Hackerin

Zum Beginn meiner Karriere haben mich alle als »Sicherheitsexpertin« betitelt. Mittlerweile bin ich es, damals hat sich das eher schräg angehört.

Kann sein, wobei diese Szene mittlerweile sehr veraltet ist. »Reverse Engineering« hat mit »Software Cracking« begonnen, was mittlerweile rund 25 Jahre her ist. Damals war das noch relativ einfach. Es gab wenige Leute und wenige Tools, die das konnten. Die Hacker-Szene an sich hat immer noch etwas negativ Behaftetes an sich, obwohl es »Software Cracking« in der Form fast nicht mehr gibt. Mittlerweile hat sich in der breiten Bevölkerung rumgesprochen, dass IT-Sicherheit etwas Wichtiges ist. Ohne Hacker würden wir nicht wissen, wie Geräte und Software sicherer gemacht werden können. Im Grunde reden wir von »Offensive Security« und »Defensive Security«. Ohne den offensiven Part wissen wir nicht, was der defensive zu tun hat.

Programmierer entwerfen einen Code, der zu auswertbaren Dateien wird. Beim »Reverse Engineering« geht es darum, sich die Dateien anzusehen und herauszufinden, welcher Code ihnen zugrunde liegt. Eine auswertebare Datei kann man sich so vorstellen, dass man am Desktop auf »word.exe« klickt. Wenn du doppelt darauf klickst, dann startet diese Datei. Eine Malware könnte auch diesen Namen haben. Ein Software Engineer wirft einen genauen Blick darauf, was so eine Datei nach einem Doppelklick tut.

Genau.

Wenn man eine Software auf einem System installiert, kann es immer sein, dass etwas drinsteckt, was nicht drin sein sollte. Man sollte sich also immer Gedanken machen, welche Interessen dahinterstecken. Gehen wir nochmals zum vorherigen Beispiel der Antiviren-Programme: Wenn ich die Software eines österreichischen Unternehmens installiere, kann ich mir relativ sicher sein, dass kein russischer Trojaner versteckt ist. Wenn ich nun ein chinesisches System installiere, kann ich davon ausgehen, dass chinesische Interessen dahinterstecken. Wenn wir das nun auf Social-Media-Anbieter wie TikTok ausweiten, muss man fast annehmen, dass aufgrund ihrer Größe politische Interessen dahinterstecken. Dasselbe gilt übrigens auch für Facebook oder Twitter. Es gibt ganze Business-Sparten, die sich nur damit beschäftigen, Software zu verifizieren. Ein einfacher Vergleich: Wenn eine Applikation von 200.000 Menschen genutzt wird, ist sie weniger kritisch als wenn sie von 24 Millionen Menschen genutzt wird. Daher gehe ich davon aus, dass Amerika deswegen die Kontrolle über TikTok erlangen wollte, um zu vermeiden, dass die Daten von Millionen US-Amerikanern nach China wandern. Auch der Einfluss darüber, welcher Content an die User ausgespielt werden kann, spielt eine Rolle.

Zum einen ist Microsoft das am häufigsten genutzte Desktop-System. In Bezug auf Angriffe hilft ihnen das nicht sonderlich. Daher sehen wir extrem viel Windows-Malware und vergleichsweise wenig Mac-Malware. Zum anderen hat Microsoft das Problem, dass sie weniger verschlossen sind. Das OS-X-Software-Environment von Apple ist homogener. Daher ist es schwieriger, Apple zu überreden, eine Applikation auf ihre Geräte loszulassen. Bei Microsoft ist das relativ einfach. Ich bin zwar kein Experte für iPhones, aber man hört recht wenig von iPhone-Malware. Wenn man in den Appstore möchte, wird das geprüft, bevor die App dort verfügbar ist. Mit Google-Phones kann man auch auf andere Stores als den Google Playstore zugreifen. Mit iPhones geht das, soweit ich weiß, nicht. Das heißt: Wenn man eine App für das iPhone veröffentlichen will, dann muss das durch die Kontrolle von Apple, wodurch sich Apple die Möglichkeit vorbehält, Apps zu blocken.

