Ein Marathon für die Cybersicherheit
Hacker*innen werden oft mit Kriminalität assoziiert. Die Albanian Cyber Association in Kosovo möchte das ändern. JEHONA HULAJ erklärt, wie nützlich und wichtig ethisches Hacken sein kann.
Die globalen technologischen Fortschritte haben unseren Alltag in vielerlei Hinsicht erleichtert. Gleichzeitig bringen sie neue Herausforderungen für staatliche Administration, Privatunternehmen und auch in unseren eigenen vier Wänden. Vor allem Hacker*innen lehrten uns das Fürchten vor nie dagewesenen Eingriffen in sensible Datenbanken und unsere Privatsphäre. Filme und Kollektive wie Anonymous prägten lange Zeit ein Bild der vermeintlich gesichtslosen Tech-Affinen: Einzelgänger*innen, schwarze Hoodies, dunkle Zimmer. Doch repräsentiert diese Darstellung die Realität?
Im Kosovo hat sich eine lebendige Tech-Community entwickelt. Infolge des Krieges 1999 entstanden zahlreiche inoffizielle Hacker*innengruppen im Land, darunter die Kosovo Hackers Group, Kosova Hacker‘s Security, Kosovo Warriors Group und die Albanian Hackers Group. Potentielle Risiken für die Cybersicherheit waren enorm, doch gleichzeitig entstand auch die Chance, diese Talente für gute Zwecke einzusetzen. Tanzer Abazi, der Vorstandsvorsitzende der Albanian Cyber Association, erkannte das Potential der kosovarischen Jugend und entwickelte die Idee für einen Hackathon. Unter dem Namen „The Day When Hacking is Legal“ schlug er mehreren Interessengruppen ein neues Projekt vor. Trotz anfänglicher Widerstände erhielt er schließlich die Unterstützung des ehemaligen Datenschutzbeauftragten der Agentur für Datenschutz in der Republik Kosovo Mentor Hoxhaj und 2015 wurde der Hackathon erstmals in die jährliche Datenschutzkonferenz dieser Behörde integriert.
Ethisches Hacken
Hacken ist eine Fähigkeit und als diese weder gut noch böse. Obwohl wir uns über die immensen Schäden, die Hacken mit sich bringen kann, bewusst sind, zeigen Konzepte wie das ethische Hacken wie diese Skills zum Guten eingesetzt werden können. Ethisches Hacken identifiziert die Sicherheitslücken in Computersystemen, indem diese wie bei einem schädlichen Hackerangriff belastet werden. Dies geschieht jedoch im Wissen der Anbieter und innerhalb des gesetzlichen Rahmens.
Die 2020 gegründete NGO Albanian Cyber Association (ACA) nimmt eine Vorreiterrolle dieser Bewegung im Kosovo ein. Neben der Organisation des Kosovo Hackathons unterstützt sie Medien und Zivilgesellschaft in der digitalen Transformation, indem sie digitale Tools zu deren verbessertem Schutz bereitstellt und sich allgemein für die Rechenschaftspflicht und Transparenz der kosovarischen Regierung einsetzt.
„The Day When Hacking is Legal“ bringt Hunderte von Hacker*innen im Kosovo zusammen. Gegen Geldpreise identifizieren sie Sicherheitslücken in den IT-Systemen von Medienhäusern, Zivilgesellschaftsorganisationen und Privatunternehmen. Einige von ihnen sind mittlerweile in den IT-Abteilungen von Fortune-500-Unternehmen und Regierungen angestellt. Unterstützt von der US-Botschaft, versucht ACA somit Talente in die richtigen Bahnen zu lenken. Symbolisch tragen die Hacker*innen daher amerikanische Cowboyhüte neben traditionell albanischen PLISA-Hüten.
