Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

© www.stefan-zeitz.com

 

Er kennt die Tricks der Kriminellen – und öffnet Internetnutzern die Augen: Tobias Schrödel lenkt als Bühnen-Hacker den Fokus auf allzu sorglosen Umgang mit der IT. Der Ex-Telekom-Angestellte erreicht mit amüsanten Vorträgen mehr als manche Unternehmensrichtlinie.

 

Es ist schwer auszuhalten. Noch eine Minute diese monotone Tour – und der ganze Saal dämmert weg. „Es gibt sogenannte TCP-Pakete und UDP-Pakete, insbesondere die ersten sechs Bytes vom Header sind wichtig“, rattert der Mann im blauen Businesshemd und leuchtet hektisch auf einer Powerpoint-Folie in 8-Punkt-Schrift herum.

Mehr als 100 Schüler und ihre Eltern im Remscheider Leibniz-Gymnasium verfluchen in diesem Moment, dass sie sich für einen Abendvortrag über IT-Sicherheit angemeldet haben. Und dabei hat der Langweiler da oben gerade erst begonnen.

 

Ritt durch die Welt des Hackens

Plötzlich hält der Redner inne, grinst und packt sich an die Brust. „Hey, das glaubt ihr doch nicht wirklich, war Spaß“, sagt er – und reißt sich Hemd und Krawatte vom Körper. Übrig bleibt ein T-Shirt der Heavy-Metal-Band Iron Maiden.

„Jetzt geht es richtig los.“ Nach dem Strip startet Tobias Schrödel einen mitreißenden Ritt durch die Welt des Hackens, des Darknet und der Internet-Abzocke. Nun ohne Tech-Kauderwelsch, stattdessen frappierend lebensnah. „Comedyhacker“ hat ihn einst die Computerzeitschrift „Chip“ genannt.

Kaum ein Dax-Konzern, bei dem sich der Münchner noch nicht das Hemd weggerissen hat, um danach die Manager wach zu rütteln. Tobias Schrödel, ein Energiepaket auf Turnschuhen, ist Deutschlands wohl prominentester Live-Hacker. Er demonstriert auf offener Bühne die Methoden der Internetkriminellen.

„Steckt nie, nie, nie einen unbekannten USB-Stick an den Rechner.“

Tobias Schrödel, Live-Hacker und IT-Security-Berater

Was die können, kann er auch – doch er nutzt sein Wissen für Prävention. 80 bis 100 Vorträge hält er im Jahr, Industriekunden zahlen bereitwillig einen mittleren vierstelligen Betrag für eine Stunde Schrödel-Show. Seine Kritik: Viele Mittelständler kümmerten sich nur deshalb um IT-Sicherheit, weil sie fürchten, sonst in Haftung genommen zu werden.

Er setzt in Schulen an, um früh das Bewusstsein zu schärfen. Mindestens einmal im Monat, das liegt ihm am Herzen, will er an einer Schule präsent sein – der Direktor in Remscheid dankt es mit einer Flasche Wein.

 

„Ich war sofort angefixt“

Comedyhacker, das ist freilich kein Ausbildungsberuf. Für Schrödels Karriere mitverantwortlich ist die Großmutter, heute 97 Jahre alt. Sie legte 1981 dem zehnjährigen Enkel einen Heimcomputer namens Sinclair Spectrum mit 48 Kilobyte Speicher unter den Weihnachtsbaum.

„Den hatte ich mir nicht mal gewünscht, aber ich war sofort angefixt.“ Mit seinem Bruder begann er, BASIC-Handbücher zu studieren und ellenlange Programmcodes aus Computerzeitschriften abzutippen. Er legte die in den 1980er-Jahren altersgerechte Nerd-Karriere hin: Atari ST mit Akustikkoppler, Commodore 64, mit 18 Jahren dann der erste MS-DOS-Rechner.

Eine wichtige Erkenntnis: Programmierer und Hacker sind eng wesensverwandt. „Als Programmierer sucht man Fehler und Lücken in den eigenen Programmen. So lernt man, um die Ecke zu denken.“ Dass er diese Gabe besitzt, sei sein Glück. Und wieso geriet er nie ins falsche Lager, zu den bösen Jungs? Schrödel zögert kurz, dann sagt er: „Vielleicht, weil ich ein Schisser bin.“

 

Kleiner Hack, große Welle

Einmal erfuhr er persönlich, welche Welle ein kleiner, sogar gutgemeinter Hack auslösen kann, wenn er außer Kontrolle gerät. Ein paar Jahre nach der Jahrtausendwende, Schrödel ist inzwischen ausgebildeter Fachinformatiker und angestellt bei der Deutschen Telekom, da entdeckt er eine peinlich große Sicherheitslücke im Mailprogramm des Konzerns.

„Wer im System angemeldet war, hätte mit ein paar Handgriffen ungehindert im Namen eines beliebigen Kollegen Mails verschicken können“, sagt er. Entsprechende Warnungen blieben ungehört.

„Um auf das Problem aufmerksam zu machen, habe ich dann im Namen meines Hauptabteilungsleiters eine Mail verschickt. Inhalt: Die variablen Bezüge würden ausnahmsweise zwei Wochen später ausgezahlt, man solle das aber für sich behalten.“ Natürlich Unsinn.

