Der Hacker, mein Freund und Helfer

Wäre er ein krimineller Hacker, er würde lieber anonym bleiben. Für Edgar Boda-Majer aber ist Transparenz Teil des Geschäftsmodells: Der 31-Jährige, wohnhaft in Lausanne (VD), ist ein ethischer Hacker. Ende 2019 hat er sich mit drei Kollegen selbstständig gemacht.

Kräfte bündeln

Im Auftrag von Firmen suchen Boda-Majer und seine Mitstreiter nach Schwachstellen in deren IT-Systemen, bevor diese von Cyberkriminellen gefunden und ausgenutzt werden können. Auf den ersten Blick mag eine Partnerschaft zwischen professionellen Hackern und Firmen mit eigenen IT-Abteilungen und vielen Sicherheitsvorkehrungen ungewöhnlich erscheinen. Und doch ist sie naheliegend: «Wir haben denselben Gegner», erklärt Boda-Majer. Und weil sich die IT-Landschaft laufend verändere und zunehmend komplexer werde, weil zudem die kriminellen Hacker neue Angriffstechniken entwickeln würden, gebe es für eine erfolgreiche Cyberabwehr nur ein wirksames Mittel: Kräfte bündeln.

Eine Partnerschaft zwischen Firmen und Hackern erstaunt nur auf den ersten Blick.

Unternehmen, die mit Hackern eine Partnerschaft eingehen, erhöhen durch eine zusätzliche Sicherheitsmassnahme den Schutz vor Datendiebinnen und Erpressern. Die ethischen Hacker wiederum – oder auch Bug-Hunter (Fehlerjäger) – erhalten eine Belohnung (Bounty), deren Höhe vom Fahndungserfolg abhängt. Findige Computercracks können von ihrer Arbeit gut leben: Das Aufdecken einer Schwachstelle, die schwerwiegende Folgen haben könnte, ist mehrere Tausend Franken wert.

Geduld bringt Rosen

Im Grunde sei seine Arbeit wenig spektakulär, sagt Boda-Majer. Zunächst beobachtet er. Stundenlang schaut er sich beispielsweise mittels einer Analyse-Software an, wie die Website des zu hackenden Partners mit dem heimischen Server kommuniziert, wie Daten hin und her fliessen. Hat er einen möglichen Angriffspunkt ausgemacht, verändert er die Daten und beobachtet, was geschieht. Ob der Server die Manipulation erkennt. Wie er reagiert. Ist der Angriff erfolgreich, dringt er nicht weiter ins System vor. Vielmehr meldet er dem Auftraggeber die Schwachstelle, damit dieser sie schliessen kann. Und beginnt mit der Suche nach dem nächsten Bug.

Nicht der Wettlauf mit Kriminellen gibt ihm den Kick. Auch nicht die Idee, Entwicklerinnen und Entwicklern ihre Fehler vorzuhalten. «Was mich herausfordert, ist der Wettbewerb mit anderen Huntern», sagt Boda-Majer. Denn die Bounty erhält immer nur diejenige Person, die einen Bug als erste entdeckt. «Da die IT-Welt eine schnelllebige ist, neue Updates alte Funktionen ablösen, fällt fast immer für jeden Bug-Jäger etwas ab», sagt er.

Der Partnervermittler

«Die ethischen Hacker gehören zu den Besten im IT-Business. Sie müssen auf dem neusten Stand der technischen Entwicklung sein, IT-Nerds im besten Sinne. Mit einer positiven Ideologie, die sie dazu antreibt, ihre Fähigkeiten zugunsten ihrer Kunden einzusetzen, statt ihnen damit zu schaden.» Das sagt Sandro Nafzger. Er ist es, der als Mitgründer und CEO von Bug Bounty Switzerland die beiden Seiten zusammenbringt: die Unternehmen, die sich testen lassen wollen, und die Hacker mit dem richtigen Know-how.

«Nebst dem Fachwissen müssen die Hunter auch Vertrauen in diese Partnerschaft einbringen», berichtet Nafzger. Denn in ihrer Tätigkeit würden sie sich am Rande der Legalität bewegen. Die Auftraggebenden wiederum müssten die Bereitschaft haben, von den ethischen Hackern zu lernen und die eigene Komfortzone bewusst zu verlassen. «Dazu braucht es auch Mut», sagt Nafzger. Und eine positive Fehlerkultur: eine Haltung, die in aufgedeckten Bugs die Chance, besser zu werden, erkennt. 

Hunter hinter Valiant her

Im August hat sich eine Handvoll ethischer Hacker auf Fehlersuche in den IT-Systemen von Valiant gemacht – im Auftrag der Bank und in Zusammenarbeit mit Bug Bounty Switzerland. «Uns ist bewusst, dass klassische Sicherheitsüberprüfungen einzelner Systeme nicht mehr ausreichen», sagt Christoph Klossner, Chief Information Security Officer von Valiant. «Deshalb wollten wir es genau wissen: Website, App, E-Banking, Videocalls – wir haben die Hunter eingeladen, über alle denkbaren Einstiegspunkte nach Schwachstellen zu suchen.» Hintergründe zur Fehlerjagd erfahren Sie im Video.