Ich habe in St. Pölten studiert und danach bei der Wiener IT-Firma IKARUS zu arbeiten begonnen. Dort habe ich »Reverse Engineering« gelernt. Es ist nur ein Baustein für unterschiedliche Jobs wie Malware Analyst oder Offensive Security Engineer. Die Fähigkeiten, die man durch »Reverse Engineering« lernt, sind die Grundlage, die man in all diesen Jobs benötigt. Als ich das gut konnte, habe ich bei einer Konferenz vorgetragen. Dort sind mir dann Leute von einem Start-up über den Weg gelaufen, die meinten, sie brauchen Reverse Engineers. Über diesen Job habe ich dann Vorträge gehalten und in Blogs publiziert, wodurch ich wieder ein Jobangebot erhalten habe. Vom Silicon Valley bin ich dann nach Deutschland. Dort habe ich weitere Vorträge gehalten, wodurch ich wieder angesprochen wurde, diesmal von einem brasilianischen Researcher. Der hat mich gefragt, ob ich bei Intel arbeiten möchte. Das war für mich »Wow«! Ich habe damals mit den Intel-Instruktionen für »Reverse Engineering« gearbeitet und dachte mir, dass ich durch das Angebot quasi beim Mutterschiff andocken könne. Als ich aufgenommen wurde, bin ich nach Portland übersiedelt. Was ich dazu sagen möchte: Ich habe nie im Silicon Valley gewohnt, sondern von Österreich aus für ein Start-up im Silicon Valley gearbeitet. Für Intel musste ich dann übersiedeln und wohne seit 2017 in Portland, Oregon. Drei Jahre war ich bei Intel, vier Jahre bei Amazon.

Stell ruhig deine Frage.

Als junge Analystin kann man nicht sagen, dass die generelle Malware fad ist, aber: Es wiederholt sich mit der Zeit einiges. Dann kam das Thema der »Targeted Malware« auf, die gezielt für ein Opfer geschrieben wird. So etwas ist deutlich spannender, weil es Features gibt, die man so zuvor noch nicht gesehen hat. Daher habe ich damals begonnen, mich dafür zu interessieren, wodurch ich auf Konferenzen Menschen kennengelernt habe, die sich ebenso mit dieser speziellen Thematik beschäftigt haben. Was ich dazu sagen muss: Für den politischen Part habe ich mich nie interessiert. Mir ist es immer um die Technologie gegangen. »Stuxnet« war einer der großen Fälle. Es handelte sich um eine westliche Initiative, die damals im Iran Urananreicherungsanlagen lahmgelegt hat. Ich persönlich habe mir diese Malware nie angesehen, aber generell haben sich Researcher lange damit beschäftigt, was dazu geführt hat, dass ganze Bücher dazu veröffentlicht wurden. Jedenfalls: Wenn bei mir als Analyst eine Datei landet, denke ich nicht darüber nach, von wem sie geschrieben wurde. Mich interessiert also nicht, woher die Datei kommt, sondern was sie kann. Als die Thematik der »Targeted Malware« hochkam, war das komisch für uns Analysten. Mich hat es überrascht, dass es plötzlich um Geheimdienste gegangen ist. Generell wusste man natürlich, dass es das gibt, aber wenn man dann plötzlich eine Datei vor sich hat, bei der Menschen in einem Büro auf der anderen Seite der Welt nervös werden, nur weil man sie analysiert, ist das schon komisch.
Um zu deiner Frage zurückzukommen: Einer meiner Kontakte hat eine Datei aufgetrieben, von der sich herausgestellt hat, dass es sich um eine französische Malware handelte. Damit bin ich berühmt geworden. Das Lustige daran: Die Franzosen haben die Malware nach Cartoon-Charakteren benannt. Das hat dazu geführt, dass die russische Antiviren-Programm-Firma »Kaspersky« die Malware als »Animal Farm« betitelt hat. Das Spannende daran: Der Trojaner konnte Skripts geschickt bekommen, die er dann ausführte. Damit konnte nicht wirklich analysiert werden, was die Malware alles kann, weil ich diese Skripte schließlich nicht hatte. So etwas begeistert uns Analysten. Mit normaler Windows-Malware hat so etwas nicht viel zu tun.

