Saarbrücken. Zwei junge Männer sitzen vor einem Computerbildschirm, über den unzählige Zeichen und Ziffern laufen. Schnell hackt einer der beiden Befehle in die Tastatur. Die Männer wollen sich Zugang zu einem gesicherten System verschaffen. Ein gängiger Weg ist die sogenannte Brute-Force-Methode. Das bedeutet, dass eine Software automatisch alle möglichen Passwörter ausprobiert, bis das Richtige gefunden ist. Doch bei jedem Versuch leuchtet "Authorization failed" auf dem Bildschirm auf. "Vielleicht haben sie das Passwort irgendwo notiert", fragt einer der beiden Männer. Sie beginnen, den Raum abzusuchen - und werden fündig: Unter der Tastatur klebt ein gelber Zettel mit einer Zeichenfolge.

Was klingt wie eine Szene aus einem Thriller, spielt sich in einem Seminarraum am Zentrum für IT-Sicherheit (Cispa) der Saar-Universität ab. Die beiden Männer sind keine Kriminellen, sondern Informatikstudenten. Im Proseminar "Hacking" lernen sie, wie Cyberkriminelle zu denken - mit dem Ziel, Attacken aus dem Internet besser abwehren zu können. "Wir wollen das Bewusstsein dafür schärfen, wie IT-Systeme funktionieren und auf welchen Wegen man sie angreifen kann", sagt der Informatiker Stefan Nürnberger. "Bei uns lernen Studenten die Angriffstechniken kennen, die bei spektakulären Hacks wie zum Beispiel auf Sony oder BMW angewendet wurden", sagt der Saarbrücker Professor für Rechtsinformatik Christoph Sorge. Gemeinsam mit Michael Backes, Professor für Computersicherheit und Kryptografie, und den wissenschaftlichen Mitarbeitern Stefan Nürnberger, Philip von Styp-Rekowski, Sven Bugiel und Frederik Möllers hat er das Konzept für das Seminar gestrickt, das kürzlich mit dem mit 25 000 Euro dotierten Landespreis für Hochschullehre ausgezeichnet wurde.

Jeder der sechs Wissenschaftler hat sein Spezialgebiet, in dem er die typischen Schwachstellen vorstellte - von der Passwort-, WLAN- und Browsersicherheit bis hin zu rechtlichen Fragen wie dem sogenannten "Hackerparagraphen" im Strafgesetzbuch. Der stellt seit 2007 das Ausspähen zugangsgeschützter Daten unter Strafe. Auch sehr spezielle Sicherheitslücken werden behandelt. Wie die sogenannte Cross-Scripting-Lücke (XSS-Lücke), die es Angreifern ermöglicht, fremden Programmcode auf einer Webseite auszuführen. Durch diese Schwachstelle gelang es Hackern im vergangenen Jahr, Millionen von Kundendaten auf Ebay auszuspähen.

"Leider investieren viele Unternehmen nach wie vor zu wenig in die Sicherheit", sagt Stefan Nürnberger. Allein deutsche Unternehmen verlieren einer aktuellen Bitkom-Studie zufolge jährlich 51 Milliarden Euro durch Hackerangriffe. Das macht Spezialisten, die in der Lage sind, Schwachstellen in IT-Systemen ausfindig zu machen, immer gefragter. "Nur über solche Penetrationstests lernen die Studenten, wie man IT-Systeme austatten muß, damit sie sicher sind", sagt Stefan Nürnberger.

Die große Herausforderung für die Wissenschaftler war, sicherzustellen, dass die hackenden Studenten keinen Schaden anrichten. "Eine Überschrift wie ,Studenten legen die Deutsche Bank lahm' wollten wir unbedingt vermeiden", sagt der Rechtsinformatiker Sorge. Dafür mussten sie eigens abgeschottete Netzwerke einrichten. "Statt Facebook haben wir unser eigenes System angegriffen, für das wir das Netzwerk grob nachgebaut haben", erklärt Philip von Styp-Rekowski.

Zwischen den Seminareinheiten hatten die Studenten dann jeweils zwei Wochen Zeit, um in Eigenregie mögliche Schwachstellen eines Systems aufzuspüren. "Ich würde es niemals wagen, bei einem Unternehmen nach Sicherheitslücken zu suchen", sagt der Teilnehmer Filip Fatz. "Doch hier hatten wir die einzigartige Möglichkeit, einmal ein System auf legalem Weg anzugreifen."

Der Andrang auf das Seminar war riesengroß. "Ursprünglich wollten wir nur elf Studenten zulassen, aber wir hatten so viele Bewerber, dass wir am Ende zwei Seminare mit je 24 Plätzen anbieten mußten", berichtet Sorge. In diesem Sommersemester wird "Hacking" erneut angeboten - und hatte bereits innerhalb der ersten 20 Minuten nach Anmeldestart 40 Registrierungen. Wer teilnehmen will, muss allerdings einiges mitbringen. "Kreativität und ein paar Programmierkenntnisse braucht man schon", sagt Sven Bugiel. Diese werden bereits im Vorfeld getestet: Um sich für das Seminar anzumelden, müssen die Studenten verschiedene Aufgaben lösen, etwa einen Algorithmus knacken, der anhand der Matrikelnummer einen Code generiert, oder sich in eine gesicherte Webseite einhacken. "Hacking" ist zwar ein fächerübergreifendes Seminar der Bereiche Rechtswissenschaft und Informatik ist, doch seien Jurastudenten da schnell überfordert, sagt Christoph Sorge.

"Bei uns sind Querdenker gefragt", sagt der Informatiker Bugiel. Denn bei der Suche nach Sicherheitslücken sei es wichtig, keinen Angriffsweg außer Acht zu lassen. So sei es für Hacker ein bewährter Weg, menschliche Fehler auszunutzen, sagt Philip von Styp-Rekowski. "Um in einem Krankenhaus den Zugangscode für die Intensivstation herauszufinden, kann es auch ein Weg sein, zu gucken, welche Tasten der Tastatur besonders abgegriffen sind." Um das Bewusstsein der Informatikstudenten auch für solche Probleme zu schärfen, überlegten sich die Wissenschaftler spezielle Übungen - wie die mit dem Passwort auf einem gelben Post-It unter der Tastatur.

Zum Thema:

Auf einen Blick:Der Landespreis für Hochschullehre ist mit 50 000 Euro der höchstdotierte Wissenschaftspreis im Saarland . Dieses Jahr ging er zu gleichen Teilen an das Team um Michael Backes und Christoph Sorge und an ein Team der Saarbrücker Hochschule für Technik und Wirtschaft (HTW), bei dem Studenten Pflegepersonal in Myanmar schulten. Der Landespreis wird seit 2003 verliehen und soll das besondere Engagement von Hochschullehrenden auszeichnen. lip