IT-Sicherheit Die Jagd nach Sicherheitslücken

Von  

Dem 19-jährige Robert Kugler aus Welzheim hat sich zum IT-Experten entwickelt. Er entdeckt immer wieder Sicherheitslücken in Seiten großer Anbieter, was immer wieder mit Preisgeldern belohnt wird. Jetzt belegte sein Team den zweiten Platz beim Cyber Security Challenge Germany des Bundeswirtschaftsministeriums.

Ein Notebook, ein paar Bücher und viel Forscherdrang: mehr braucht Robert Kugler nicht, um Sicherheitslecks zu finden. Foto: Horst Rudel
Ein Notebook, ein paar Bücher und viel Forscherdrang: mehr braucht Robert Kugler nicht, um Sicherheitslecks zu finden. Foto: Horst Rudel

Schorndorf - Wenn Robert Kugler vorführen möchte, wie unsicher manche Webseiten sind, braucht er dafür nur wenige Minuten. Beispielhaft ruft er ein großes Kleinanzeigenportal auf und gibt in das Suchfenster statt eines Begriffs eine kryptische Befehlskette ein. Nach dem Mausklick des 19-jährigen verschwindet die bunte Webseite, der Bildschirm wird grau, und der Server ist empfangsbereit für gefährliche Aktionen. Würde er jetzt Böses im Schilde führen, sagt Kugler, und sich mit echt wirkenden E-Mails dazu noch die Daten von Nutzern erschleichen, könnte er bei entsprechender Vehemenz heftige Schäden verursachen. Schäden, die immer wieder Schlagzeichen machen und Firmen dazu zwingen, ihre Sicherheitsbarrieren aufwendig höher zu machen.

Doch von solchen Gedanken ist der 19-jährige Schüler aus Welzheim, der in Schorndorf das Technische Gymnasium an der Grafenbergschule besucht, weit entfernt. Kugler hat sich für die gute Seite entschieden. Er weist Firmen auf Gefahren hin und profitiert mitunter von seinem Wissen. Bei dem Nachwuchswettbewerb Cyper Security Challenge Germany des Bundeswirtschaftsministeriums, der 800 Teilnehmer hatte, gewann sein Team im Februar den zweiten Platz – wobei die Schüler seines Teams in direkter Konkurrenz zu versierten Informatikstudenten standen. Der Wettbewerb sei eine gute Erfahrung gewesen, er habe im zufällig zusammengestellten Team die Rolle eines Koordinators eingenommen. Er halte soziale Kompetenzen für sehr wichtig, sagt der Schüler. Im IT-Bereich fehle es manchen sehr daran.

Auch seine Neigung, Firmen auf Sicherheitslecks hinzuweisen, zahlt sich inzwischen aus. „Viele Firmen schreiben Belohnungen für das Finden von Sicherheitslücken, so genannte Bug Bountys, aus“, erklärt Kugler. Vor vier Jahren hat der Schüler seine erste Belohnung von Mozilla, der Firma des Browsers Firefox erhalten. Weitere Gewinne folgten. „Mein erstes Auto habe ich mir komplett durch diese Bug Bountys finanziert“, erklärt der 19-Jährige.

Wie dieses Fachwissen zustande kam – die Antwort auf diese Frage fällt dem Schüler nicht leicht. Als 13-Jähriger kaufte er sich von seinem Lohn als Zeitungsausträger den ersten Computer. Spiele interessierten ihn nicht, viel spannender fand er, was im Inneren des PCs stattfand, und besorgte sich die Fachliteratur. Schadsoftware wie Viren und Trojaner lernte er zu verstehen, indem er ihren Code durchforstete und die Tricks der Ganoven nach und nach durchschaute. Über die Gewieftheit der Kriminellen hat Kugler keine Zweifel. „Es gibt Programme, die sich anders verhalten, wenn sie merken, dass man sie aufspüren möchte“, sagt er. Solche Tricks zu enttarnen, erfordere viel Aufwand.