Ganz gleich, wo man auf dem 39. Chaos Communication Congress (39C3) hinschaute, überall blinkten LEDs, bunte Lichter und faszinierende Aufbauten. Doch Kunst auf dem Hackerkongress ist mehr als nur Blinkenlights. Passend zum Motto „Power Cycles“ stellten ganz unterschiedliche Künstlerinnen und Künstler auf dem 39C3 ihre Arbeiten aus.

Da es meist interaktive Kunstprojekte sind, konnten die Gäste des Hackerkongress mit diesen interagieren oder diese spielerisch ausprobieren. Im Art-&-Play-Bereich hat sich c’t-Redakteur Keywan Tonekaboni umgeschaut, mit den Kunstschaffenden gesprochen und stellt einige der Arbeiten im Video vor, das hier auf heise online, bei YouTube und auf Peertube angeschaut werden kann. Ein Teil des Beitrags ist auf Englisch. Untertitel mit Übersetzung folgen demnächst.

Redaktion: Keywan Tonekaboni
Video: Özgür Uludaǧ, Anna Gundler

(ktn)

In den Messehallen Hamburgs herrschte am Dienstag die zum Jahresende übliche Mischung aus technologischer Zuversicht und Pessimismus. Doch als Ron Fulda und Constanze Kurz die Bühne des 39. Chaos Communication Congress (39C3) betraten, wich der Rest-Optimismus einer schauerlich-schrecklichen Bestandsaufnahme des digitalen Scheiterns. Unter dem Titel „Security Nightmares“ skizzierten die Hacker-Urgesteine ein Bild der IT-Sicherheit, das zwischen staatlichem Größenwahn und der drohenden „Enshittification“ durch KI pendelte. Ein Aufhänger: Angesichts der andauernden Ransomware-Bedrohung rief das Duo vom Chaos Computer Club (CCC) nach Backup-Wettbewerben im Stil sportlicher Großereignisse.

Glaskugel 2026: Vom Cyberdome zu Backup-Medaillen

Der traditionell mit viel Hackerironie geschärfte Blick in die nahe Zukunft war geprägt von einer zunehmenden Automatisierung – sowohl beim Angriff als auch bei der Verteidigung. Kurz verwies auf das Eckpunktepapier für einen „Cyberdome“. Die in Israel von Bundesinnenminister Alexander Dobrindt (CSU) aufgeschnappte Idee soll 2026 in ein Realisierungskonzept münden. Das Ziel klingt nach Science-Fiction: Ein digitaler Schutzschild für Wirtschaft und Gesellschaft, der „informatische Angriffe“ vollautomatisiert abwehrt.

Die Hacker-Community bleibt skeptisch. Wenn die Technik versagt, hilft nur die klassische Tugend der IT: das Backup. „Wir fordern die Bundesdatensicherungsspiele“, erklärte Fulda mit Blick auf zahllose gescheiterte Wiederherstellungsversuche in Verwaltung und Industrie: „Am Ende ist ein gutes Backup das Last Level of Defence.“ Das Thema müsse positiv besetzt werden, weg von den „Backup Hunger Games“ zu einer Kultur des Gelingens. Wer nachweisen könne, dass er seine Daten tatsächlich erfolgreich zurückspielen kann, sollte Medaillen oder zumindest Teilnahmeurkunden und Bildungsurlaub erhalten. Der Zustand der digitalen Welt sei teils absurd: So gebe es zwar den gesetzlichen Zwang zur freien Browserwahl im Betriebssystem. Es fehle aber eine Selektionspflicht dazu, ob Daten lokal, in der eigenen Cloud oder überhaupt auf diesem Planeten gespeichert werden müssten.

Für 2026 prognostizieren Kurz und Fulda auch eine neue Eskalationsstufe der KI-Integration. Es drehe sich längst nicht mehr alles darum, Nutzerverhalten für Werbung auszuspähen. Mit „Agentic Add-ons“ – eigenständig handelnden Bots – erreiche die Enshittification ein neues Level. Fulda scherzte über „Gegenschnittstellen“ und offene Standards für die Bestechung solcher KI-Agenten.

