Illustration Cyberkriminalität: Hacker können auch in vermeintlich sichere Systeme eindringen
Hacker können auch in vermeintlich sichere Systeme eindringen
Mario Wagner
Heute ist er bei den Guten
"White Hats" werden ethische Hacker genannt, die Sicherheitssysteme von Unis oder Verwaltungen knacken, um sie anschließend zu verbessern. René Rehme ist ein "White Hat" mit dunkler Vergangenheit.
Privat
Eva Wolfangel
Mario Wagner
27.10.2023
Teilen
Via Whatsapp senden
Via E-Mail empfehlen

René Rehme ist fassungslos. Vor ihm auf dem Bildschirm erscheint ein Dokument, das Attest einer Psychiaterin. Bis dahin hat der Hacker gesehen: einen Schnappschuss dreier Studentinnen mit Sektgläsern, Fotos eines stolzen jungen Mannes in einem karg eingerichteten Wohnheimzimmer, ein Bild einer Gruppe junger Leute mit selbst gebastelten Doktorhüten und jede Menge Krankschreibungen und Konto­auszüge, Ausweiskopien, Passwörter und sehr viele Noten. Und auch diese Bitte einer ­Studentin, wegen psychischer Probleme eine Prüfung aufschieben zu dürfen. Das Attest mit Name, Geburtsdatum, Adresse, Schreiben der Psychiaterin. "Ach du Scheiße."

Rehme hat gerade eine große deutsche Universität gehackt. Der 33 Jahre alte Entwickler streicht sich eine der langen schwarzen Haarsträhnen aus seinem Gesicht und hält inne. Die fieberhafte Jagd der vergangenen Stunden, getrieben von immer neuen, für Außenstehende kryptischen Zeichenfolgen, scheint vergessen. Das Leuchten in den Augen von Menschen, die spüren, dass sie ihrem Ziel immer näher kommen – vergessen. Die Fotos, die Krankschreibungen, das Attest, unendlich viele geöffnete Fenster mit persönlichen Dokumenten von Studierenden überlagern den Computercode im Hintergrund, winzige weiße Zeilen auf schwarzem Grund. "Das alles könnten meine Daten sein", sagt er leise.

Privat

Eva Wolfangel

Die Autorin Eva Wolfangel ­recherchiert oft über Cybersecurity. Kriminelle Hacker und Sicherheits­forscher benötigen ähnliche Skills, ­lange fragte sie sich: Wieso entscheiden sie sich für das eine oder das ­andere? Rehme ­beantwortete dies zumindest ­teilweise.

Mario Wagner

Mario Wagner lässt sich gern von Geschichten be­geistern, belehren und zum Staunen bringen – und dann illustriert er sie mit großem Spaß. Diese ist so eine Geschichte.

Dabei stimmt das nicht ganz. Denn René Rehme hat nie studiert. Eine Fünf in Mathe hat ihm einen Strich durch die Rechnung gemacht, ebenso sein Aufmerksamkeitsdefizit-Syndrom (ADS), das ihn als Schüler daran hinderte, sich zu konzentrieren. Der Traum vom Informatikstudium war gestorben, noch bevor er ihn richtig träumen konnte. Heute ­arbeitet René Rehme trotzdem hauptberuflich als Entwickler. Aber etwas anderes treibt ihn an: ethisches Hacking, im Fachjargon "White Hat Hacking" genannt. Dabei geht es darum, Sicherheitslücken zu finden in Webseiten und Anwendungen und die Betroffenen zu informieren, bevor andere diese Lücken ausnutzen: Hacker mit kriminellen Absichten beispielsweise. Das Hacking von Uniwebseiten macht er nebenbei, es ist sein Urlaubsprojekt. Dokumente wie das Attest bestätigen ihn. "Wenn das in die falschen Hände kommt", sagt er. ­ Er beendet den Satz nicht.

