Wenn man Hendrik Hofstadt das erste Mal sieht, ahnt man nicht, was er in der Freizeit in seinem Keller macht. Der trainierte 19-Jährige wohnt in einer Stadt nahe Mannheim. Er ist ein gewöhnlicher junger Erwachsener, geht mehrmals die Woche ins Fitnessstudio und steht kurz vor dem Abitur.
Das weiße Haus seiner Eltern schmiegt sich in die beschauliche Neubau-Gegend der rund 10.000 Einwohner zählenden Gemeinde ein. Doch statt seine Haustür mit einem Schlüssel aufzuschließen, überprüft ein dort angebrachter kleiner Scanner Hofstadts Fingerabdruck und öffnet ihm dann die Tür. „Das ist bequemer als dauernd den Schlüssel zu vergessen“, sagt er.
Dass nicht nur seine Familie, sondern auch er selbst sehr technikaffin ist, merkt man, wenn man ihm in den ausgebauten Keller folgt. Während in der Ecke neben einer Stehlampe Berge von Blättern zur Abiturvorbereitung liegen, steht an einer Wand auch ein ein großer Schreibtisch, auf dem drei Computermonitore einen Großteil der Tischfläche einnehmen.
Hacken für die gute Sache
Hendrik Hofstadts Freizeitbeschäftigungen sind aber nicht Computerspiele oder YouTube-Videos. An seinem Computer hackt der 19-Jährige Unternehmen, um ihnen bei der Schließung von Sicherheitslücken zu helfen. Er ist ein sogenannter „white hat“, zu deutsch Weißhut. White hats sind so etwas wie gute Hacker.
Sie suchen Sicherheitslücken nicht, um sie auszunutzen und sich selbst zu bereichern, sondern für die gute Sache. Zum Beispiel eben, um Unternehmen bei der Schließung ihrer Sicherheitslücken zu helfen. Nicht selten hat Hofstadt dabei auch mit Startups zu tun. Unternehmen, die ihr Geschäftsmodell weitestgehend im Internet ausüben.
Das Überraschende: Obwohl die Basis ihres Unternehmens im Internet ist, haben sie teils gravierende Sicherheitslücken, die auch die Nutzerdaten betreffen. Warum das so ist, hat mit der Aufbauphase von Startups zu tun.
Als Hendrik Hofstadt anfing, sich mit Informatik zu beschäftigen, programmierte er Apps mit Freunden. Heraus kamen unter anderem eine Vertretungsplan-App und ein Programm, das erste Hilfe bei Cybermobbing bietet. Mit Hacking in Berührung kam Hofstadt dann mit 16. Damals hörte er von einem Freund von der Cyber Security Challenge. Bei dem Hacking-Wettbewerb werden die 14- bis 30-jährigen Teilnehmer mit Aufgaben zur IT-Sicherheit konfrontiert und müssen diese lösen.
Eine Gegenleistung erwartet er nicht
An dem Wettbewerb nahm Hofstadt zusammen mit Freunden teil. Stück für Stück lernte er dort, wie man Schwachstellen in IT-Systemen findet. Gegenseitig spornten sich die Freunde an. Dort hatte Hendrik Hofstadt zusammen mit einem Freund auch sein erstes Hacking-Erfolgserlebnis.
Nur mit den bei der Cyber Security Challenge erlernten Hacking-Fähigkeiten und dem, was die beiden aus YouTube-Tutorials mitnahmen, lösten sie nicht nur die Aufgaben der Challenge, sondern knackten auch gleich den Server des Hackerwettbewerbs und luden die Lösungen herunter.
Hofstadt machte weiter, hackte erst kleine Unternehmen, später Mittelständler und Startups. Anfangs fragte er noch nicht nach Erlaubnis, das hat sich heute geändert. Was er aber immer macht: Er sagt den Unternehmen Bescheid, was er gefunden hat. Eine Gegenleistung erwartet er nicht. Er hackt, weil es ihm Spaß macht: „Wenn man stundenlang versucht, Schwachstellen im System zu finden, und dann ein Erfolgserlebnis hat, ist das ein unglaubliches Gefühl.“
Das erste Startup, das Hendrik Hofstadt hackte, war ein Startup, das sich Kochen zum Thema gemacht hat. Die Namen der Unternehmen sind der Redaktion bekannt. Hofstadt erklärt: „Die Unternehmen wollen nicht genannt werden, weil es dem Vertrauen der Kunden extrem schaden würde und sie somit auch wirtschaftlich extrem belasten könnte.“
Eklatante Sicherheitsmängel
Hofstadt habe sich auf deren Seite „umgesehen“, wie er es nennt. Nach einigen erfolglosen Versuchen, Lücken zu finden, hatte er eine Idee: Er produzierte Fehler. Die Fehlermeldungen offenbarten ihm Nutzerdaten, durch die er weiter ins System vordringen konnte. Ende der Geschichte: Er konnte Nachrichten aus den internen Mitarbeiter-Chats einsehen und sogar selber schreiben.
Das klingt erst einmal nach einer Lappalie, kann aber weitreichende Folgen haben, wie Christof Paar erklärt: „Hacker könnten zum Beispiel das Geschäftsmodell kopieren, Teile der Software klauen oder das Startup mit den Daten erpressen.“ Paar leitet den Lehrstuhl Eingebettete Sicherheit an der Ruhr-Universität Bochum.