Eine Bombe. „Binnen fünf Minuten war Alarm beim obersten Personalchef. Ich hatte erhöhten Puls.“ Nur weil er wen kannte, der die Sekretärin des HR-Vorstands kannte, konnte er eine noch ungelesene Mail aus dessen Postfach entfernen.

„Ich wollte schon die SZ kaufen für die Stellenannoncen.“ Und doch: Schrödel durfte bleiben, zwar geschockt, aber immerhin: Die Lücke im Mailsystem wurde geschlossen. Dass er heute so gelassen davon erzählt, hat einen Grund: Er ist frei. Bei der Telekom hat er 2012 gekündigt, als klar war, dass er als Vortragsreisender, TV-Experte und Buchautor einen festen Stand haben würde.

In Remscheid auf der Bühne steht ein Tisch mit Apple-Laptop drauf. Doch am liebsten tigert der quirlige Schrödel quer über die Bühne, ganz Rampensau, während er launige Einblicke gewährt in den Giftschrank der IT. „Steckt nie, nie, nie einen unbekannten USB-Stick an den Rechner“, mahnt er.

An Beispielen erklärt er, wie über infizierte Sticks Webcams angezapft, Rechner ferngesteuert, Platinen geschmolzen oder Tastaturklicks aufgezeichnet werden können. Angestellte in Unternehmen seien nicht besser als Schulkinder: Oft schlage Neugierde jeden Vorsichtsgedanken, jeder stecke alles leichtsinnig in den Rechner.

 

Einkaufstour im Darknet

„Wie ist die Vorwahl von Remscheid?“, fragt er. Dann lässt er sich zwei Geburtsdaten nennen von Schülern. Aus allem formt er spontan eine Rufnummer, tippt etwas. Sekunden später klingelt sein Handy – und die Absenderkennung entspricht exakt der soeben erfundenen Rufnummer.

Merke: „Ich kann jeden mit jeder beliebigen Rufnummer anrufen. Ein kleines Programm, selbst geschrieben – bis hierhin ist das nicht mal strafbar, viele Callcenter nutzen das“, sagt er. Kriminell wird es aber, sobald man sich im Gespräch als eine andere Person ausgibt, womöglich, um Vertrauen zu erschleichen und eine Überweisung zu veranlassen. Diese Masche, auch CEO-Fraud genannt, hat in Unternehmen schon zu Millionenschäden geführt.

Ein Thema fehlt in keinem Vortrag: Passwörter. „Eure Passwörter werden verkauft“, sagt er. Um es nicht bei der Behauptung zu belassen, zeigt Schrödel einen entsprechenden Marktplatz im Darknet. „Da kaufe ich auch immer ein“, sagt er. „Hier sehen wir 33 Einträge für Paypal-Zugänge.

Das bedeutet nicht etwa 33 gehackte Konten, sondern 33 Verkäufer“, stellt er die Dimension klar. Fast wie bei Ebay mit Benotungswesen, Käuferschutz und sogar AGB legt man im kriminellen Marktplatz geklaute Passwörter in den Warenkorb – und bezahlt verdeckt mit Bitcoin. „Wenn sie nicht funktionieren, wird anstandslos Ersatz geliefert.“ Schrödel weiß das, er ist Darknet-Kunde – von Berufs wegen. Als einer von den Guten.

Mit einem kleinen Programm, das er für 150 Dollar von russischen Hackern gekauft hat, fährt er zur Veranschaulichung eine sogenannte Brute-Force-Attacke. Mit „roher Gewalt“, so die Übersetzung, probiert das Programm 26 Millionen Passwörter in der Sekunde stumpf durch.

Nutzt man einen Code, der aus nur sechs Buchstaben besteht, ist das Programm spätestens nach 8,94 Sekunden am Ziel. 232 Millionen Möglichkeiten hat es dann getestet, bis es garantiert Klick macht.

Schrödels Rat: Nutzt möglichst lange, sinnfreie Passwörter mit Sonderzeichen, für jede Anwendung ein anderes. Um es übersichtlich zu halten, empfiehlt er eine gut beleumundete Passwort-App mit starkem Masterkennwort als Tresor. Über sein eigenes Passwort verrät er so viel: „Es hat 22 Stellen.“

 

— — —

 

Zur Person

Schon als Jugendlicher vereinte Tobias Schrödel zwei Interessen: Der Münchner ist Computerfreak der ersten Stunde und besitzt zugleich Entertainer-Qualitäten. Sein VWL-Studium brach er ab, lieber half er als Tutor im PC-Labor der Uni anderen Studenten am Computer. Beim Expressdienstleister UPS entwickelte er später Logistiklösungen, bevor er als Fachinformatiker zur Telekom-Tochter DeTeSystem wechselte, der späteren T-Systems. Auf Firmenveranstaltungen brachte er sein unterhaltsames Talent ein: erst als „Pausenclown“ bei technischen Vorführungen, wie er sagt. Dann begann er, einen Vortrag rund um IT-Sicherheit auszuarbeiten – und stetig zu verfeinern. 2011 erschien sein erstes Sachbuch: „Hacking für Manager“. Seit 2012 verdient er freiberuflich als Vortragsreisender, Autor, Berater und TV-Experte sein Geld.