Blackhat: Wie realistisch ist der neue Film von Michael Mann?

Der Hackerfilm Blackhat nutzt definitiv eine Cybersicherheits-Sprache mit echten Begriffen wie: Malware, Proxy, Server, Zero Day, Payload, RAT, Edge Router, IP-Adresse, PLC, Bluetooth, Android, PGP, Bulletproof Host und USB, um nur ein paar zu nennen. Aber wie realistisch ist die Geschichte des Films tatsächlich – bezogen auf die Szenarien, bei denen mithilfe von Malware sowohl technisches als auch finanzielles Chaos geschaffen wird?

Ich bin mit ein paar meiner ESET-Kollegen ins Kino gegangen [in deutschen Kinos startet der Film am 05.02.2015], um zwei Dinge herauszufinden: 1. Wie realistisch ist der Film und 2. Kann man aus diesem neuesten Werk aus dem Hackerfilm-Genre nützliche Lehren für das wirkliche Leben ziehen? (Eine detailliertere Auseinandersetzung mit diesem Genre findet ihr in dem Artikel Hacker Movies We Love & Hate auf Dark Reading.)

Wichtiger Hinweis: Ich will kein Spielverderber sein. Ich gehe davon aus, dass ich es schaffe, über Blackhat zu reden, ohne dabei zu viel zu verraten. Wenn du aber zu jenen Menschen gehörst, die gar nichts über einen Film wissen wollen, bevor sie ihn gesehen haben, solltest du diesen Artikel erst nach deinem Kinobesuch lesen.

Gute Voraussetzungen

Zunächst die gute Nachricht: Die grundlegenden Elemente der Geschichte sind realistisch, zumindest im Prinzip. Selbst wenn man Chris Hemsworth die Rolle als Hacker nicht abkauft oder Michael Manns Art der Kameraführung nicht mag, muss man zugeben, dass viele Szenen im Film inhaltlich richtig sind:

  • Es ist durchaus realistisch, dass schädlicher Code genutzt wird, um technische Schäden anzurichten (Stuxnet)
  • Die Nutzung von Malware und/oder Datenmanipulation von Aktienkursen ist real (Rustock, Pump-and-Dump-Betrüge).
  • Es stimmt, dass verurteilte Hacker vom FBI und anderen Strafverfolgungsbehörden im Kampf gegen andere Hacker eingesetzt werden (Sabu, Adrian Lamo).
  • Es ist möglich, die NSA zu hacken (Snowden).
  • Das Bluetooth Messaging-System der Bösewichte war ziemlich clever.

Der Film basiert also auf soliden Voraussetzungen. Und die meisten Hacker-Angriffe, die man hier sieht, liegen grundsätzlich im Bereich des Möglichen (manches davon ist nicht nur realistisch, sondern gehört tatsächlich zum Repertoire von Hackern, wie zum Beispiel Spear-Phishing-Angriffe mit speziell präparierten PDF-Dateien oder die Nutzung von USB-Geräten als Angriffsvektoren). Meiner Meinung nach kann Blackhat in diesem Sinne zur Steigerung des Bewusstseins für Cybersicherheit dienen. Vor allem Leute in hochrangigen Positionen können aus dem Film lernen, dass solche Gefahren auch für ihr Unternehmen bestehen – vor allem, wenn es Sicherheitslücken gibt, die nicht geschlossen werden.

Außerdem denke ich, dass der Film allen Menschen einmal mehr verdeutlicht, wie angreifbar die industrielle Infrastruktur der Welt ist. Er zeigt, dass Angriffe auf Netzwerksysteme und der Missbrauch von Code verheerende Auswirkungen haben können.

Zu rasant erzählt

Leider wird die technische Genauigkeit durch die Geschwindigkeit, in der die Geschichte in Blackhat erzählt wird, etwas beeinträchtigt (eine typische Schwäche von Hacker-Filmen). Auch wenn man die Schießereien außenvorlässt – die mit Sicherheit zu hitzig sind für eine Geschichte über Hacker – und sich allein auf die Programmierung bezieht, gibt es ein großes Defizit: Zu viel passiert zu schnell, um realistisch zu sein. Ja, ich weiß, es ist „nur ein Film“, aber einige der großartigen realitätsgetreuen Blicklichter werden durch die unwahrscheinliche Geschwindigkeit der Durchführung mancher Hacks beeinträchtigt. Während mich der Hinweis auf das sehr reale Phänomen der Wiederverwertung von schädlichem Code erfreut hat, war die Geschwindigkeit, mit der eine gefährliche PDF zusammengesetzt wurde, ein bisschen albern – eine verpasste Chance, eine Rennen-gegen-die-Zeit-Spannung aufzubauen, indem gezeigt wird, wie mühsam und zeitaufwendig es zum Teil ist, Malware zu erstellen und zu verbreiten.