Nach diesem Urlaub wird Rehme nicht erholt sein. Wer ihn beobachtet, spürt schnell, dass es sein Jagdfieber ist, gepaart mit einer untrüglichen Intuition für Schwachstellen, die ihn hier erfolgreich sein lässt. Eigentlich habe er die Webseiten aller deutschen Hochschulen überprüfen wollen, sagt er. Er ist es systematisch angegangen, angefangen mit der größten Uni, inzwischen ist er bei Nummer 70 und weiß nicht, wo ihm der Kopf steht. "Ich muss die ja alle auch noch dokumentieren", sagt Rehme und seufzt. Das tut er nachts.

Ab 23 Uhr schreibt er E-Mails an die Hochschulrektoren und Unipräsidenten. René Rehme führt aus, was er getan hat, Wörter wie "Super Admin Account" fallen, "potenzieller Angreifer", "es wäre möglich, Schadcode hochzuladen". Er fügt warnend hinzu: "Im schlimmsten Fall kann ein Angreifer die Kontrolle über die Anwendung übernehmen."

Er hat die erste und siebte Klasse wiederholt

Aus den Webseiten sind Dokumente ge­fallen wie die Federn aus den Decken von Frau Holle. Es scheint, als müsse man nur ein Mal daran rütteln, schon lassen die Systeme ihren Schutzwall fallen. Oder haben sie gar keinen?

Die erste Antwort kommt gegen 16 Uhr am nächsten Tag. Ein Jurist einer großen deutschen Universität meldet sich. Der Tonfall ist freundlich. Aber es handelt sich um eine recht deutliche Drohung. Man wolle Rehme bitten, "um bei Analysen/Angriffen nicht in Konflikt mit § 202a–c Strafgesetzbuch zu kommen", künftig vorher Bescheid zu geben, wenn er die Uni hacke.

Der Hackerparagraf! Flashback, 2010, Waiblingen bei Stuttgart. Die Polizisten kommen unerwartet. Rehme ist Anfang 20, sein Leben ist an einem Tiefpunkt angekommen, nachdem er sich das erkämpft hatte, was er sich immer gewünscht hatte: etwas mit Computern zu tun. Trotz der Fünf in Mathe. Die Schullaufbahn war mühsam. Er hat die erste und die siebte Klasse wiederholt, viel geschwänzt und schließlich die Realschule abgeschlossen – nach seiner Erinnerung nur dank eines gutmütigen Klassenlehrers ("er hat mir viel durchgehen lassen"). An einer privaten Schule absolviert er eine Ausbildung zum ­Grafikdesigner. Die Schule ist teuer, er verbraucht dafür all das Geld, das seine Großeltern für seine Ausbildung zurückgelegt haben, leiht sich von seiner Mutter Geld, beantragt Bafög. Er zieht zu seiner damaligen Freundin, nach dem erfolgreichen Abschluss scheint ihm die Welt offenzustehen. Rehme macht sich zunächst selbstständig und bietet Webseiten an. "Eigentlich wollte ich Hacker werden", sagt er heute. Doch dafür gibt es keine Ausbildung. "Das machte es noch viel spannen- der, du musst so krass kreativ sein." Wenn er von dieser Zeit spricht, zieht sich das Wort "krass" durch seine Sätze wie ein roter Faden.

"Ich hatte extrem viel Zeit vor dem Rechner"

Dann kommt ein Brief vom Bafög- Amt: Er habe ein Konto nicht angegeben, das auf seinen Namen lief, und deshalb müsse er sein gesamtes Bafög zurückzahlen. "Ich war pleite, das hat mich krass aus der Bahn geworfen", erinnert er sich. Er habe nichts gewusst von dem Konto, das sein Vater einst für ihn angelegt habe und auf dem kaum Geld gewesen sei. Der Vater hat die Familie verlassen, als René Rehme drei Jahre alt war.

Wieso er das nicht dem Bafög-Amt erklärt? "Ich hatte keine Energie." Er ist gewohnt, dass seine Träume platzen, er rechnet damals nicht damit, dass sich Dinge lösen lassen. Also fängt er an, das Geld abzustottern. Die Beziehung zur Freundin zerbricht, und er zieht zurück zu seiner Mutter, in ein kleines Zimmer über dem Restaurant, in dem sie damals als Köchin arbeitet.

