Das Navi muss gehackt worden sein, der Weg kann so nicht stimmen! Die Straße wird immer schmaler, führt durch ein Wohngebiet, an Wiesen vorbei über einen Hügel. Saß eben im Frühstücksraum des Grazer Hotels doch jemand, der sich über das WLAN auf mein Handy gehackt hat? „Sie haben Ihr Ziel erreicht“, sagt das Navi und ich fühle mich etwas in meiner Paranoia ertappt. Mitten in Kärnten, am Rande der Kleinstadt Wolfsberg. In dieser österreichischen Idylle befindet sich das Hauptquartier der Cybersicherheitsfirma BPN.

Es tobt ein globaler digitaler Krieg, dessen Ausmaß wir kaum mitbekommen, dabei sind wir unmittelbar davon betroffen und bedroht. Durch das Internet der Dinge hinterlassen wir überall Daten und sind verwundbar, denn unsere vernetzten Geräte können angegriffen, observiert, abgeschaltet, zerstört, manipuliert, kurz: gehackt werden. Experten sprechen bereits von einem Digitalisierungsdilemma: Die Technik, die unser Leben erleichtern soll, kann es uns gleichsam massiv erschweren. Vor ihr verstecken kann sich kaum jemand. Denn selbst wer auf Handy und Fernseher verzichtet, bekommt Wasser, Strom und Geld nur mithilfe von Computern – und die sind längst Waffen im Internetkrieg geworden. Aber wer sind eigentlich die, die da kämpfen?

Wie viele Black Hats, also kriminelle Hacker, es gibt, ist unklar. Ebenso, wo sie gerade überall zuschlagen. Das Internet gibt ihnen schier unbegrenzte Möglichkeiten, sich zu verstecken. White Hats hingegen versuchen, die Gesellschaft vor diesen Angriffen zu schützen, indem diese Computerexperten beispielsweise Firewalls aufbauen oder Eindringlinge aus Systemen werfen. Eine Bastion dieser gutwilligen Hacker befindet sich also mitten in Kärnten, wo Patrick Bardel vor einigen Jahren BPN gründete.

In Zahlen sieht eine Front zum Beispiel so aus: 978 Millionen Menschen in 20 Ländern wurden 2017 Opfer von Cyberkriminalität – jeder zweite Internetnutzer quasi. Die Wahrscheinlichkeit, erwischt zu werden, ist also recht hoch. Das ergab eine Studie der Symantec Corporation, die die Anti-Virus-Software Norton herstellt. In jedem zweiten Fall wurde ein Endgerät von Schadprogrammen befallen. Kreditkartendaten oder Passwörter wurden gestohlen (39 Prozent). E-Mail-Zugänge oder Social Media Accounts wurden gekapert (34 Prozent). Oder, oder, oder.

Hacking läuft aber häufig zunächst auch analog ab. Etwa an der Firmenfront. „Haben Sie es eben im Radio gehört? Tesla ist angegriffen worden. Ein frustrierter Mitarbeiter hat wohl geheime Informationen verkauft“, sagt Michael Hofer zur Begrüßung. In Wirklichkeit heißt er anders. Der Endzwanziger gehört zu den Entscheidern bei BPN. Wir treten ein und warten kurz auf Firmenchef Bardel.

Wie Mitarbeiter anderer Firmen als Türöffner für ungebetene Besucher fungieren, darüber könnte Hofer ein Buch schreiben. Social Engineering heißt diese Hacking-Methode, bei der die Schwachstelle Mensch ausgenutzt wird. Es ist laut einer Umfrage des Digitalverbandes Bitkom nach dem Diebstahl von IT- und Telekommunikationsgeräten die zweithäufigste Angriffsart auf Firmen. Denn dort, wo elektronische Hürden zu hoch sind, versuchen Hacker erst einmal analog an Informationen zu gelangen, die dabei helfen, digital einzudringen. Hofer erklärt das bildlich: „Wir versuchen nicht, die Schutzmauer einzureißen, das wäre viel zu aufwendig. Wir versuchen, dass uns jemand aus der Burg heraus über die Mauer Informationen zuwirft.“ So machen das auch die Bösen.

Häufig gelingt das etwa über Personalabteilungen. Ein Anruf eines vermeintlich verzweifelten Bewerbers, dass sein Lebenslauf nicht durchgeht und ob er diesen noch einmal extra und passwortgeschützt mailen darf. Fällt jemand aus der Personalabteilung darauf rein und gibt das Passwort ein, ist der Eingreifer im System und Informationen fliegen über die Mauer.

Mehrere 100 000 Euro lassen sich global agierende Konzerne so einen groß angelegten Sicherheitscheck der BPN schon mal kosten. Es steht immerhin einiges auf dem Spiel: Datenklau, Diebstahl geistigen Eigentums, Blockade der IT-Systeme, Geldverlust in Millionenhöhe. Eine Umfrage des Sicherheitssoftware-Entwicklers Kaspersky Lab ergab: Die durch ein Datenleck verursachten Kosten bei kleinen und mittleren Unternehmen sind 2017 im Vergleich zum Vorjahr um 37 Prozent auf durchschnittlich 120 000 Dollar gestiegen – bei Großunternehmen waren es im Schnitt bis zu 1,23 Millionen Dollar (ein Plus von 24 Prozent).

