Interview mit Adrian Janotta

Adrian Janotta ist Nerd und Internetspezialist. Als Hacker rutschte er in die Kriminalität ab und musste eine fünfjährige Haftstrafe absitzen. Heute hat er die Seiten gewechselt. Er leitet sein Unternehmen Janotta Partner Security Consulting und hilft mit seinem Wissen Unternehmen aus Finanzwelt und Wirtschaft, sich gegen Sicherheitsrisiken zu wappnen.

Du musstest ins Gefängnis und hast Dich danach selbstständig gemacht, um heute mit Deiner Firma einer der bedeutendsten Auftrags-Hacker zu sein. Wenn Du eine Zeitreise machen könntest, was würdest Du heute anders machen?

Dann würde ich dafür sorgen, dass ich den Glauben an mich selbst nicht verliere. Achtsamkeit mit mir, das wäre mir sehr wichtig –  und eine positive Grundeinstellung zum Leben. Ich würde vertrauen in das Leben haben und wertschätzend mit mir selbst umgehen.

Was empfiehlst Du Menschen, die – so wie Du vor einigen Jahren – in Lebenskrisen geraten?

Vor allem, den Glauben an sich selbst nicht zu verlieren. Gute soziale Kontakte und Freundschaften pflegen – das ist wichtig. Freunde zu haben, die ehrlich sind und auch mal Kritik üben. Soziale Geborgenheit ist kein Schutz gegen Lebenskrisen, aber es schützt davor, sich darin zu verlieren. Ein stabiles soziales Netzwerk hilft, die negative Spirale zu durchbrechen.

Heute führst Du Dein eigenes Unternehmen und hackst große Kunden aus Finanzwelt und Wirtschaft in deren Auftrag. Warum bezahlen die Dich dafür, dass Du sie hackst?

So erfahren sie, wie angreifbar sie sind. Ich greife sie an und finde die Lücken in der Sicherheit, um dann die Abwehr zu verbessern.

Kurioserweise kommen wir zurzeit kaum noch nach. Ich habe fast jeden zweiten Tag einen Auftrag, bei dem eilig Unterstützung gebraucht wird.

Die Unternehmer sind oft regelrecht verzweifelt. Man kann kaum beschreiben, wie sich jemand fühlt, der schon viel in IT-Sicherheit investiert hat, aber dennoch das Gefühl hat, ausspioniert  worden zu sein, oder das IT-Systeme ungewollte Dinge machen.

Kannst du mir mehr darüber erzählen, wie Dein Unternehmen arbeitet?

Wenn Ihr zu einem solchen IT-Notfall gerufen werdet – was macht ihr dann?

Zunächst machen wir einen sogenannten Incentive Response. Das ist so etwas wie eine erste Hilfe Maßnahme im IT-Bereich. Der Ablauf dabei ist fast immer der gleiche. Es kommt ein Anruf mit der Meldung, dass das Unternehmen Sicherheitsprobleme hat. Beim  Kunden vor Ort machen wir stets die Erstbestandsaufnahme. Den Menschen ist oft die Verzweiflung regelrecht ins Gesicht geschrieben.

Nach dem – Incentive Response, der ersten Hilfe – was passiert dann?

Wir bedienen uns der IT-Forensik – wir untersuchen wie digitale Detektive, ob und was vorgefallen sein könnte. Dabei nehmen wir erst einmal alles unter die Lupe. Bei 50% unserer Fälle sind Computersysteme mit Spionagesoftware verwanzt.

Oft haben die Angreifer die Software selbst geschrieben oder schreiben lassen. Darum hat kein Antiviren-Programm den Angriff erkannt. Das macht den Hack überhaupt erst möglich. Wir haben uns auf solche Fälle spezialisiert – sozusagen die „IT-Forensik-Härtefälle“.

Du hast über vielfältige zweifelhafte und kriminelle Kontakte im Deepweb verfügt – daher kommen Deine Erfahrungen, richtig?

Oh, warum ich habe? Ich habe diese Kontakte heute noch. Die muss ich haben! Diese Kontakte ins Darknet – so sagt der Volksmund – sind wichtig.

Sie unterstützen uns dabei, Cybercrime besser zu verstehen. Dort trete ich nicht mit meinem Namen auf. Ich bewege mich im Darknet nach wie vor inkognito, um für meine Kunden die neuesten Hacker-Trends zu erforschen.

Natürlich nutze ich diese Kontakte anonym, keiner der Personen im Darknet weiß, dass ich das bin und wer ich bin. So kann ich dieses Wissen meinen Kunden bieten.

Was erforscht Du dort, im Darknet, für Deine Kunden?

Wenn morgen im Darknet  ein neues Exploit für ein bestimmtes System, für Windows, oder eine bestimmte Firewall zum Kauf angeboten wird, dann weiß ich das, auch wenn ich zunächst nicht explizit den Auftrag bekommen habe, dieses spezielle System zu testen.

Was ist ein Exploit?

Ein Exploit ist ein neuer Code, der eigens dafür programmiert wurde, Zugang zu Sicherheitssystemen zu verschaffen. Beispielsweise um eine Firewall zu knacken und so weiter.

Wer kauft denn so ein Exploit?

Meistens werden diese von Geheimdiensten gekauft: Vom BND, NSA oder Zitits. Bei uns in Deutschland ist in Zukunft die Behörde Zitis beim Ankauf vornehmlich dabei.

