

Mitnick hat die Taschenuhr des FBI-Chefs geklaut, als er in dessen Büro war. Er hat bewiesen, dass man die stärkste Festung nicht mit einem Rammbock öffnen muss, sondern mit einem Lächeln und einem plausiblen Grund.

Die Maschine ist nur der Buchstabe. Der Mensch ist das Wort. Und manchmal lügt das Wort.

Also, beim nächsten Mal, wenn das Telefon klingelt und sich jemand als IT-Support ausgibt, der dringend euer Passwort braucht – denkt an den jungen Mann in der Telefonzelle in L.A. Und legt einfach auf.

Quellen und weiterführende Literatur:
Die Geschichten und Zitate in diesem Artikel stammen aus verschiedenen Quellen, die das Leben und Wirken Mitnicks dokumentieren. Besonders aufschlussreich sind die Original-Berichte aus der Wiener Zeitung von 2012 , die Konferenzberichte von der Druva-Seite  sowie das Interview in der Kronen Zeitung . Die detaillierte Beschreibung seiner Methode mit den vier Prinzipien der Manipulation findet sich in den Analysen von WeLiveSecurity . Wer tiefer graben will, dem seien Mitnicks eigene Werke empfohlen, deren Inhalt auf Wikipedia und den Verlagssepen gut zusammengefasst ist: „Die Kunst der Täuschung“ (mitp-Verlag) und „Die Kunst des Eindringens“ .

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst