09. November 2017

Der Profi-Hacker schützt seine Privatsphäre

Der Berliner Jonathan kümmert sich um den Kommunikationsschutz und die Datensicherheit von Unternehmen. Er selbst schützt seine Privatsphäre radikal und konsequent. Ein Gespräch über das Schreiben auf Papier, sichere Internetnutzung, künstliche Intelligenz und Einzelpersonen, die Staaten gefährlich werden können.

Hacker Jonathan
Lesezeit 8 Minuten

Jonathan, wir haben uns verabredet, um über Sie und Ihre Tätigkeit als Berufshacker zu sprechen. Und weil wir erfahren wollen, wie man sich im Internet besser schützen kann. Aber Sie sind ein Privatsphäre-Extremist: Man findet kaum Informationen über Sie, und ich darf jetzt kein Aufnahmegerät benutzen.

Ich bin also «der Hacker»? (lacht) Was ich mache, heisst Penetration Testing, so nennt man legales Hacken.

Und was machen Sie da?

Ich arbeite bei einer Firma, die sich um Datensicherheit kümmert – da geht es um Kommunikationsschutz, also das Verhindern von Abhören, und um die sichere Datenlagerung in der Cloud. Unsere Kunden sind unter anderem Finanzfirmen und Anwaltskanzleien. Zusätzlich beschäftige ich mich mit technischer Entwicklung und bin in Bedrohungsanalysen involviert.

Worum geht es bei Bedrohungsanalysen?

Ich versuche mittels Security Research festzustellen, wodurch Schaden angerichtet werden kann. Basierend darauf entwickle ich ein Schutzkonzept, setze es um und verifiziere es mit Penetration Testing. Security Research und Penetration Testing sind die zentralen Begriffe für die forschende Tätigkeit in der Systemsicherheit, also für legales Hacken. Wobei Security Research nicht immer legal ist.

Wie kamen Sie zu diesem Beruf?

Ich wollte entweder Musiker werden oder in der IT arbeiten. So habe ich eine Ausbildung als Softwareentwickler gemacht und Informatik, aber auch Musik studiert. Als Jugendlicher fand ich die dunkle Seite der IT interessant, habe Software geschrieben, um Software zu zerstören. Nach meinem Musikstudium war mir klar, dass ich als Profi-Musiker nicht gut genug bin. Dann wollte ich in den Staatsdienst, habe jedoch aufgrund meiner jugendlichen Verfehlungen die Sicherheitsüberprüfung als Staatshacker nicht bestanden. In die Bundeswehr schaffte ich es dennoch. Noch während dieser Zeit habe ich mich selbständig gemacht und mit einem Geheimdienstoffizier und einem Kameraden eine Firma gegründet.

Wie sieht Ihr Arbeitsalltag heute aus?

Natürlich sitze ich viel vor dem Computer. Zu 30 Prozent werte ich Branchennachrichten aus. Die übrige Zeit mache ich Security Research, programmiere, teste. Ich gehe auch als Berater zu Kunden und zu Konferenzen, etwa zur Black-Hat-Sicherheitskonferenz. Ausserdem lese ich Europolberichte und kommuniziere mit Kollegen in der Branche. Vier Tage in der Woche arbeite ich von zu Hause aus, an einem Tag mit einem Team in einem Büro. Wir sind 20 bis 25 Personen.

Wir sitzen hier ganz normal in einem Café, aber bei bestimmten Anlässen, wie zuletzt dem Hackers Congress in Prag, erscheinen Sie nur maskiert – warum?

Weil ich dann als öffentliche Person auftrete. Die private Person landet in keiner Zeitung und keinem Interview. Die Maske ermöglicht, ohne Konsequenzen die Wahrheit sagen zu können, das ist ein wichtiger Aspekt.

Sie sind ein Privatsphäre-Extremist, was bedeutet das konkret im Alltag?

