ZEIT Campus: Haben Sie mir gerade diese SMS geschickt? "Silke, meld Dich mal! Vati."
Götz Schartner: Ja, das war ich. Von der echten Rufnummer Ihres Vaters, das können Sie gern mit Ihrem Telefonbuch abgleichen.
ZEIT Campus: Aha. Und was passiert, wenn ich darauf jetzt antworte?
Schartner: Dann erreicht die SMS ganz normal Ihren Vater. Ich schicke Ihnen weiter in seinem Namen Nachrichten, einen Hyperlink oder ein Bild, um Ihnen einen Trojaner auf das Smartphone zu spielen.
ZEIT Campus: Sie machen das hauptberuflich, als sogenannterPenetrationstester. Ehrlich gesagt, das klingt irgendwie unanständig.
Schartner: Deswegen stelle ich mich lieber als Hacker vor. Meine Tätigkeit ist im Grunde nichts anderes. Ich teste die Sicherheit von Systemen, indem ich versuche, in sie einzudringen und sie zu manipulieren.
ZEIT Campus: Wie weit können Sie in meine digitale Intimsphäre vordringen?
Schartner: Ich kann den vollen Zugriff auf Ihr Smartphone erhalten, Ihre Identität kapern und so Ihre eBay- und PayPal-Konten übernehmen. Auf dem Schwarzmarkt bekommt man für eine digitale Identität etwa zehn bis zwölf Euro. Klingt nicht viel, ist in der Masse aber ein Vermögen.
ZEIT Campus: Geht es immer um Geld?
Schartner: Nicht unbedingt. Ich könnte die Kamera aktivieren, weil ich Sie bespannen will. Oder ich könnte in Ihrem Namen posten, dass Sie mit dem "Islamischen Staat" sympathisieren. Wenn ich weiß, dass Sie bald in die USA reisen, könnte das fatal sein.
ZEIT Campus: Bei einem Cyberangriff auf den französischen Fernsehsender TV 5 wurden kürzlich die Kanäle der Sozialen Medien gekapert und Botschaften des IS gesendet. Wie ist das in so einem Unternehmen möglich?
Schartner: Ein großes Rundfunkhaus kann einfacher zu hacken sein als ein Handy. Man hat die Wahl unter Hunderten von digitalen Türen - die Wahrscheinlichkeit, dass einige katastrophal gesichert sind, ist hoch. Man kann die Mitarbeiter über das soziale Netz ausspähen, kommt an deren E-Mail-Adressen und baut dann ein ähnliches Konstrukt auf, wie ich es bei Ihnen gemacht habe: Es werden E-Mails mit Informationen verschickt, die den Empfänger interessieren. So wird der erste Computer übernommen, um weiter ins interne Netzwerk vorzudringen.
ZEIT Campus: Auch die Behörden sind nicht sicher: Anfang Januar hat die Hackergruppe Cyber Berkut für mehrere Stunden die Internetseiten des Auswärtigen Amtes und des Kanzleramtes lahmgelegt.
Schartner: Auch das war eine politische Botschaft, in dem Fall gegen den Besuch des ukrainischen Ministerpräsidenten Arseni Jazenjuk in Berlin. Einen großen finanziellen Schaden verursachte das nicht. Ganz anders zum Beispiel bei dem Angriff auf Sony Pictures vor ein paar Monaten, der von Nordkorea ausging.
ZEIT Campus: Da wurden Daten von Mitarbeitern und Stars gehackt ...
Schartner: Ja, die Telefonnummer von Tom Cruise, die E-Mail-Adresse von George Clooney, die Sozialversicherungsnummer von Sylvester Stallone. Gehaltslisten, Verträge und unveröffentlichte Kinofilme. So ein Angriff richtet schnell einen Schaden im dreistelligen Millionenbereich an.
ZEIT Campus: Wie suchen sich die Täter ihre Opfer aus?
Schartner: Politische Angriffe richten sich auf konkrete Ziele. Identitätsdiebstahl, wie ich das bei Ihnen vorhin demonstriert habe und wo es einfach um Geld geht, funktioniert nach dem Zufallsprinzip. Über infizierte Links oder Webseiten zum Beispiel.
ZEIT Campus: In Ihrem Job überprüfen Sie die Sicherheit von Systemen. Wer sind Ihre Kunden?
Schartner: Vor allem Kreditinstitute, Maschinenbaufirmen und Pharmakonzerne. Wenn irgendwo ein Cyberangriff stattgefunden hat, werde ich gerufen, um zu analysieren, was passiert ist: Wurden Daten gestohlen oder manipuliert? Kann ich den Einbruch noch unterbinden oder wegleiten?
ZEIT Campus: Wie kamen Sie auf diesen Job?
Schartner: Es gab lange kein adäquates Studium, ich habe mir seit der Schulzeit das meiste selber beigebracht. Mit meinem selbst gelöteten Computer habe ich mich damals in ein Bundesamt eingewählt und die vierstellige PIN geknackt. Vier Ziffern! Das war wirklich nicht kompliziert. Das Überwinden technischer Sicherheitsmaßnahmen war damals übrigens noch nicht strafbar.
ZEIT Campus: Da wussten Sie aber noch nicht, dass man damit Geld verdienen kann?
Schartner: Das habe ich gemerkt, als mir ein Unternehmen meinen ersten Auftrag gab. Ich hatte in einem seiner Systeme eine Sicherheitslücke entdeckt und es darauf hingewiesen.
Götz Schartner
, 44, arbeitet seit 25 Jahren als Penetrationstester: Er hackt legal Systeme von Unternehmen oder Behörden, um Sicherheitslücken zu finden. Seine Firma heißt 8com