/Tech

Er ist 17 und baut ein Hacker-Startup auf

Georg Räth 15.03.2018

Philipp Kalweit wird beauftragt, in die IT von Unternehmen einzudringen und manipuliert dafür auch Menschen. Daneben ist er Abiturient aus Niedersachsen.

Philipp Kalweit hat ein Problem: Er ist zu jung. Als Auftragshacker versucht er an sensible Firmendaten zu gelangen. Doch seinen Kunden aus dem Versicherungs- oder Bankenwesen ist manchmal nicht bewusst, wen sie da engagieren: einen 17-jährigen Abiturienten aus Niedersachsen.

Dann heißt es bei einem Vertragsgespräch schon mal „Philipp“ und nicht „Herr Kalweit“. Im Business-Umfeld ist das eine Ohrfeige. Ob „Philipp“ denn wisse, dass er sich an Dinge halten müsse, die er im Vertrag zugesagt hat? Autsch! Das ist die nächste Beleidigung.

Auch deshalb betitelt sich Philipp Kalweit als jüngster Auftragshacker Deutschlands. Es dient nicht nur der Publicity. Der Titel soll dabei helfen, das Alter des Hackers nicht zu verschleiern.

Hacking im Selbststudium

Das erste Mal in Kontakt mit Computern kommt er mit neun Jahren. Es ist ein alter Rechner im Keller, den er auseinanderschraubt. Aus Langeweile, wie er sagt, weil er häufig allein zu Hause ist. Die Mutter sei immer erst spät abends von der Arbeit zurück gekommen.

Er interessiert sich für das Betriebssystem Linux, weil es kostenlos ist und eine große Community dahinter steht. Später lernt er durch Bücher und das Internet im Selbststudium Programmiersprachen wie Python, C oder Assembler und Hacking. Dazu gehört auch das sogenannte Social Engineering, dabei werden menschliche Schwächen ausgenutzt, um etwa an Informationen zu gelangen.

Es habe ihn fasziniert, mehr zu wissen als andere. Das mache einen Hacker aus. „Ein Hacker ist jemand, der sich mit einem Thema auskennt“, sagt Kalweit. „Er kennt sich so gut aus, dass er Fehlprozesse interpretieren und sie fürs Gute oder Böse ausnutzen kann.“ Das muss nicht zwangsläufig etwas mit IT zu tun haben.

Mit 14 hält er seinen ersten Vortrag auf der Hacker-Konferenz Chaos Communication Congress, vor einem Fachpublikum von 500 Menschen. Mit 16 einen Fachvortrag vor einer Bundesbehörde. „Das war keine Glanzleistung“, gibt er im Nachhinein zu und lacht. Er habe noch keine Erfahrung mit Rhetorik und dem Aufbau von Präsentationen gehabt. Heute scheint das anders zu sein. Der Jugendliche wirkt wortgewandt, strukturiert und detailvernarrt.

Der jüngste Auftragshacker

Mit 16 Jahren bescheinigt ihm das Amtsgericht die volle Geschäftsfähigkeit. Es ist eine Auszeichnung, die nur wenigen Jugendlichen zuteil wird. Daraufhin beginnt Kalweit seine Selbständigkeit und sitzt nach der Schule oft bis 22 Uhr an Kundenprojekten.

Seine offizielle Berufsbezeichnung ist IT Security Consultant. Als Penetrationstester nimmt er im Auftrag von Kunden, meist Mittelständlern, deren IT-Landschaft auseinander, findet und protokolliert Schwachstellen. Das Ziel ist es, die Fehlprozesse zu beseitigen, über die sonst wichtige Unternehmensinformationen in die falschen Hände geraten könnten.

Endes des vergangenen Jahres gründet er dafür die Kalweit ITS GmbH, die kommissarisch bis zur Volljährigkeit von einem Bekannten aus der Szene geführt wird. Zu den ersten Mitarbeitern gehören David Herbst Ayala (19) und Robert Kugler (21), der sich in den Medien mit dem Finden von Software-Fehlern bereits einen Namen gemacht hat.

Wie also gelangen die Auftragshacker an die vertraulichen Informationen? Mit einer Mischung verschiedener Angriffe, bei denen die Hacker etwa Schlösser oder Fingerabdrucksensoren knacken. Dafür arbeitet Kalweit mit lokalen Schlüsseldiensten zusammen. Besteht der Zugang ins Büro oder das Rechenzentrum, versuchen sie Passwörter auszulesen, mit der gängigen Software aus dem Internet.

Oder sie versuchen administrativen Zugang über manipulierte USB-Sticks zu erhalten, die sie unbemerkt an Mitarbeiter des Unternehmens verteilen. Die Planungsphase für solche Angriffe dauert teilweise Wochen.

„Ich kann ein Fenster prüfen, indem ich einen Stein dagegen werfe. Ich kann aber auch mit einem Panzer drüber fahren“, sagt Philipp Kalweit. Das heißt, die Sicherheit hängt immer von den Bedürfnissen des Kunden ab. Und dessen Geldbeutel. Denn eigentlich darf Sicherheit nichts kosten. Der Mittelstand hat eben wenig Ressourcen, sagt Kalweit. Das junge Team setzt deshalb so oft es geht auf Standard-Lösungen und schreibt bei höherem Schutzbedarf selber Software.

Dennoch: 100-prozentige Sicherheit gibt es trotzdem nicht, so der Schüler. Man könne höchstens einen höheren Standard an Sicherheit erreichen. Und sollte sich ein Unternehmen dafür an ihn wenden, und ein Problem mit seinem Alter haben, dem entgegnet er: „Wir haben keine 20 Jahre Erfahrung. Aber wir sind lernfähig.“

Dieser Artikel erschien zuerst bei Gründerszene
Das Original lest ihr hier.