Gleichzeitig droht ein massives Ressourcenproblem. Während der Energie- und Wasserverbrauch von Rechenzentren bereits diskutiert wird, könnte 2026 der RAM-Verbrauch zum großen Ärgernis für Konsumenten werden, hieß es. Eine Rückkehr zu schmaler, effizienter Software wäre zwar wünschenswert, aber mit dem Trend zum Vibe-Coding – dem Zusammenklicken von Quelltext durch Nicht-Programmierer mittels KI – kaum vereinbar.

Rückblick: Von Hello Barbie zum Bitcoin-Raub

Um die Absurdität der Gegenwart zu verstehen, lohnt laut Fulda und Kurz die Erinnerung an 2015. Vor zehn Jahren war die Welt der IT-Sicherheit noch eine andere, wenn auch die Keime der heutigen Probleme bereits sichtbar waren. Damals wurde über den ersten Cyber-Bankraub in Höhe von einer Milliarde Dollar gestaunt – eine Summe, die heute angesichts von Krypto-Scams fast bescheiden wirkt. Fulda betonte: „Das war ja noch vor dem großen Bitcoin-Hype.“

Ein Highlight der Retrospektive war die vernetzte Puppe „Hello Barbie“. Damals als Sicherheitsdesaster fürs Kinderzimmer verschrien, zog Fulda eine Parallele zu heutigen KI-Systemen wie ChatGPT. Auch Barbie hatte ein Backend, das jahrelang live war. Zudem hat das Spielgerät laut den Hackern die Frage aufgeworfen, ob Spielzeughersteller verpflichtet seien, Kindesmissbrauch bei Kenntnisnahme durch die Puppe zu melden. Heute drehe sich die Debatte um Chatverläufe bei Suiziden und KI-Halluzinationen, erklärte Fulda: „Wenn die KI sagt: ‚Das wird mir zu hart, ich übergebe an einen Menschen‘, und dann geht niemand ans Telefon – das ist die Realität, in der wir angekommen sind.“

Auch staatliche Überwachung war 2015 schon Dauerthema. Der große Leak bei Hacking Team beschäftigte die Community lange. Kurz dachte zurück an die Nächte, die sie sich um die Ohren schlug. Mit Helfern wollte sie im Datenwust den Beweis finden, dass auch das Bundeskriminalamt (BKA) Kunde der italienischen Trojaner-Schmiede war. Während die Tüftler damals noch vor Desinformationskampagnen im US-Wahlkampf zitterten, wirkt die aktuelle Lage deutlich düsterer. Fulda trocken: „Heute sind wir froh, wenn es in drei Jahren überhaupt noch einen Wahlkampf gibt.“

Internet-Normalitätsupdate 2025: Der KI-Slop übernimmt

Im Hier und Jetzt ist die IT-Sicherheit an einem kritischen Punkt angelangt. Die Statistiken, die Fulda präsentierte, sprechen eine deutliche Sprache: 119 neue Sicherheitslücken pro Tag, ein Anstieg von 24 Prozent im Vergleich zum Vorjahr. Gleichzeitig verfügen nur 44 Prozent der Deutschen über ein „sicheres Passwort“. Die Folgen sind fatal. 2024 gab es in England den ersten dokumentierten „Ransomware-Toten“, da ein Angriff auf einen Dienstleister für Blutkonserven die medizinische Versorgung lahmlegte. „Die indirekten Toten wurden nie gezählt“, ergänzte Kurz düster.

Besonders genervt zeigten sich die Panelisten vom Zustand des Internets. Rund 20 Prozent der beliebtesten YouTube-Inhalte bestehe mittlerweile aus „AI Slop“. Dieser minderwertige, KI-generierte Content erziele dennoch Millionenumsätze. Auf TikTok liege der Anteil bei 60 Prozent. „Gibt es überhaupt noch jemanden mit einem normalen Gesicht“ in sozialen Netzwerken?, fragte Kurz enttäuscht. Da immer mehr Software von Menschen „zusammengeklickt“ werde, die die Essenz des Programmierens nie gelernt haben, müssten Profis oft die Trümmer wegräumen. Fulda brachte ein weiteres Beispiel: „Wenn man in einer Kanzlei KI einsetzt, braucht man hinterher mehr Rechtsanwälte, um die unerwünschten Verfahren wieder loszuwerden.“

Fallen die Hackerparagrafen?