Sagen wir so: Ich war damals relativ blauäugig. Generell: Wir Analysten sehen uns etwas an und kommen erst während der Analyse darauf, worum es sich handelt. Es soll schon vorgekommen sein, dass man etwas analysiert, was man im Anschluss vielleicht nicht publik machen sollte. Ich persönlich hatte in dem Bereich noch nie ein Problem und war auch noch nie in einem Hinterzimmer, in dem ich befragt worden bin. Von anderen Analysten in der Branche habe ich allerdings schon Geschichten gehört. Es gab dazu einmal einen Beitrag von einem Kaspersky-Researcher, der auf seinem Tisch einen Würfel gefunden hat, der eigentlich nicht dort hätte sein sollen. Da ich solche Erfahrungen nicht gemacht habe, gehe ich davon aus, dass ich in meiner Karriere bisher niemandem auf die Füße gestiegen bin, was auch gut so ist.

Code wird von Personen geschrieben, die in der realen Welt existieren, und manchmal trifft man die. Ich persönlich habe noch nie einen Autor eines Codes getroffen, den ich analysiert habe. Wenn wir nun die Geheimdienste außen vorlassen, gibt es auch Ransomware-Gruppen, bei denen die Strafverfolgung anklopft, weil sie durch ihren Code Rechner sperren und erst wieder entsperren, sobald Geld fließt. Da gab es einmal eine relativ bekannte Gruppe, die auch Leute in den USA hatte. Als man da draufgekommen ist, standen Leute vor der Tür und haben geklopft.

Fangen wir mit dem Kollektiv an.

Ehrlich gesagt habe ich mich mit ihnen damals wie heute relativ wenig auseinandergesetzt. Ich kenne die öffentlichen Nachrichten, aber sonst kann ich nicht wirklich viel dazu sagen. Hauptsächlich dürften sie fremde Websites hacken. Was man dazu sagen kann? Technologie ist überall. Wie man sie nutzt oder missbraucht, sei dahingestellt. Politisch motivierte Hackergruppen gibt es, im Sicherheitsbereich machen sie mir allerdings weniger Sorgen.

(lacht) Ich habe von ihm gehört, mehr aber schon nicht. Daher weiß ich nicht, ob sich jemand speziell für mich interessiert hat. Ich kann mir vorstellen, dass vielleicht mal mein Hintergrund genauer betrachtet wurde. Finden werden sie – Gott sei Dank – nichts. Vielleicht solltest du als nächstes die Frage stellen, für welchen Geheimdienst ich arbeite. (lacht) Sorry, da habe ich leider nichts zu bieten.

Ja … eh …

Ich passe sehr auf, dass ich mir keine Malware einfange oder Dinge auf meinem Rechner installiere, denen ich nicht vertraue. Wenn es um Privacy geht, achte ich wahrscheinlich weniger drauf, als ich sollte. Ich schaue, dass ich in meinem Browser so wenig Cookies wie möglich speichere. Allerdings gibt es über mich viele Informationen im Internet – beispielsweise über Social Media. Wirklich bemüht habe ich mich also nicht, weniger Fußabdrücke zu hinterlassen. Ich glaube auch nicht, dass ich die Zielgruppe bin, die man unbedingt ausforscht. Wenn sich jemand für mich interessiert, kann man sich das gerne alles durchlesen.