Das bringt uns zu der Frage, wie gut Blackhat als Hacker-Film generell ist. Kann er die zentrale Botschaft, dass unsere Welt durch böswillige Kriminelle und staatliche Hacking-Bemühungen gefährdet wird, tatsächlich transportieren? Die Frage kann ich nicht beantworten, denn es kommt natürlich auch darauf an, wie du selbst die Qualität der Schauspieler und der Produktion beurteilst. Auf letzteres habe ich bereits angespielt (meine Meinung entspricht in etwa der von Peter Debruge, Chief International Film Critic für Variety). Wenn es um die schauspielerische Leistung geht, behalte ich meine Gedanken für mich und überlasse es euch, eine eigene Meinung zu bilden.

Bevor ich mich den Lehren widme, die Unternehmen sowie Privatnutzer aus Blackhat ziehen können, möchte ich zwei andere Fragen aufwerfen: Sieht Chris Hemsworth zu gut aus, um ein Hacker zu sein? Und: Ist es glaubhaft, dass ein Hacker ein gut trainierter Kampfsportler ist und mit Waffen umgehen kann? Ich kenne tatsächlich ein paar gut aussehende Kerle, die beeindruckende Whitehacking-Fähigkeiten haben und sich zugleich für Kampfsport und Schusswaffen interessieren. Einer von ihnen hat sogar eine gewisse Zeit lang kampforientiertes Schusstraining betrieben. Darüber hinaus kenne ich einen Computer-Forensik-Experten, der bei einem gewissen Geheimdienst mit drei Buchstaben als Scharfschütze tätig war. Ein Hacker und gleichzeitig in guter körperlicher Verfassung zu sein, schließen sich also keinesfalls aus. Man könnte sogar argumentieren, dass Mann dafür ein Lob verdient, dass er für die Besetzung seiner Hauptrolle nicht den stereotypischen blassen und nachlässigen Nerd ausgewählt hat. Ob nun Herr Hemsworth die richtige Wahl war oder nicht, könnt ihr selbst entscheiden, wenn ihr den Film gesehen habt.

Was wir aus Blackhat lernen können

1. Achte auf die Gerätekontrolle: Du möchtest nicht, dass ein fremdes USB-Gerät an dein System angeschlossen wird, solange du nicht weißt, woher es kommt. Generell solltest du alle Geräte vor deren Verwendung auf Malware überprüfen. Windows-Nutzer sollten sicherstellen, dass Autorun deaktiviert ist.tzjk

2. Sei vorsichtig mit E-Mail-Anhängen: Frage dich immer, wer eine E-Mail aus welchem Grund gesendet hat. Macht es Sinn, dass dir jemand diese Datei zuschickt? Falls du dir unsicher bist, ruf den Absender an oder schreibe ihm eine E-Mail und frag nach. Zudem sollten alle Anhänge mit einer Anti-Malware-Software geprüft werden.

3. Verstehe die Risiken drahtloser Kommunikation: Je mehr wir uns auf mobile Kommunikationsformen verlassen, desto mehr Anstrengungen werden die Kriminelle investieren, um diese auszunutzen. Sie werden versuchen, Man-in-the-Middle-Angriffe durchzuführen, Online-Dienste zu kompromittieren oder den Traffic umzuleiten, um Zugangsdaten und andere Informationen zu stehlen.

4. Verlass dich nicht allein auf digitale Informationen: Du solltest dich nicht ausschließlich auf die digitale Version der Realität verlassen, sondern auch immer deine fünf Sinne nutzen. Ob du nun ein Flugzeug oder ein Schiff steuerst, einen industriellen Prozess oder die Unternehmenssicherheit überwachst, sei dir immer bewusst, dass digitale Informationen falsch sein können – sei es, weil jemand einen Fehler macht oder die Daten absichtlich manipuliert.

5. Schule deine Mitarbeiter in Bezug auf die Gefahren durch Social Engineering: Mitarbeiter sollten unbekannte Besucher nach dem Ausweis fragen und am Telefon keine sensiblen Informationen preisgeben. Derartige Anfragen sollten immer gründlich geprüft werden – Vorsicht ist besser als Nachsicht.

Hinweis: Ich habe Blackhat nur einmal gesehen, vielleicht sind mir also ein paar lehrreiche Stellen entgangen. Wenn dir etwas Interessantes aufgefallen ist oder du eine andere Meinung über den Film hast, lass es mich wissen und kommentiere diesen Artikel.

Autor Stephen Cobb, ESET