Dienstagabend, 18 Uhr. An anderen Tagen starte ich um diese Uhrzeit in die Freizeit. Heute lerne ich hacken.

Der Kurs des Anbieters Smart Ninja findet im Keller eines Co-Working-Space im neunten Bezirk in Wien statt. Als ich eintrete, schließt gerade ein junger Mann einen Laptop an einen Beamer an. Er heißt Markus Angermann, ist Experte für IT-Systeme und hält heute den Workshop. Die Teilnehmer, sechs Männer zwischen 35 und 65 Jahren, klappen einer nach dem anderen ihren Laptop auf. Alle sind sofort per du. Markus will erfahren, was wir von dem heutigen Abend mitnehmen wollen. Hans, der Pensionist neben mir, will sein W-LAN gegen fremde Zugriffe schützen. Etienne, der französische Ingenieur, will am Ball bleiben. Ich sage, dass ich erfahren möchte, was Cyber-Security in der Praxis bedeutet. Gute Hacker, die die Systeme vor bösen Hackern schützen, sind derzeit höchst gefragt. Umfragen zeigen, dass die Mehrzahl der Unternehmen bereits Opfer von Cyberkriminalität waren.

Schon bald erkenne ich: Gute Hacker machen im Grunde dasselbe wie böse. Sie suchen mit unterschiedlichen Taktiken nach Sicherheitslücken. Internet-Security-Studenten wechseln daher zunächst die Rolle, lernen also die Tricks der Bösen – um nicht darauf reinzufallen.

Fake-Webseiten erstellen

Auf dem Lehrplan steht zunächst "Phishing", eine Technik, mit der Hacker Daten in großen Mengen abgreifen. Und zwar über gefälschte E-Mails oder Webseiten. Jeder kennt die E-Mails, angeblich von der Bank verschickt, in denen man aufgefordert wird, auf einer Webseite seine Kreditkartendaten einzugeben. Ein großangelegter Phishing-Versuch ereignete sich vergangenes Jahr. Den Empfängern einer Whatsapp-Kettennachricht wurde Gratis-Milka-Schokolade in Aussicht gestellt, wenn sie auf der Webseite ihre Adressen eingeben. Wer den Link anklickte, landete allerdings nicht auf der echten Milka-Seite, sondern auf "milka.com". Wer nicht auf den Trick hereinfallen will, sollte also genau auf die Schreibweise der URL achten. Markus zeigt uns, wie man eine Webseite täuschend echt nachbauen kann, und wir merken: Es ist einfach. Erschreckend einfach.

Die Motive der schlechten Hacker sind unterschiedlich. Einige wenige hacken einfach aus Spaß, sagt Markus. Die meisten jedoch wollen damit Geld verdienen. Sie verkaufen die Daten weiter oder erpressen denjenigen, der gehackt wurde. Das passierte vor zwei Jahren den Betreibern des Seehotels Jägerwirt in Kitzbühel. Der Angreifer legte den Computer lahm, auf dem die Chipkarten für die Zimmer programmiert werden. Die Gäste blieben ausgesperrt, bis die Hotelbetreiber das Lösegeld von 1500 Dollar zahlten. Solche Erpressungsversuche könnten auch Einzelpersonen treffen, sagt Markus: Hacker übernehmen Social-Media-Konten, knacken das Bankkonto und fordern vom Besitzer Geld.

Großkonzerne fürchten sich besonders vor diesen Erpressungsversuchen. Google hat eine raffinierte Variante gefunden, mit Schwachstellen umzugehen. Mehrmals belohnte das Unternehmen diejenigen, die eine Sicherheitslücke im Chrome-Internetbrowser finden, mit tausenden Dollar.

Lisa1503: Lieber nicht nutzen

Das nächste Thema im Kurs: Passwortsicherheit. Bei mir galt bei der Suche nach einem neuen Passwort lange die Devise: Je leichter zu merken, desto besser. Leider sind aber genau diese Passwörter besonders unsicher. Mein Lieblingspasswort könnte ein Hacker in einer Minute knacken, zeigt mir die Seite "howsecureismypasswort.net".

Markus gibt uns Tipps, wie wir sichere Passwörter kreieren können. Einige sind mir bereits bekannt, etwa, dass man nicht den eigenen Namen und jedes Passwort nur für einen Account verwenden sollte. Andere sind mir neu, wie zum Beispiel, dass ein Passwort, das nicht aus korrekten Worten besteht, besser ist. Der Grund ist, dass Hacking-Algorithmen zunächst die Wörterbücher aller Sprachen durchprobieren. Der gute Rat ist, Rechtschreibfehler einzubauen. Außerdem gilt: Je länger ein Passwort ist, desto besser (mindestens aber zwölf Zeichen). Wer will, kann auch Sätze bilden, etwa: "DasistM1neuesFac3b00kPa55wort". Erinnerungsnachhilfe leistet ein Passwortmanager, der Passwörter sicher verwahrt.

Wir erfahren an diesem Abend unter anderem auch noch, woran man erkennt, dass eine Webseite sicher ist, wie man die Kommunikation zwischen zwei Computern abhört und wie Verschlüsselung funktioniert.

Nach drei Stunden habe ich zwar nicht gelernt, selbstständig zu hacken, aber einige wichtige Lektionen, wie ich meine Daten schützen kann. (Lisa Breit, 18.2.2019)