Passwörter sind ein gutes Beispiel für Mythen. Es ist schon wichtig, dass man ein sicheres Passwort wählt, aber unsere menschlichen Gehirne sind leider nicht so gut darin, 16-stellige Passwörter mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zu kreieren und sie sich dann noch zu merken. Dafür gibt es natürlich Passwortmanager, die alle Passwörter speichern. Dann sollte natürlich das Passwort für diesen Passwortmanager extrem gut sein. Wenn man es sich nicht merkt, muss das wiederum so gut versteckt sein, dass das ja niemand findet, denn wenn jemand das eine Passwort hat, hat er eben alle. Das ganze Passwort-System funktioniert in Wahrheit nicht wirklich gut. Daher gibt es Authentifizierungsmethoden, bei denen man als User nicht wirklich sieht, was im Hintergrund passiert. Von daher hast du wahrscheinlich sogar recht, wenn du sagst, dass Mail-Accounts mittlerweile besser geschützt sind als Bankschließfächer.

Prinzipiell kommt es darauf an, welche Systeme man verwendet. Wenn ich einen Browser wie Firefox oder Chrome installiert habe, kann ich davon ausgehen, dass das relativ sicher ist. Warum? Weil viele Leute daran arbeiten, dass das immer besser wird. Wenn ich mir nun einen unbekannten Text-Editor installiere, weil mir das Icon so gut gefällt, könnte es sein, dass das weniger sicher ist, einfach nur, weil sich weniger Leute damit auseinandersetzen. Was noch wichtig ist: Software-Updates. Wenn es welche gibt, sollte man die installieren. Wobei die ganze Software-Update-Sache an sich schon lustig ist. Ein Freund von mir hat unsere Industrie mit der Möbelindustrie verglichen. Bei Software wird ein Produkt verkauft, von dem man von Haus aus weiß, dass es nicht funktioniert. Danach verkaufen wir den Usern die Updates. Einen Tisch mit drei Haxen kannst du nicht verkaufen, nur um nachher das vierte Bein extra zu verrechnen. Irgendwie schon schräg.

Ein weiterer wichtiger Punkt: Mail-Anhänge und Links. Die sollte man nicht ausführen, wenn man nicht weiß, wer die Mail oder den Link geschickt hat. Als ich noch bei Intel gearbeitet habe, haben sogar geschulte Mitarbeiter Mail-Anhänge und Links geöffnet, obwohl das nicht hätte passieren dürfen. Obwohl sie geschult wurden, konnten sie diese speziellen Fälle nicht identifizieren!

Es ist kompliziert. Es gibt einen Begriff namens »Downward Compatibility«. Sprich: Ich kann auf Windows 11 immer noch Malware ausführen, die für Windows 8 geschrieben wurde. Mich würde es nicht wundern, wenn es Windows-XP-Software gibt, die auf Windows 11 läuft. Einfach weil die neuen Systeme probieren, die alten zu unterstützen. Generell wird Software immer weiterentwickelt und jede Zeile Code bedeutet, dass neue »Vulnerabilities«, also Verwundbarkeiten, hinzugefügt werden. Das ist das eine Problem. Das andere Problem: Diese »Bugs« muss erst mal einer finden. Das kann Wochen, Monate oder sogar Jahre dauern. Generell: Sobald Probleme gefunden werden, können »Patches«, also Pflaster, entwickelt werden, die das Problem beheben. Dafür gibt es Updates, weswegen ich schon meine, dass die sinnvoll sind. Bedeutet es, dass alle Schwachstellen behoben wurden? Im Realfall eher nicht. Wenn neuer Code hinzugefügt wird, besteht die Möglichkeit, dass auch neue Schwachstellen geschaffen wurden. In der Praxis kommt es also immer wieder zu Problemen.

