Sie haben als Teenager angefangen, sich in fremde Systeme zu hacken. Was war der Reiz? Es hat ganz harmlos angefangen, mit Telefonstreichen. Ich habe zum Spass bei der Telefongesellschaft angerufen, mich als jemand anderen ausgegeben und versucht, Informationen zu erhalten.

Das, was wir heute Social Engineering nennen. Ja, für mich waren das damals Bubenstreiche. Aber durch die Technik, die ich mir bei den Streichen angeeignet hatte, kam ich schlussendlich fast überall rein.

Eben, Sie sagen es: Irgendwann waren es keine Bubenstreiche mehr. Sie landeten auf der FBI-Liste der meistgesuchten Verbrecher. Das stimmt. Mit der Zeit setzte ich mir immer höhere Ziele. Es war wie eine Jagd auf Trophäen für mich.

Und Sie konnten nicht mehr aufhören. War es eine Sucht? Ja, jeder Versuch und jeder schlussendlich erfolgreiche Angriff gab mir einen Adrenalinschub.

Aber Sie haben die Firmen und Organisationen wohl nicht nur deshalb angegriffen, sondern auch wegen des Profits? Nein, es war wirklich nur zum Spass. Ich wollte den Unternehmen nicht schaden, sie erpressen oder Daten stehlen. Es ging mir nur um die Herausforderung, den Zugang zu erschleichen.

Aber Sie haben doch an den Angriffen verdient? Nein. Ich arbeitete immer in normalen Jobs, zum Beispiel als Systemadministrator oder am Helpdesk. Das Hacken war ein Hobby, das Netz war Anfang der 90er-Jahre noch nicht kommerzialisiert.

Doch die Situation war plötzlich nicht mehr lustig: Sie wurden 1995 verhaftet und sassen 5 Jahre im Gefängnis. Was passierte in dieser Zeit mit Ihnen, dass Sie nach der Freilassung als Sicherheitsberater für Firmen arbeiteten und damit quasi die Seiten wechselten? Im Gefängnis hatte ich nur ein Ziel: wieder hinauszukommen. Es hat mein 'Mindset' nicht verändert, sondern mich zu einem Juristen gemacht, weil ich praktisch die ganze Zeit in der Bibliothek verbrachte und Gesetzestexte studierte, die meinen Anwälten und mir auf dem Weg in die Freiheit halfen.

Nach Ihrer Freilassung im Januar 2000 war die Welt eine andere als vorher. Plötzlich war das Internet kommerziell und sie hätten als Hacker viel Geld verdienen können. Das ist richtig, aber ich durfte aufgrund meiner Bewährungsauflagen während 3 Jahren kein Smartphone und keinen Computer nutzen. Also begann ich über das Erlebte zu sprechen und trat als Speaker an verschiedenen Konferenzen auf.

Wie kamen Sie zu Ihrem ersten Auftrag als Pentester und welches Unternehmen beauftragte Sie? Durch meine Speaker- und Medienauftritte konnte ich mir einen Namen erarbeiten. So kam ich zu meinen ersten Aufträgen und konnte 2004 meine Firma für IT-Sicherheitsberatung gründen. Wer meine Kunden sind, darf ich aber leider nicht verraten.

Knapp 20 Jahre später: Wie viele Mitarbeiter beschäftigen Sie und finden Sie noch Zeit, selbst Pentests durchzuführen? 11, die meisten davon sind White-Hat-Hacker. Und ja, ich arbeite selbst engagiert mit. Pentesting macht mir grossen Spass. Mir gefällt es, Rätsel zu lösen, um in Firmen einzudringen.

Wie früher? Gibt es für Sie überhaupt einen Unterschied, zwischen Ihren früheren Hackeraktivitäten und dem Pentesting heute? Bei den angewandten Techniken und den eigenen Fähigkeiten gibts kaum Unterschiede. Das Adrenalinlevel ist etwas höher bei Ersterem.

Was sind die drei wichtigsten Schritte, die ein Unternehmen für seine IT-Sicherheit gehen muss? Zero Trust im Netzwerk, Awareness bei den Mitarbeitenden und Endpoint-Security.