Die Uni eröffnet Mitte des Jahres einen Cyber Security Inkubator, bei dem Studenten und Nachwuchswissenschaftler bei der Gründung und Finanzierung von Startups aus dem Gebiet der IT-Sicherheit unterstützt werden.
Er schätzt, dass Startups im Vergleich zu klassischen Unternehmen etwas weniger im Fadenkreuz von Kriminellen sind, weil es dort oft nicht so viel zu holen gäbe. Genaue Aussagen sind allerdings schwer zu treffen: „Es gibt so gut wie keine belastbaren Studien zu der Thematik. Über IT-Angriffe sprechen Startups, genau wie etablierte Unternehmen, nicht gerne.“ Das ist auch der Grund, warum die Fälle, in denen Hofstadt eklatante Sicherheitslücken fand, nicht öffentlich wurden.
Testaccount wurde einfach nicht gelöscht
Denn Hendrik Hofstadts größter Hack hätte in der Öffentlichkeit vermutlich einen immensen Imageschaden für das betroffene Startup bedeutet. Bei dem großen deutschen Startup, das einen Online-Shop führt, hatte er nach einer halben Stunde Zugriff auf die Daten der Nutzer – einschließlich Bestellungen, die er manipulieren konnte, und Kontoinformationen.
Das Unternehmen testete Bewerber – mit einem Testaccount für die echte Webseite. Dieser Testaccount wurde allerdings nie deaktiviert. Irgendjemand machte die Aufgabenstellung inklusive der Log-In-Daten des Accounts auf einer Codeplattform öffentlich zugänglich.
So hatte Hendrik mit kurzer Recherche und ein paar Klicks Zugang zum innersten des Online-Bestelldienstes. Und das alles nur, weil schlichtweg vergessen wurde, den Testaccount zu deaktivieren und jemand ohne nachzudenken die Aufgabenstellung inklusive der Zugangsdaten hochlud.
Es fällt nicht schwer, sich auszumalen, was alles hätte passieren können, wenn die erbeuteten Informationen nicht in Hofstadts Hände gefallen wären – sondern in die von Kriminellen. Hofstadt schätzt, dass er dafür auf dem Schwarzmarkt einen fünf-, vielleicht sogar einen sechsstelligen Betrag bekommen hätte.
Keine Zeit für IT-Sicherheit
Aber ernsthaft habe er noch nie in Erwägung gezogen, seine Hack-Informationen tatsächlich zu verkaufen. Bezahlt wird er von den Unternehmen meistens aber auch nicht. Manchmal erhält er ein bisschen Geld oder kleine Geschenke, aber oft auch gar nichts.
Aber wie kann es sein, dass Unternehmen, deren komplettes Geschäftsmodell im Internet liegt, so schlecht gegen Cyberangriffe gesichert sein können? Hofstadt sieht den schnellen Wachstum als Grund für die Versäumnisse, die bei vielen jüngeren Startups bei der IT-Sicherheit gemacht werden: „Am Anfang will man als Startup schnell wachsen, schnell Umsatz machen. Da ist keine Zeit, um noch massig Energie in IT-Sicherheit zu stecken.“
Bis zu einem gewissen Punkt kann er das verstehen. „Doch sobald ein Produkt auf dem Markt ist, muss man den Schritt gehen und sein Unternehmen vor Cyberangriffen absichern“, sagt er. Das passierte weder beim Koch- noch beim Bekleidungs-Startup, die beide in der deutschen Internetszene etablierte Player sind.
Der junge Hacker erklärt: „Wenn dieser Schritt nicht gemacht wird, baut man sein Unternehmen auf einen alten und fehlerhaften Software-Sockel auf.“ Ein gefundenes Fressen für Kriminelle. Christof Paar würde jungen Startups sogar schon früher dazu raten, in IT-Sicherheit zu investieren: „Spätestens, wenn Fremdkapital ins Unternehmen fließt, sollte man auch Geld für die Sicherheit gegen Cyberangriffe in die Hand nehmen. IT-Sicherheit sollte ein fester Teil des Businessplans sein.“
Bei Flixbus hat er es nicht geschafft
Doch es gibt auch die Muster-Startups, die viel Energie in ihre IT-Sicherheit gesteckt haben. Eines davon ist Flixbus. Von dem Unternehmen schwärmt Hofstadt, wenn er über deren IT-Sicherheit spricht. Er selbst versuchte, in das System einzudringen – vergeblich.
Wenn Unternehmen wie Flixbus von Anfang an penibel auf IT-Sicherheit achten, läge es oft an Mitgliedern des Gründerteams, die sich in der Thematik auskennen, erzählt Hofstadt.
Bei Flixbus ist das Daniel Krauss, der zuvor unter anderem im IT-Bereich von Siemens und als technical Account Manager bei Microsoft gearbeitet hat. Auch hätten Startups in sensiblen Branchen, wie zum Beispiel Fintechs, einen sehr guten Schutz gegen Cyberangriffe und, was vielleicht noch wichtiger ist – einen Plan, was im Ernstfall zu tun ist.
Dieser Artikel erschien zuerst bei Welt.de.