Über Nacht verbreitet sich weltweit die Nachricht von seinem Fund: Linus Henze entdeckt eine Sicherheitslücke beim US-amerikanischen Technologieunternehmen Apple. Auf YouTube berichtet der Koblenzer Informatikstudent von seiner Beobachtung in einem Video, das mittlerweile über 100.000 Klicks zählt.
Im Februar 2019 entdeckt Henze die Sicherheitslücke in der Keychain des Apple-Betriebssystems macOS. “Die Keychain ist der zentrale Ort, an dem alle Passwörter der einzelnen Apple-Nutzer verschlüsselt gesichert werden”, erklärt Henze. Über die Option “Passwort speichern” können Nutzer auf ihr Konto zugreifen, ohne die Zugangsberechtigungen erneut eingeben zu müssen. Alle Programme, die eine Anmeldung erfordern, werden so schneller zugänglich. An dieser Stelle identifiziert Henze den Fehler: “Es bestand die Möglichkeit, ein Programm zu entwickeln, das die Passwörter aller Nutzer ausliest.” Hacker hätten somit die Möglichkeit, auf jegliche Inhalte der Nutzer zuzugreifen. Dies betreffe etwa Social-Media-Konten, Online-Banking oder Apple-Accounts. Von ungewolltem Spam bis zu Erpressung und Diebstahl wäre alles denkbar gewesen.
In unserer Serie Uni-Menschen stellen wir euch interessante Persönlichkeiten vor, die an der Universität Koblenz-Landau studieren und arbeiten.
“Der Fehler war nicht leicht zu finden”, erinnert sich Henze. “Ich musste den Quellcode der Keychain, der für alle Nutzer einsehbar ist, schrittweise durchgehen.” Zunächst beschäftigte er sich mit der Funktionsweise des Apple-Systems. Erst danach überprüfte er, worauf einzelne Programme zugreifen und ob die Keychain dabei eingebunden war. An diesen Schnittpunkten ging er auf Fehlersuche, bis er fündig wurde. “Ich denke, dass es immer Lücken geben wird. Aber um Missbrauch vorzubeugen, ist es wichtig, diese rechtzeitig aufzuspüren.”
Das Netz wird aufmerksam
Als Henze seinen Fund via Twitter verbreitet, schreibt Apple ihn kurz darauf an. Das Unternehmen bittet um Aufklärung, worauf der Student mit einer Forderung antwortet. Viele Firmen bieten sogenannte Bug-Bounty-Programme an, die allen Nutzern eines Betriebssystems die Erlaubnis erteilen, nach Schwachpunkten zu suchen. Dabei sind die Nutzer auf ihrer Suche auch rechtlich gesichert. “Apple hat ein solches Programm für macOS noch nicht erstellt. Das muss sich ändern”, bekräftigt Henze. Im Netz stößt der Koblenzer auf Zustimmung. “Ich war selbst überrascht von der Resonanz. Mein Twitter-Post wurde mehrfach geteilt, mein Video über 100.000 mal angesehen. Ich tauche sogar in einem Artikel des Forbes Magazine auf.” Auch die Rhein-Zeitung und heise online berichten über Henze. Obwohl Apple sein Anliegen ignoriert, entschließt sich Henze dazu, den Ort der Sicherheitslücke an die Betreiber weiterzuleiten. Nach seiner Enthüllung sei die Gefahr zu groß gewesen, dass Hacker aktiv nach der Lücke suchten. Mittlerweile hat Apple diese repariert. Zum Dank erwähnt die Firma Henze immerhin in den Update-Informationen.
Passion: IT-Sicherheit
Seit seiner Kindheit ist Henze von der Informatik fasziniert. Als er 14 Jahre alt ist, beschäftigt er sich erstmals mit Fragen der IT-Sicherheit. Bei Apple fällt er im Alter von 15 Jahren erstmals auf, als er deren Sicherheitsfeature rootless in einem Video aushebelt. Kurz darauf nimmt er erfolgreich an seinem ersten Wettbewerb auf Bundesebene teil. Dabei behauptet er sich online gegen etwa 500 Kontrahenten, wobei nur 20 Personen im Anschluss zum Finale nach Düsseldorf eingeladen werden. Die 10 besten Teilnehmer bilden wiederum ein Team, um für Deutschland zur European Cyber Security Challenge anzutreten. Hier erreicht Henze mit seinem Team 2018 den ersten Platz. “Ich konnte kaum glauben, dass wir gewonnen haben. Das hat bisher kein deutsches Team geschafft.”, stellt Henze stolz fest.
Sein Alltag hat sich seit seiner Entdeckung sichtlich verändert. Der 19-jährige Informatikstudent ist nun regelmäßig auf Tagungen unterwegs. Mittlerweile hat er sich ein internationales Netzwerk aufgebaut: “Zuletzt war ich beim Cyber Security Rumble in Bonn, als ich dort kurzerhand zu einer Tagung in Amsterdam eingeladen wurde.” Sein Jahres-Highlight ist ein Vortrag in Monaco, den er bei der Objective by the Sea, einer Mac-Sicherheitskonferenz, halten darf. Aufenthalt und Verpflegung natürlich inklusive. Zusätzlich dazu wird er auch an der inoffiziellen Weltmeisterschaft in Las Vegas teilnehmen. Dort findet die DEF CON statt, der jährlich weltweit größte Hacker-Kongress. Für seine Zukunft hat er auch schon einen Plan. Henze betreibt neben seinem Studium ein eigenes Gewerbe, in welchem er als Security Researcher aktiv nach Sicherheitslücken bei diversen Firmen sucht. Hier möchte er sich bald auf IT-Sicherheit spezialisieren. “Es sei denn, es kommt doch noch ein Anruf von Apple oder Google.”, witzelt Henze.
René Lang