Ich habe kein Handy, nur ein Festnetztelefon, das stumm geschaltet ist. Durch meine Arbeit habe ich Telefonklingeln eine Zeit lang mit Stress assoziiert. Inzwischen nutze ich einen Pager, der nur empfangen kann und ungefähr zweimal am Tag piepst. Den Pager habe ich auch aus Privatsphäregründen, er hinterlässt keine Spuren: Man kann also durch die Stadt gehen, ohne in einer Funkzellenabfrage aufzutauchen. Wenn ich mich mit jemandem treffe, gilt die Regel, das Telefon auszuschalten und in die Tasche zu legen.

Ich habe vorsichtshalber gar kein Telefon mitgenommen. Hinterlässt man auch Spuren, wenn man die Sim-Karte aus dem Handy herausnimmt und es ausschaltet?

Der Notruf funktioniert immer, auch ohne Sim-Karte. Das Handy loggt sich so oder so in eine Funkzelle ein.

Was vermeiden Sie noch?

Ich nutze keinerlei Social Media, ausser Twitter, das aber selten. Und ich benutze nur Bargeld.

Sie kaufen oder buchen nichts online?

Nein, ich kaufe nichts im Netz. Flugtickets buche ich übers Reisebüro – das ist dann eben manchmal ein bisschen teurer.

Ich finde es uncool, wenn alle sehen, wo man mit wem war.

Gibt es noch mehr?

Ich gebe selten meinen richtigen Namen an, nur wo es rechtlich zwingend ist. Und ich weigere mich, an Umfragen teilzunehmen. Ausserdem sammle ich keine Meilen und besitze keine Payback-Karte. Und ich lasse keine Fotos von mir machen. Ich finde es sehr uncool, wenn man online schreibt, wo man wann mit wem war. Das individuelle Foto hat heute kaum noch einen Wert.

Nutzen Sie denn privat einen Computer?

Für kreatives Schreiben ist mir das unmöglich. Ich schreibe rund 12 Moleskine-Notizbücher im Jahr voll. Das Wie und Warum ist so nur zwischen mir und dem Papier, und ich kann besser über Dinge nachdenken. Ich möchte den digitalen Schatten aus dem Leben bringen.

Wie gehen Sie ins Internet?

Internet nutze ich nicht direkt, sondern über einen VPN-Service. Auch wenn ich unterwegs bin. Das ist aus Sicherheitsgründen notwendig. Heute kann ein Fünfjähriger mitseinem Gameboy ein Netzwerk lahmlegen. Bei mir zu Hause hängt jeder automatisch am VPN. Seit 15 Jahren mache ich das so.

Auf was sollte eine Privatperson bei der Nutzung von VPNs achten?

Es gibt sehr viele Anbieter, entscheidend ist die Reputation. Das herauszufinden, ist für den Laien nicht einfach, man sollte sich beraten lassen. I-Predator, Cryptohippie, IVPN und Cryptostorm sind zum Beispiel seriöse Anbieter. Technisch ist es einfach: Ein VPN-Router wird der vorhandenen Box vorgeschaltet. Wichtig ist noch, dass der VPN-Anbieter Multi-Hop-VPN-Dienste anbieten sollte.

In der Schweiz gilt seit dem 1. September ein Nachrichtendienstgesetz, das nun Vorratsdatenspeicherung erlaubt. Die «WOZ» und der Chaos Computer Club Schweiz haben deshalb «Eine kurze Anleitung zur digitalen Selbstverteidigung» verfasst (siehe: Migmag.ch/anti-hack ). Muss man sich denn tatsächlich verteidigen?

Ja, das ist so. Das Internet ist so etwas wie der Bahnhof Zoo im Berlin der 70er-Jahre, mit Taschendieben, Drogendealern und Junkies.

Die Anleitung ist gut, aber die Autoren empfehlen unter anderem Tor-Browser.