Er ist pleite, er ist arbeitslos. Und: "Ich hatte extrem viel Zeit vor dem Rechner." Er kommt auf die Idee, "auf diese Art Geld zu machen". Er kennt einige Leute aus dem Internet, ­seine "Hackercrew", wie er sagt. Damals sei ein Computerspiel recht bekannt gewesen, ­Metin 2 – das war teuer.

Unsere Newsletter chrismon am Wochenende begleitet Sie freitags in zwei gute Tage. Mit chrismon mittendrin bleiben Sie unter der Woche informiert.
Hier abonnieren

Aber die Hackercrew hat eine Lösung: Rehme und seine Freunde umgehen den Kopierschutz und erstellen kurzerhand ­eine Raubkopie des Spiels. Jetzt können sie es von einem eigenen Server aus betreiben. Sie ­bieten es etwas billiger an als die ­offizielle Version, und in kurzer Zeit haben sie ­"Kunden" – ­andere User, denen es egal ist, dass sie ­eine Raubkopie finanzieren. Rehme und seine Crew sind nicht die Einzigen mit dieser Idee: Schnell gibt es viele ähnliche Angebote auf dem Schwarzmarkt. Die Konkurrenz ist kein Problem für die Hacker um Rehme: "Wir ­haben alle ­anderen plattgemacht." Er ist schon damals auf der Jagd nach Sicherheitslücken – die der Konkurrenz. Wenn er eine findet, ­manipuliert er die Server der anderen illegalen Anbieter des Spiels: Sie laufen dann schlechter oder gar nicht mehr. Auf den Webseiten der anderen platziert er schließlich Werbung für seinen Server. So wirbt er deren Kundschaft ab. "Unsere Gruppe war in der Szene sehr bekannt", erinnert er sich.

Nicht nur das: Er programmierte einen Mini­computer, der aussah wie ein USB-Stick, und steckte ihn in Internetcafés in Rechner. Wenn arglose Besucher dort ihre Facebook­seite besuchten oder Onlinebanking betrieben, wurden all ihre Eingaben inklusive ihrer Zugangsdaten an Rehme übertragen, erklärt er. "Ich wollte eigentlich Zugang zu deren Konten", sagt er. Aber das scheiterte an den Sicherheitsmechanismen der Banken. Also loggte er sich in fremde Facebook- und E-Mailkonten ein und las mit. René Rehme war ein Hacker geworden, allerdings ein krimineller.

"Die haben alles mitgenommen, Computer, USB-Sticks, sogar Monitore"

Als die Polizei die Wohnung stürmt, ist die Mutter nicht zu Hause. "Ich war krass überfordert, ich hatte nie mit Konsequenzen gerechnet", erinnert sich Rehme an diesen Moment. Die Beamten halten ihm einen Durchsuchungsbefehl hin, Computerbetrug. Dann durchsuchen sie das Zimmer. "Die haben alles mitgenommen, Computer, USB-Sticks, sogar Monitore", sagt Rehme und muss ein bisschen lachen, "ich meine: Monitore!?" Darauf sind schließlich keine Daten gespeichert. Das ist einer der Momente, in denen Rehme klar wird, dass er einen Schritt weiter ist als der Rest der Welt. Die wichtigsten Dinge übersehen die Beamten: eine Dockingstation, in der drei Festplatten stecken. Und noch etwas.

An diesem Punkt der Erzählung kramt Rehme in einer Kiste auf dem Schreibtisch seiner heutigen Wohnung in Stuttgart. Der Schreibtisch ist vor allem eine Unterlage für Computer, Monitore und jede Menge Fest­platten und Ähnliches, außerdem einige Kisten "Technikkram". Aus einer zieht er schließlich ein Foto von diesem Gerät, das aussieht wie ein USB-Stick. Darauf steht mit Edding geschrieben: "Hack :)". So hat er ihn damals selbst beschriftet, kurz vor der Hausdurch­suchung. Auch den habe die Polizei damals vergessen, obwohl sie vermutlich genau danach gesucht hatte: sein damaliges Angriffstool.