Was treibt Dich persönlich an? Was ist die Philosophie Deines Unternehmens?

Ich habe mich mit meiner Firma entschlossen, Menschen zu helfen. Ich will nicht bei der Überwachungsmaschinerie mit arbeiten.

Ich glaube, die Menschen merken mittlerweile, das einige Sicherheitsfirmen in Deutschland insbesondere mit Nachrichtendiensten kooperieren.

Darum bietest Du mit Deinem Unternehmen Schulungen zu den Themen „Security awarness“, „social engineering“, „Geheimdienste und Privatsphäre“ an. Welcher Gefahr ist der normale Bürger ausgesetzt? Hast du ein paar einfache Tipps, sich zu schützen?

Grundregel ist, seinem Menschenverstand zu vertrauen. In erster Linie wichtig sind der menschliche Instinkt und das Bauchgefühl. Beide belügen Dich niemals. Auf seinen Bauch kann man sich verlassen. Ein paar weitere nützliche Hinweise werde ich Dir bald als Gastautor für Deinen Blog liefern!

Und – was rätst Du großen Unternehmen für ihre Sicherheit?

80 % der großen Unternehmen nutzen zum Beispiel eine Passwortrichtlinie. Aber das alleine macht keine IT-Sicherheit aus. Erinnerst Du Dich an den Hack von Thyssen Krupp oder den Hack auf das BSI, dem sichersten Netz Deutschlands?

Das Kernproblem ist, das viele Unternehmen heute Anbietern vertrauen, die Software von der Stange anbieten. IT-Sicherheit ist im Kern sichere Software. Wenn ich ein Unternehmen angreife, finde ich meist Sicherheitslücken in der Software, der entsprechenden Schutzvorkehrung oder im Betriebssystem. Da kann man „awarness“ predigen so viel man will, wenn das eingesetzte System unsicher ist, dann ist es möglich, es zu hacken.

IT-Sicherheit bedeutet: Sichere Software einsetzen, ein Bewusstsein für die Gefahren zu haben und ein System das sicher ist, nicht mehr zu verändern.

Welche Gesetze brauchen wir Deiner Ansicht nach für das Zusammenleben in der digitalen Welt? Was sind die größten Herausforderungen?

In der Politik sollten viel mehr IT-Experten sein, und nicht nur Anwälte und Juristen. Juristen sind da leider komplett fehl am Platz, sie machen es teilweise noch schlimmer, weil Sie einfach nicht verstehen, wie das Ganze funktioniert.

Wie siehst Du die Zukunft? Hast Du eher eine positive oder eine negative Variante vor Augen? Welche großen Trends siehst Du?

Die positive Version ist, das Open Source und Wissenschaft die Macht ergreifen. Dann wäre die Welt ein Stück weit besser und sicherer.

Forscher kennen die Gefahren besser, als die Manager. Leider wird zu selten auf sie gehört. Sie sind oft begeisterte Idealisten, die sich auskennen – auch mit den Risiken ihrer Forschung. Entscheidungen treffen aber fast ausschließlich Menschen mit Profitgier und wenig Ahnung – in der Wirtschaft und in der Politik gleichermaßen.

Stephen Hawking und Bill Gates –  viele Unternehmer sagen, dass künstliche Intelligenz eine Gefahr für die Menschheit sein wird? Wie siehst Du das?

Das  befürchte ich auch, wenn wir das Ruder nicht herumreißen – weg von Profit, hin zu Verantwortungsbewusstsein. Zuerst wird der Mensch mit der Maschine verschmelzen, dann wird er verschwinden.

Wir müssen verstehen, dass wir unsere eigenen Nachfolger bauen. Es wird einen Krieg geben, zwischen Maschinen und Menschen.

Dieses Szenario wird Realität werden – sofern wir nicht von unserem Kurs abdrehen. Ich verstehe die Warnungen von Stephen Hawking und ich kann Sie nachvollziehen.

Die Konzerne und die Lobbyisten, auch bei uns in Deutschland, führen leider den altgewohnten verantwortungslosen Trend der Gewinnmaximierung fort. Sie werden weiter automatisieren und die künstliche Intelligenz vorantreiben, ohne sich bewusst zu machen, was das für unsere Zukunft bedeutet. Es wird nur in kurzfristigen Gewinnen gedacht.

Ich kenne diese Unternehmer – ich hacke sie  jeden Tag. Ohne ihre Einsicht wird es nicht gut ausgehen – für uns Menschen.

4 Gedanken zu “Interview mit Adrian Janotta

  1. buechner0 schreibt:

    Hallo Herr Janotta, war denn Ihr Vergehen so gravierend, dass sie sich fünf Jahre darüber Gedanken machen mussten? Wird denn IT-Security heute anders bewertet? Oder warum können Sie heute aus Ihrem Wissen Kapital schlagen?
    Freundlichst
    Peter-Michael Seiler

    Gefällt 1 Person

  2. Steffen Hannemann schreibt:

    Das Problem wer die Macht hat, wird diese nicht abgeben. Hier ist die SuperKI die Hoffnung, welche über alles Wissen verfügt und damit erkennt was falsch läuft. Die Superintelligenz wird Lösungen finden und so schlau umsetzen, dass es weder Lobby, noch Politik erkennt.

    Gefällt 1 Person

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s