Schon, wobei ich sagen muss, dass ich mich nie mit Blockchain auseinandergesetzt habe. Das war immer ein Randthema und wurde belächelt. Innerhalb der Industrie warten wir, ehrlich gesagt, schon seit ein paar Jahren darauf, dass die Blockchain wieder verschwindet. Offenbar ist sie immer noch Thema. Wenn große Computer die Blockchain irgendwann entschlüsseln können, weiß ich nicht, ob das für die Menschheit so ein großes Problem sein wird. Wenn verschlüsselte Mails oder Textnachrichten auf einmal entschlüsselt werden können, macht mir das Sorgen. Generell gilt die Annahme, dass Systeme immer sicherer werden, während sie auch komplizierter werden. Das Resultat: Die Angriffe werden teurer. Wenn man sich um eine Sicherheitseinschränkung kämpfen muss, kostet es Geld. Wenn ich mich aber durch zehn kämpfen muss, kostet es deutlich mehr. Man benötigt mehr Verständnis für die Systeme. Ob es Systeme gibt, die wirklich unhackbar sind? Ich glaube, dass das vom jeweiligen Interesse abhängt. Hinter meinen Daten sind weniger Leute her als hinter Daten von anderen, spezielleren Personen.

Dieses Bild des Hackers ist ein falsches. Einerseits ist es illegal, sich in fremde Systeme zu hacken, und andererseits macht es keinen Sinn, um jemandem in der Form eines auszuwischen. Wenn ich sein Handy mit einer Malware infizieren wollen würde, wäre das ein Job von mehreren Wochen oder gar Monaten. Deutlich einfacher wäre es, rüberzugehen, an die Tür zu klopfen und ihm zu sagen, dass er bitte die Musik abstellen soll. Mir persönlich würde auch der Zorn dazu fehlen. Wenn ich das von dir angesprochene Szenario wirklich umsetzen wollen würde, könnte ich es wahrscheinlich, nur: Warum sollte ich? Es ist viel Arbeit und könnte zu rechtlichen Problemen führen.

Der Nachbar kann das vielleicht nicht, die Polizei oder forensische Analysten vielleicht schon.

Es gibt Foren, Chats und Informationen im Internet, die nicht so einfach zugänglich und verschleiert sind. Leute, die Ransomware schreiben, um andere Leute zu erpressen, werden dort auch zu finden sein. Es gibt Chats, die man dort findet, wo sie sich unterhalten, wie sie andere erpressen.

Nicht aufgeben. Es hört sich vielleicht komisch an, aber die Branche ist extrem komplex mit irrsinnig vielen Technologien und Dingen, die man wissen muss. Wenn man dort zum ersten Mal reinschaut, kommt das einem überwältigend vor. Ich war immer getrieben von der Neugierde und wollte immer wissen, was dahintersteckt. Wenn ich an meine Anfänge zurückdenke, frage ich mich manchmal, warum ich nicht meine Taschen gepackt habe und einfach wieder gegangen bin. Umso mehr ich gelernt habe, desto stärker ist mir aufgefallen, was ich eigentlich alles nicht weiß. Es gab hunderte Dinge, die ich nicht wusste, was mich damals allerdings nicht gestört hat. Für Leute, die neu in dem Bereich beginnen, ist es wichtig, damit umgehen zu können.

Buch: The Power of the Dog (Don Winslow)
Film: Pulp Fiction
Song: Miracle (Caravan Palace)
Schauspieler/in: Angelina Jolie
Motto: Habe ich keines. Am ehesten: Jeder Tag zählt.
Autor/in: Don Winslow
Serie: Lucifer
Stadt: Wien
Land: Mexiko
Gericht: Schokolade
Getränk: Kalter Tee

Meine persönlichen Sachen habe ich alle in Amerika. Da ich gerade von Pflanzen meiner Mutter umringt bin, hätte ich, wenn ich nun in Amerika wäre, eines meiner Pflänzchen hergezeigt.

Schönstes: Da ich gerade auf Heimaturlaub in Österreich bin: als ich zu Hause angekommen bin.
Negativstes: Der Jetlag, der damit einhergegangen ist.

Malerin. Kunst hat mich immer interessiert. Allerdings hat sich herausgestellt, dass es nicht unbedingt der beste Beruf ist. Mir ging es dann um die finanzielle Unabhängigkeit.

Angelina Jolie

Geschwärmt habe ich immer für Angelina Jolie, allerdings mehr als Idol.

Caffè Latte