Hackerparagraf im Strafgesetzbuch ist pauschal formuliert

All das fällt Rehme nun wieder ein, 13 ­Jahre später, als er die Drohung des Datenschutzbeauftragten einer großen Uni liest. "Ausgerechnet diese Uni", sagt er alarmiert. "Bei denen habe ich eine Grenze ­überschritten." Eine Grenze? Um die Sicherheitslücke zu ­demonstrieren, hat er eine Datei mit dem Titel "DeleteMe" auf den Server kopiert, "Löschen Sie mich". Die Datei ist leer, sie ist absolut harmlos – sie zeigt nur, dass Unbefugte wie er Schreibzugriff in einem heiklen Bereich des Universitätsnetzes haben. Kriminelle hätten Schadsoftware installiert, keine leere DeleteMe-Datei. In der E-Mail an die Universität hat Rehme neben der Beschreibung der Schwachstelle geschrieben: "Bitte löschen Sie die Datei DeleteMe." Trotzdem ist er jetzt nervös. War das zu viel? Der sogenannte Hackerparagraf im Strafgesetzbuch ist pauschal formuliert, dort kann man nicht eindeutig ablesen, ab wann ein solcher Angriff strafbar ist, selbst wenn er von einem sogenannten ethischen Hacker mit guten Absichten durchgeführt wird, wie René Rehme heute einer ist. Mit der Polizei möchte er wirklich nichts mehr zu tun haben.

Der Besuch der Beamten damals hat ihn ins Nachdenken gebracht, obwohl er sich ihnen überlegen fühlte. Sie hatten nicht nur die wichtigsten Beweisstücke übersehen, sie hatten auch mit jenen, die sie beschlagnahmt hatten, nichts anfangen können: "Die Festplatten ­waren alle verschlüsselt." Nach einem halben Jahr bekam er alles zurück, das Verfahren ­wurde eingestellt. Und trotzdem beschäftigt ihn die Sache bis heute: "Das ist so krass verwerflich, wenn du ahnungslose Personen betrügst", sagt er heute. An diese Menschen habe er nicht gedacht. "Ich habe nur an mich gedacht."

"Er hat sich selbst hineingefuchst in diese Programmiersprachen"

Wie hartnäckig ihr Sohn an einem Thema arbeiten kann, wurde Claudia Ernst klar, nachdem sie in der "Computerfrage" nachgegeben hatte. Schon als Kind hatte René sich für das Gerät interessiert, das immer im Wohnzimmer stand. "Wir hatten einen ­Deal", sagt sie. Nämlich: Die Schule darf nicht leiden. Und: keine illegalen Musik-Downloads. "Ich habe ihm gesagt, ich möchte hier nicht die Polizei vor der Tür stehen haben." Dann beobachtete sie fasziniert, wie sich ihr Sohn immer selbstverständlicher in dieser ihr fremden Welt bewegte. Er habe den Computer intensiv genutzt, "er hat sich selbst hineingefuchst in diese Programmiersprachen". Und er habe plötzlich Leute aus aller Welt gekannt.

Die teilen eine Leidenschaft mit ihm: Animes. Die japanischen Kurzfilme und ­Comics begeistern René Rehme schon lange. Mit 14 Jahren baut er seine erste eigene Webseite, eine Fanseite. Doch dann: Ein Fremder verändert die Webseite von außen. Das ist der Tag, an dem der Teenager den Begriff Hacking in seinen Wortschatz aufnimmt – und in sein Herz. Er kniet sich in das Thema hinein, er recherchiert und diskutiert im Netz, bis er den Angriff im Detail nachvollziehen kann. Jetzt weiß er, wie er eine sichere Seite machen kann.

Viele Unternehmen zahlen eine Art Finderlohn für Sicherheitslücken

René Rehmes Mutter bemerkt seltsame Dinge. Unter anderem kommen immer wieder Päckchen von einem Versandhaus. "Er hatte sich unter anderem einen Haarglätter bestellt", erinnert sich die Mutter, "und ich dachte: Wie kommt der Junge jetzt auf einen Haarglätter?" Noch viel dringlicher ist aber die Frage, wie er sich all die Bestellungen leisten kann. Sie erfährt: Ihr Sohn hat eine Sicherheitslücke auf der Webseite des Versandhauses entdeckt, durch die er kostenlos bestellen kann. "Ich habe ihm gesagt: Ich will das hier nicht haben." Rehme muss sich bei dem Versender entschuldigen und das Versandhaus über die Schwachstelle aufklären. Das tut er. Als Dank darf er den Haarglätter kostenlos behalten.