Hofers Erfahrung nach sind übereifrige und frustrierte Mitarbeiter ein Sicherheitsrisiko für Unternehmen, gegen das selbst ausgeklügelte digitale Schutzmauern machtlos sind – wie das Beispiel Tesla zeigt. „Sorgen Sie dafür, dass Ihre Mitarbeiter zufrieden sind“, rät Hofer daher seinen Kunden, die ihn unter seinem richtigen Namen kennenlernen. Hier soll dieser aber nicht stehen, damit er für Social-Engineering-Einsätze nicht verbrannt ist. Um über White Hat Hofer online etwas herauszufinden, müssten Experten ran – wie Patrick Bardel, der nun den Besprechungsraum betritt.

Mitte 30, Hemd, Anzughose, nach hinten gekämmte kurze Haare, sonnengebräunte Haut – so sehen heutzutage Hacker aus. Bardel lacht. „Ja, wir sind die Nerds. Die Zeiten sind vorbei, als das nur dicke, pickelige, blasse Jungs waren.“ Um Schaden anzurichten reichen ein Laptop, ein schneller Internetzugang und Wissen, das in etwa dem eines Informatikstudenten im dritten Semester entspricht.

Früher wollten sich Hacker oft nur beweisen, dass sie es können. Heute fordern Cyberkriminelle Geld, wenn sie Computersysteme gehackt haben: Entweder, es wird ein Betrag gezahlt, oder die Daten sind für immer verloren. „Die Cyberkriminalität ist inzwischen kommerzialisiert“, sagt Bardel. Im Darknet bieten anonyme Hacker für ein paar tausend Euro ihre kriminellen Dienste an. Schnell verdientes Geld bei minimaler Gefahr, geschnappt zu werden. Die Sicherheitsbranche geht davon aus, dass inzwischen mehr Geld durch illegales Hacking verdient wird, als durch den globalen Drogenhandel.

Ausgelöst werden die meisten Erpresserangriffe auf Privatpersonen durch Ransomware – Schadprogramme, die gezielt im Internet verschickt werden. Da wird beispielsweise vorgegaukelt, dass der Account eines vertrauenswürdigen Internetshops oder einer Social-Media-Plattform gehackt wurde. Irgendeiner fällt schon auf den digitalen Trickbetrug rein, klickt einen Link oder eine Datei an – und schon ist?s passiert. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind mehr als 600 Millionen Schadprogramme im Umlauf.

Justizbehörden sind gegen international agierende Black Hats in der Regel machtlos. Also setzen Unternehmen, Behörden und Privatpersonen auf das Wissen der White Hats als Abwehrmaßnahme. Hier kommen Experten wie Bardel und seine Hacker-Crew ins Katz-und-Maus-Spiel. Vor sechs Jahren entdeckte er bei einem Sicherheits-Software-Test seines IT-Unternehmens die Marktlücke. Seitdem hat sich die BPN auf IT-Sicherheitschecks spezialisiert – analog wie digital. Kleine und mittelständische Unternehmen im deutschsprachigen Raum und auch Konzerne beauftragen die Firma mit Stresstests für die IT-Abwehr. „In den letzten 15 bis 20 Jahren wurde in Sachen Security viel verpennt, das ändert sich nun“, sagt Bardel.

Manche hätten die Bedrohungslage noch immer nicht erkannt. Den Satz „Bei uns gibt es doch nichts zu stehlen“ bekommen Bardel und Kollegen noch immer zu hören. Dann hat Hofer wieder Geschichten parat: Vom Radiologen, der 10 000 Euro zahlte, damit er seine millionenschwere Technik wieder benutzen konnte. Der Gesundheitsbereich sei zurzeit im Fokus der Black Hats, sagt Hofer. „Hier tut es schnell weh, weil es um Menschenleben geht, da fließt sofort Lösegeld.“ Hofer erzählt von einer Kleinbäckerei, deren EDV lahmgelegt wurde. Oder vom Hotel in Kärnten, dessen Zimmerschließsystem gehackt wurde. Oder, oder, oder.

Bardel surft und findet im Handumdrehen auf legalen Internetseiten Hacking-relevante IT-Daten: genug Informationen, um eine vertrauenswürdige Geschichte für einen Social-Engineering-Angriff zu erfinden, ebenso Sicherheitslücken in Systemen mit dazugehörigen IP-Adressen, die sich mit Hackerprogrammen schnell scannen lassen. „Das ist, als würde man um ein Haus schleichen und prüfen, ob ein Fenster offen ist“, beschreibt Bardel.

Warum er für die Guten kämpft, wo es bei den Bösen doch so viel mehr zu verdienen gibt? „Mir geht es nicht ums Geld. Ich möchte Probleme lösen. Und außerdem habe ich ein Gewissen“, sagt er. Laut Hofer denken viele White Hats so. Schlecht verdienen sie aber auch auf der guten Seite nicht. Nachdem die Wirtschaft händeringend Beschützer sucht, winken Unternehmen Hofer zufolge schon mal mit Einstiegsgehältern für Master der Informatik von 100 000 Euro. Den Heldenstatus gibt es quasi noch dazu – unbezahlbar.

„Wachsam sein, aber nicht paranoid werden. Man steht ja auch nicht jeden Tag auf und denkt daran, dass man verunglücken könnte“, sagt Bardel zum Abschied. Seine Worte klingen nach: Etwa, als sich der Zündschlüssel zum Mietwagen umdreht und das Navi zurück zum Grazer Flughafen führt. Oder als das Handy den nächsten WLAN-Hotspot anbietet. Oder als plötzlich abends daheim das Internet so seltsam langsam ist. Oder, oder, oder.