Tor kann man gelegentlich benutzen, aber nicht für alles, das ist gefährlich. Einen Tor-Server kann prinzipiell jeder aufbauen, das ist der Knoten, an denen der Verkehr wieder ins Internet übergeht. Diese Exit-Nodes spionieren Nutzer aus, ihre Betreiber sind nicht bekannt. Ausschliesslich mit verschlüsselten Services im Internet zu kommunizieren, ist aber kaum praktikabel. Tor erhöht das Risiko, dass Daten an seltsame Charaktere gehen. Bei einem VPN hingegen kennt man den Betreiber.

Kein Interview ;-)

Was können wir sonst noch tun, um unsere Privatsphäre zu schützen?

Man sollte die Kontrolle darüber haben, was man offenlegt und was nicht. Da gibt es nur zwei Dimensionen: das ganz Private – und alles andere, also alles, was einem nicht peinlich ist und wovon man glaubt, dass es jedem bekannt sein könnte. Heute legen wir Dinge offen, die wir früher nur persönlich kommuniziert hätten oder bei denen wir es nicht für wert erachtet hätten, sie zu veröffentlichen. Und man muss sich bewusst sein, dass alles gespeichert wird. Es werden Daten gesammelt, selbst wenn noch keiner genau weiss, wofür. Facebook kann enorme Mengen von scheinbar unwichtigen Infos nutzen, um Einzelne und Gruppen zu manipulieren.

Was passiert mit diesen Daten?

Man versucht, aus diesen Datensätzen Handlungen abzuleiten. Das ist Datascience, es geht um statistische Analysen. Der andere Bereich ist Datamining: Grosse Teams sind nur damit beschäftigt herauszufinden, welche zusätzlichen Informationen noch aus Daten gewonnen werden können.

Wofür werden diese Informationen genutzt?

Von der statistischen Auswertung geht man zum Machine Learning über, dazu, künstliche Intelligenz zu trainieren: Man gibt Fragen ein, von denen man die Antworten kennt. Das System lernt mithilfe neuronaler Netzwerke, die erwartete Antwort zu geben. Künstliche Intelligenz und maschinelles Denken existieren schon seit 20, 30 Jahren. Aber heute verfügen Computer über die nötige Rechenleistung und genügend Daten, um das System zu füttern. Ein Beispiel sind Captcha, wo einem ein Bild oder Zeichen gezeigt und eine Frage dazu gestellt wird. So soll man beweisen, dass man kein Roboter ist. Jede dieser Antworten liefert Datensätze, die künstliche Intelligenz trainieren. Selbst wenn man absichtlich falsch antwortet, weiss Google genug, weil andere ehrlich geantwortet haben.

Welche Konsequenzen hat das?

Künftig werden wir Computern Fragen stellen können, von denen wir die Antworten noch nicht kennen – und dann von ihnen eine bekommen. Das führt zu neuen Problemen, denn den Computern fehlt der gesamte Reflexionsschritt. Wenn man zum Beispiel die Kreditwürdigkeit einer Person analysieren will, jagt man alle ihre Daten durch ein neuronales Netzwerk. Dabei kommt ein Kreditscore raus. Aber wir können nicht mehr sagen, wie er zustande gekommen ist. Eine Bank weiss also nicht mehr, weshalb sie einen Kredit ablehnt, kann ihrem Kunden auch nicht sagen, wie er sein Verhalten ändern kann, damit er wieder kreditwürdig wird. Wir bauen Maschinen, die Schlüsse für uns ziehen, verstehen aber nicht mehr, wie sie dazu gekommen sind.

Wir bauen Maschinen, die Schlüsse für uns ziehen, verstehen aber nicht mehr, wie sie dazu gekommen sind.

Wie kann man sich dem Abgreifen von Daten entziehen?

