Vor drei Wochen hat Matthias Ungethüm der US-Bundespolizei FBI schriftlich digitale Nachhilfe gegeben: Darin listet er genau auf, wie deren Server von außen manipuliert werden kann. Bis heute kam keine Antwort. Deshalb zeigte er MDR INFO, wie die Lücke funktioniert. Mit einem manipulierten Link wechselt er Fahndungsfotos aus und setzt eine Aufnahme von sich selbst in die Liste der Top Ten der Verbrecher. All das ist möglich weil der Link auch Steuerbefehle für den Server übermittelt hat. Ein gutes Schutzschild hätte dieses Angriff herausgefiltert – aber nicht beim FBI.
Wer ist dieser Matthias Ungethüm?
Der Mittzwanziger aus Sachsen will nicht schaden oder zerstören, sondern helfen. Und dafür nutzt er seine Kenntnisse. Wissen, das er sich als Hacker angeeignet hat. Nicht immer problemlos. Selbst die deutsche Bundespolizei stand bereits vor seiner Wohnung in Geringswalde, als er auf deren Server Sicherheitslücken entdeckte. Nicht immer war der Hacker auf der Seite der Gesetzestreuen.
„Ich habe noch gehackt, auch illegal, als sich so langsam mein Ruf aufgebaut hat. Deswegen war die Entscheidung im Endeffekt auch gar nicht so schwer. Meine Perspektiven waren nicht unbedingt die besten. Was ich aber konnte, war Hacken. Also habe ich mir gedacht: Ok, du machst das mehr oder weniger immer noch ein bisschen kriminell so nebenbei. Aber so langsam gibt es Leute, die etwas von dir halten. Und jetzt könntest du eigentlich etwas Sinnvolles daraus machen. So bin ich dazu gekommen.“
Mittlerweile hat Matthias Ungethüm eine Firma gegründet und berät Unternehmen. Aber viel Spaß bringt es ihm, ungefragt Sicherheitslücken bei namhaften Organisationen zu suchen. Nicht alle missachten dabei seine Tipps.
Ich hab schon welche gehabt, die haben sehr schnell reagiert, schon nach ein paar Tagen oder schon nach ein paar Stunden. Dann habe ich andere gehabt, die haben sehr spät kontaktiert bzw. sich zurückgemeldet, haben sich dann aber sehr reingesteigert und haben dann auch alles so geschlossen, wie es eigentlich sein sollte. Und dann haben wir eben noch solche Leute, wie das FBI, sich gar nicht melden.
Ebenfalls nicht gemeldet hat sich die NSA. Im Mai 2014 machte Matthias Ungethüm den US-Spionagedienst auf zwei Sicherheitslücken in der Homepage aufmerksam. Mehrere Wochen später berichtete MDR INFO darüber. Weiter keine Antwort, doch kurz darauf waren die Sicherheitslücken geschlossen.
Die europäische Weltraumbehörde ESA reagierte 2012 relativ schnell nach Hinweisen auf Sicherheitsprobleme und schloss die Lücken. Die Kollegen bei der NASA antworteten gar nicht erst. T-Online lud ihn in die Firmenzentrale ein, nachdem er ein Problem im E-Mailverkehr gefunden hatte, was nach seinen Hinweisen gelöst wurde.
Und eines ist sicher: Die nächste Sicherheitslücke wird von Matthias Ungethüm sicher schon gesucht.