Sein erstes Bugbounty! Heute bezahlen viele Unternehmen diese Bountys – eine Art Finderlohn für Sicherheitslücken. Doch Rehme geht es nicht um das Geld, ihn treibt sein Spürsinn an. "Er hat dann mit 15 aus Neugier angefangen, Schwachstellen zu suchen", erinnert sich seine Mutter.

Das führt auf ziemlich direktem Weg zu dem, was René Rehme heute tut: So gesehen hat er mit Mitte 30 bereits 18 Jahre Berufserfahrung in der Schwachstellensuche. Die Idee, die kriminelle Karriere an den ­Nagel­ zu ­ hängen, war allerdings schwieriger ­umzu­setzen, als er zunächst dachte.

"Sie finden meine Bewerbung auf Ihrem Server"

Nachdem die Polizei das kleine Zimmer in der Wohnung seiner Mutter gestürmt hat, zieht Rehme aus. Auch wenn er sich das ­eigentlich nicht leisten kann. 150 Euro habe er für ein Kellerloch gezahlt. Glücklicherweise kommt Geld rein: Die Polizei hatte zwar die illegalen Aktivitäten im Internetcafé, aber nicht die bei Metin 2 erkannt, der Spiele­server läuft weiter. Rund 500 Menschen spielen darauf, die Hackergruppe teilt sich das Geld, für Rehme heißt das monatlich 400 Euro. "Trotzdem wollte ich irgendwann raus aus dem Loch."

Er schreibt Bewerbungen, mehr als 30. Meist erhält er nicht einmal eine Antwort. "Ich dachte, ich schau mir einfach mal die IT-­Sicherheit der großen Firmen an", sagt er. Vielleicht gibt es ja Bedarf? Schnell findet er eine Lücke. Er kann es nicht lassen. Er legt eine Datei auf den Server der Firma: seine Bewerbungsunterlagen. "Sie finden meine Bewerbung auf Ihrem Server", schreibt er nur noch per E-Mail. "Als die anriefen, fragten sie nur: ‚Waren Sie das?‘, und ich dachte: Oje, wenn das schon so anfängt, gibt es wieder Ärger." Aber der Personalchef am Telefon will nur wissen, wieso er sich nicht auf dem üblichen Weg beworben habe. Rehme berichtet, dass er das durchaus versucht habe – erfolglos. "Jetzt haben Sie unsere Aufmerksamkeit", habe die Antwort gelautet. Dann kommt der Arbeitsvertrag. "Das war meine erste Berührung mit der Arbeitswelt", sagt Rehme – und er war überrascht, wie viel sich auflöste. "Der Druck war weg, ich habe Geld verdient."

Eine Lücke, ein Angriffspunkt weniger

Seither erscheint ihm seine Vergangenheit weit weg. Bis zu diesem Tag im Jahr 2023, als ihm der Jurist einer Universität mit dem Hackerparagrafen droht. Kurz darauf meldet sich der Chief Technical Officer jener Uni, er hat einen Doktor- und einen Professorentitel – und echtes Interesse: Wie genau Rehme das gemacht hat, will er wissen, "ich kann Ihren Angriff nicht nachvollziehen" – und Rehme tippt und erklärt und führt aus, schickt Beispiele, kleine Schnipsel an Code, Namen von Programmen. Er wirkt wie ein enthusiastischer Lehrer, den jeder Aha-Moment seiner Schützlinge freut. Jeder Aha-Moment bedeutet: eine Lücke, ein Angriffspunkt weniger. Jedes psychiatrische Attest, jedes private Foto, das nicht im Darknet landet, treibt Rehme an.