Nur mit einer Verhaltensänderung. Jede einzelne Interaktion mit digitalen Geräten wird aufgezeichnet und landet für immer auf einer Festplatte. Jedes Scrollen wird aufgezeichnet, Facebook weiss, wie lange man einen Post liest, ein Foto ansieht, bevor man ein Like klickt, wo die Maus auf dem Monitor ist, und so weiter. Alle diese Daten enthalten Informationen. Man sollte sich also fragen, ob man jetzt unbedingt ein Foto seines Drinks posten muss. Dadurch begibt man sich in einen Raum, der ständig Signale austauscht – und hofft auf ein Feedback, das nächste Signal. Psychologisch ist das eine hochgradig süchtig machende Interaktion. Böse Studien zu Social Media sagen, es wirke psychologisch wie Kokain, mache süchtig nach Likes oder dem nächsten Beep. Wir haben diese Systeme gezielt geschaffen, bei Google und Facebook gibt es Psychologen, die sich nur damit beschäftigen. Das ist quasi ein Cali-Kartell (kolumbianisches Drogenkartell, Anmerkung der Redaktion).

Ein düsteres Fazit.

Wir haben in den letzten Jahrzehnten verlernt, mit der realen Welt umzugehen, sondern pflegen nur noch einen indirekten Umgang damit. Unsere Vorstellung von der Welt wird mehr durch die Medien beeinflusst, als wir sie tatsächlich erleben. Die Erfahrung von Terrorismus wird so zum Beispiel überproportional intensiv medial miterlebt. Dadurch entstehen persönliche Fehleinschätzungen zum Terrorrisiko. Der Philosoph Jean Baudrillard hat das treffend in «Simulacra und Simulation» beschrieben: Wir nehmen weniger das direkte Geschehen wahr, als vielmehr die Berichte anderer über Berichte anderer. Zum Beispiel die US-Wahl: Man setzte sich nicht mehr mit realen Personen auseinander, stattdessen haben sich Medienavatare gebildet, die miteinander agiert haben. So entstand ein Feedbackloop zwischen Kommunikatoren, die als reale Kommunikation daherkam. Das hat die Wahrnehmung der Leute trainiert, ihre Erwartungen geformt und vor allem die Debatte emotionalisiert. Für ganz viele Menschen ist das, was auf Facebook und im Fernsehen passiert, dominierend. Ein gemeinsamer Zugang zu Erlebnissen wird zu gemeinsamen Erlebnissen, die sozial gemeinsam verarbeitet werden. Ein riesiger Feedbackloop wird als Realität wahrgenommen.

Welche Gefahren drohen der realen Welt durch die digitale Welt?

Wir bauen ein System auf einer Sphäre, der wir alles anvertrauen, die aber in keinster Weise vertrauenswürdig ist – und durch Dritte zu manipulieren. Man kann sich zu 100 Prozent sicher sein, dass irgendjemand auf der Welt das auch versucht. Faktisch rüsten sämtliche Staaten in diesem Bereich für den Fall eines Angriffs auf. Alle hacken sich überall ein, es ist eine Strategie des globalen Gleichgewichts wie im Kalten Krieg. Weil Staaten einander so tief wie möglich infiltrieren, entsteht ein Risiko, das es zur Zeit des Kalten Kriegs so nicht gab. Damals hatte man sich gegenseitig gut im Blick, es gab nur wenige Akteure. Heute reden wir über 100 Staaten, Hunderte von kriminellen Syndikaten und Privatunternehmen und seltsame Organisationen, die alle mitmischen. Und über Tausende, die die Fähigkeiten haben, Unheil anzurichten. Wir können nicht mehr sagen, welche Motivationslagen zu einem Erstschlag führen können, und sind nicht in der Lage, ihn einer physischen Person zuzuordnen. Kurzum, wir wissen nicht, wer welche Systeme angreifen kann. Viele Politiker glauben, dass nur staatliche Akteure uns angreifen können. Aber auch Individuen können eine Gefahr für Staaten darstellen. 

Benutzer-Kommentare

Verwandte Artikel

Roland Ris

Plädoyer fürs kreative Fluchen

Frau am Handy

FOMO oder die Angst, etwas zu verpassen

Social Media: supertotto/2 agenten

Kommunikation im Wandel

Turbo Achterbahn

Selbständige müssen Berg-und-Tal-Fahrt lieben