Auch das Militär – Chat der „Houthi-Gruppe“ mit Insidererkenntnissen zu Opsec geleakt – und die Industrie blieben angesichts hoher Zero-Day-Wellen und veritabler Cloud-Ausfälle nicht verschont. Der schwere Cyberangriff auf Jaguar Landrover im Februar führte zu wochenlangen Werksschließungen und einem Schaden von rund 2,2 Milliarden Euro. Währenddessen toben im Hintergrund die „Infinity Crypto Wars“. Die britische Regierung forderte Zugriff auf iCloud-Daten, woraufhin Apple die „Advanced Data Protection“ für Neukunden in UK abschaltete. Kurz weiß: „Die Gremien, die die Wunschlisten für Überwachung schreiben, haben heute einen sehr erfolgreichen Zugriff auf die Gesetzgeber.“

Trotz der vielen Schlafräuber gab es zum Ende einen zaghaften Lichtblick. Nach fast 17 Jahren politischer Debatte und einem entsprechenden Versprechen im Koalitionsvertrag der aktuellen Regierung unter Friedrich Merz (CDU) scheint das „Recht auf IT-Sicherheitsforschung“ endlich greifbar. „Es soll jetzt tatsächlich so weit sein“, wollte Kurz die politischen Ankündigungen zur Novelle der Hackerparagrafen noch nicht so recht glauben. In einer Welt, in der nordkoreanische IT-Mitarbeiter nur durch ihre Tastatur-Verzögerungen identifiziert werden können, wäre ein solcher Schritt für die hiesigen Hacker zumindest ein kleiner Trostpreis bei ihren Leistungssportwettbewerben.

(ps)

Als zentraler Bestandteil vieler Unternehmensnetzwerke ist das Active Directory (AD) ein beliebtes Ziel für Ransomware und andere Angriffe aus dem Netz. Im iX-Workshop Angriffsziel lokales Active Directory: effiziente Absicherung erfahren Sie, wie Sie Active Directory-Umgebungen wirksam schützen.

Zunächst lernen Sie die Grundlagen von AD-Objekten und Authentifizierungsprotokollen wie Kerberos und Net-NTLM kennen. Sie erhalten Einblicke in typische Angriffswege – von der Informationssammlung über Fehlkonfigurationen bis zu Techniken wie Pass the Hash, Kerberoasting, Lateral Movement und Delegierungsangriffen. Auch verbundene Dienste wie SQL-Server und Exchange werden betrachtet.

Darauf aufbauend werden konkrete Schutzmaßnahmen vermittelt: das Aufspüren und Beheben von Schwachstellen mit Tools wie PowerView, BloodHound und PingCastle, Härtung durch Rechtevergabe, Tiering, LAPS und Schutz administrativer Konten. Zudem lernen Sie, Angriffe frühzeitig zu erkennen – durch Log- und Auditeinstellungen, zentrale Protokollauswertung, Sicherheitslösungen und Deception-Technologien wie Honeypots.

Dieser Workshop richtet sich an Administrierende, IT-Sicherheitsverantwortliche sowie an Security-Fachleute. Referent des dreitägigen Präsenz-Workshops ist Frank Ully. Als erfahrener Pentester konzentriert er sich auf relevante Entwicklungen im Bereich der offensiven IT-Sicherheit.

Absicherung von Entra ID

Geht es Ihnen um die Absicherung von Entra ID, Microsofts Active Directory in der Cloud, empfehlen wir Ihnen den Workshop Azure und Entra ID: Angriffsszenarien und Schutzmaßnahmen.

(ilk)