Archiv
03. April 2017

Hacker im Namen der Sicherheit

Ivano Somaini kennt alle Tricks, die Angestellten Informationen entlocken und Zugang zu sensiblen Daten ermöglichen: Als Social Engineer ist er darauf spezialisiert, technische und menschliche Schwachstellen auszunutzen. Aus gutem Grund.

IT-Spezialist und Social Engineer Ivano Somaini
Kann schauspielern, tricksen und manipulieren: IT-Spezialist und Social Engineer Ivano Somaini.

Sie sind sich für nichts zu schade. Oder vielleicht lieben sie einfach das Abenteuer ein wenig mehr als Durchschnitts-IT-Sicherheitsberater. Deshalb begeben sich Ivano Somaini und seine Kollegen auch schon mal als Samichlaus verkleidet auf Mission. Der Tag: 6. Dezember. Ihr Ziel: eine Bank. Somaini, Kopf und Erfinder der Mission, ist sich nicht absolut sicher. Aber er nimmt an, dass die Abteilung, auf die sie es abgesehen haben, einen Samichlaus bestellt hat. Prompt lässt der Sicherheitsdienst den «falschen» Chlaus durch – dafür wird der richtige später am Empfang hängen bleiben.

Der Samichlaus streift durch die Abteilung, verteilt mit der einen Hand Nüsse und Mandarinen und versucht mit der anderen, möglichst viel Material einzusammeln: CDs und USB-Sticks, auf denen sich nützliche Informationen wie E-Mail-Adressen befinden könnten. Er schaut sich die Umgebung an. Wo sitzt der Teamleiter? Gibt es Namensschilder? Wo befindet sich der ­Serverraum? Alles wichtige Informationen, die Somaini und sein Team später nutzen könnten – hätten sie kriminelle Absichten.

Der Mensch lässt sich leicht manipulieren

Die hat Somaini natürlich nicht. Der 33-Jährige prüft Systeme auf Herz und Nieren – im Auftrag von Banken, Versicherungen, Pharma- und Energiekonzernen oder des Bundes. Dafür führt die Sicherheitsfirma Compass Security, für die Somaini als Teamleiter arbeitet, sogenannte «penetration tests» durch: Mittels Scanningprogrammen wird kontrolliert, ob die Türen im digitalen Sicherheitsgebäude, das sensible Daten beherbergt, sich wirklich nur von befugten Personen öffnen lassen.

«Hunderprozentig sicher ist kein System», sagt Somaini. Und selbst wenn das digitale System den Test besteht, ist da noch das analoge: der Mensch. Das ist das Spezialgebiet des Social Engineers Ivano Somaini, des sozialen Manipulators. «Menschen sind in der Regel gutmütig. Sie denken sich nichts Schlimmes, wenn der Samichlaus kommt.»

Die Menschen sind eher hilfsbereit und halten Somaini – diesmal ist er selbst im Anzug unterwegs – die Tür von der Tiefgarage ins Bankgebäude auf, weil er so tut, als würde er seinen Badge nicht finden. Schon ist er drin. Und: Die Menschen plaudern.

An diesem Wintermorgen betritt er das Café und zieht höflich den Hut. Kein Wunder, fassen die Menschen so schnell Vertrauen zu diesem Mann: ein erfrischender Kerl, interessiert, aufmerksam, witzig. Auch wegen seines Akzents. Somainis Muttersprache ist Italienisch. Aufgewachsen ist er im Bündner Südtal Misox. Sein Vater restaurierte Kirchen in der ganzen Schweiz und erzählte dem Sohn von den Geschichten und den Mythen, die die Kirchenwände zierten. Er liebte diese Geschichten und ihre Geheimnisse.

Schon als Kind entdeckt er, dass auf dem Computer, auf dem er spielt, auch die Codes des Spiels gespeichert sind. Die manipuliert er so, dass er immer gewinnt. Als Jugendlicher geht er nicht im Tessin, sondern in Chur in die Kantonsschule, um besser Deutsch zu lernen. Dort meldet er sich bei der Theatergruppe an – zum ersten Mal schlüpft er in andere Rollen. Später studiert er Computerwissenschaften an der ETH.

Hinaus zu den Kunden geht Somaini heute kaum mehr, das überlässt er den jüngeren Kollegen. Er denkt sich die Missionen aus, koordiniert und agiert per Telefon und E-Mail. So bringt er etwa eine Chefsekretärin telefonisch dazu, ihm das Passwort ihres Chefs zu verraten, indem er sich als Mitarbeiter der IT-Abteilung ausgibt. Später schreibt er vom E-Mail-Account des Chefs und bittet sie darum, «ihm» auch noch die Schlüssel zu legen, weil «er» sie vergessen habe und «spätabends nochmals ins Geschäft» müsse.

Nicht alle, die nett aussehen, sind nett

Somainis Husarenstück: Von einer Adresse, die sich nur durch einen einzigen Buchstaben von der regulären Firmenadresse unterscheidet, schickt er Bankangestellten eine E-Mail mit fiesem Anhang. Die Nachricht kommt daher, als sei sie für die Chefetage bestimmt, nun aber versehentlich an alle verschickt worden. Der Betreff: Boni-Rechner. Zwei Drittel der Adressaten öffnen das Dokument um­gehend – und schon hat sich eine Spionagesoftware auf ihren Computern festgesetzt.

Somaini und seine Kollegen gehen vor wie Hacker, nur dass sie das im Namen der Sicherheit tun. Oft sind nicht nur ihre Auftraggeber, sondern auch sie selbst überrascht, wie einfach es ist, an Informationen zu gelangen. Somaini erzählt auch deshalb von seiner Arbeit, weil er sensibilisieren will: Nicht alle, die nett ausschauen oder am Telefon schmeicheln, sind auch nett.

Cyberkriminelle machen inzwischen weltweit bald so hohe Umsätze wie Drogenkartelle. Doch Somaini betont: Leichtgläubiges Personal, das den Betrügern auf den Leim geht, auf den Mond schiessen zu wollen, sei wenig sinnvoll. Aufklären dagegen schon. Immerhin ein kleiner Trost: Auch John Brennan, bis Mitte Januar Barack Obamas CIA-Chef, soll gehackt worden sein. Von ­einem Schüler. 

Autor: Erika Burri

Fotograf: Dan Cermak