Das könne doch gar nicht sein, beharrt der Professor, er habe seine Systeme doch vor Zugriff geschützt. "Viele erwarten, dass man nur die Tools nutzt, die es auf dem Markt gibt", sagt Rehme. Er hingegen nutzt viele Eigenentwicklungen – weil sie erfolgreicher sind. Dass sie nicht so einfach zu finden sind, liegt in der Natur der Sache. Die gut organisierten kriminellen Banden machen es nicht anders. Auch sie nutzen Schadsoftware, die nicht einfach zu finden ist. Der Professor arbeitet die Nacht und das folgende Wochenende durch, immer wieder stellt er Nachfragen – jetzt hat ihn das Fieber gepackt, es richtig zu machen. René Rehme grinst glücklich und erschöpft.

Neben dem Durchhaltevermögen ist Claudia Ernst eine andere zentrale Eigenschaft aufgefallen an ihrem Sohn, sagt sie: Kreativität. "Meine Mutter meinte immer: Der René wird entweder mal Straßenkünstler oder er schafft den Durchbruch." Hatte Rehmes Oma recht?

Namen im Ehering in Binärcode eingraviert

Es gibt eine dritte Option: Gefängnis. Damit jedenfalls droht ihm seine Frau Amy heute manchmal. "Als mir das alles klar wurde, habe ich ihm die Besuchszeiten in der JVA gezeigt und ­gedroht: ‚Das ist mir zu wenig‘", sagt die junge Frau lachend. Als sie heiraten, kennt sie ihn schon seit einigen Jahren, doch sie kennt ihn als Entwickler, der inzwischen Mit­­­in­haber ­einer eigenen Firma ist, nicht als Hacker. Und als Nerd, der darauf besteht, ­ihren Namen im Ehering in Binärcode eingravieren zu lassen.

2021 liest René Rehme in der Zeitung, dass der Landkreis Bitterfeld gehackt worden ist. Es ist einer der bislang schwersten Angriffe einer endlosen Reihe von Verschlüsselungsattacken krimineller Banden auf deutsche Kommunen und Gemeinden. Persönlichste Informationen landen im Darknet. "Das könnten meine Daten sein", schießt ihm auch da durch den Kopf. Ist er mit seinem Können nicht verantwortlich, etwas zu tun, Kriminellen zuvorzukommen und Leid zu verhindern?

Er fängt wieder an zu hacken, diesmal als ethischer Hacker. Wo er hinschaut, tun sich schwere Sicherheitslücken auf. Und er kann nicht allen Kriminellen zuvorkommen: Schließlich betreiben das diese Banden als ­lukrative Vollzeitbeschäftigung, während er es neben seiner normalen Arbeit macht – und als Lohn, wenn überhaupt, mal einen Dank bekommt. Manche der Verantwortlichen sind genervt, schließlich halst er ihnen Arbeit auf. Nicht alle sind so engagiert wie der Professor der großen Uni, der sich nach einigen Tagen erneut meldet und sich herzlich bedankt. Der Jurist hingegen meldet sich nicht mehr.

Leseempfehlung
KI-Sicherheit
KI-Forschung muss transparenter werden

René Rehme achtet heute peinlich genau darauf, keine Gesetze zu überschreiten. ­Heute sprechen ihn Universitätsrektoren und ­Bürgermeisterinnen an, buchen ihn für Vorträge oder für die Analyse ihrer Systeme. Er kommt kaum hinterher.

"Jetzt ist er da, wo er immer hinwollte", sagt seine Mutter und klingt stolz.
Seine Frau zeigt auf den Ehering mit den eingravierten Nullen und Einsen: "Ich wusste, worauf ich mich einlasse."

"Ohne den Computer meiner Mutter wäre ich eine ganz andere Person geworden", sagt René Rehme.

Teilen
Via Whatsapp senden
Via E-Mail empfehlen
Leseempfehlung

Neuen Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
Hilfe zum Textformat

Plain text

  • Keine HTML-Tags erlaubt.
  • Zeilenumbrüche und Absätze werden automatisch erzeugt.
Wählen Sie bitte aus den Symbolen die/den/das LKW aus.
Mit dieser Aufforderung versuchen wir sicherzustellen, dass kein Computer dieses Formular abschickt.