Der Erfolg von „The Day When Hacking is Legal“ liegt in seiner realen Anwendung. Im Gegensatz zu Lehrlabors oder sogenannten „Capture the Flag“-Workshops geht es beim Hackathon um echtes Hacken, wobei Unternehmen und Organisationen das Scannen ihrer Websites auf Sicherheitslücken genehmigen. Für jeden gemeldeten Fehler werden Hacker*innen belohnt, sodass eine Win-Win-Situation entsteht, in der Anbieter ihre Cybersicherheit verbessern und Hacker*innen eine legale Möglichkeit finden, ihre Fähigkeiten einzusetzen. Die ACA schüttete in den letzten beiden Jahren mit Unterstützung der US-Botschaft in Priština und in enger Zusammenarbeit mit der Bug Bounty-Plattform FINDBUG Prämien in einer Gesamthöhe von 40.000 US-Dollar an die Gemeinschaft der ethischen Hacker*innen aus. Sie deckten 200 Schwachstellen auf, wovon 57,6 % kosovarische Medien und zivilgesellschaftliche Organisationen betrafen.
Preise statt Haftstrafen
Der Hackathon ist bedeutend, um potenziell fehlgeleitete Talente zu motivieren, neue Wege einzuschlagen. Es gab bereits einige Vorfälle, bei denen junge Kosovar*innen wegen unbefugten Zugangs zu Computersystemen und anderer Cyberkriminalität im Ausland verhaftet wurden. Bekannt ist zum Beispiel der Fall Ardit Ferizi. Der Kosovare aus Gjakova soll persönliche Daten von mehr als tausend US-Streitkräften und Bundesbediensteten gestohlen und an die islamistische Terrororganisation Daesh weitergegeben haben. 2014 setzte sich der damals 18-Jährige nach Kuala Lumpur ab, um dort Informatik und Computerforensik zu studieren. Aufgrund eines US-Haftbefehls nahmen ihn die malaysischen Behörden 2015 fest. 2016 wurde er zu einer 20-jährigen Haftstrafe in den Vereinigten Staaten verurteilt.
Abgesehen vom Angebot eines legalen und profitablen Betätigungsfeldes, erhöht der Hackathon aber auch die Cybersicherheit im Kosovo und streicht den sozialen Charakter von Hacken hervor. Die Initiative und die ACA spielten auch eine entscheidende Rolle beim Eintrag der verantwortungsvollen Offenlegung, die im neuen Cybergesetz vorhergesehen ist. Zurzeit ist der rechtliche Rahmen für Hacken im Kosovo noch vage. Bestehende Gesetze, wie das Gesetz über Cybersicherheit, bieten zwar einen Rahmen für den Einsatz von Hacken zum Schutz von Informationssystemen und die Bekämpfung von Cyberkriminalität, dennoch besteht weiterhin Handlungsbedarf an einer konkreten Gesetzgebung, die ethische Hacking-Praktiken klar absteckt. Dies ist notwendig, um diesen Hacker*innen rechtlichen Schutz zu bieten.
Stetiger Wandel
Die neuesten Entwicklungen im Bereich der Digitalisierung stellen die Community vor neue Herausforderungen. Auf der CYBER ZERO Konferenz im März 2024 diskutierten Expert*innen aus der ganzen Welt Trends wie künstliche Intelligenz, Blockchain und DeepFakes sowie deren Auswirkungen auf Nachrichten, Datenschutz und Sicherheit. Auch politische Entscheidungsträger*innen kamen dafür nach Priština, um gemeinsam Strategien zur Verbesserung von Cybersicherheit, ethischem Hacken und künstlicher Intelligenz in der gesamten Balkanregion zu erarbeiten. Durch solche Kooperationen beweist Kosovo sein Bekenntnis zu ethischen Grundsätzen und zeigt, dass Cybersicherheit nicht nur ein Ziel ist, das es zu erreichen gilt, sondern eine Reise, auf die sich die gesamte Balkanregion gemeinsam begeben muss.
Jehona Hulaj ist kosovarische Journalistin und ehemalige Projektkoordinatorin bei der Albanian Cyber Association.