IT-Sicherheit im Fadenkreuz Der Hacker als Helfer

Eine wachsende Zahl von mittelständischen Unternehmen lässt Profi-Hacker Lücken in ihrem IT-System aufspüren. Gerade Anbieter von Cloud-Diensten denken oft mehr an Funktionalität als an Sicherheit.
  • Steffen Ermisch
3 Kommentare
Ein Penetrationstest ist ein kreativer Prozess, den man nicht einfach mit einem Simulationsprogramm durchführen kann. Quelle: PR
Hacker beim Chaos Communication Congress

Ein Penetrationstest ist ein kreativer Prozess, den man nicht einfach mit einem Simulationsprogramm durchführen kann.

Quelle: PR

KölnMal sind es Kreditkartendaten, mal vermeintlich gut gehütete Firmengeheimnisse. Wenn Jens Liebchen sich auf ein IT-System eingeschossen hat, gelingt es ihm fast immer, sensible Dokumente und Dateien auf seinen eigenen Computer zu übertragen. Mitunter bringt er so gar eine Produktionsmaschine zum Stillstand. Zu befürchten haben Unternehmen von seinen Angriffen indes nichts – Liebchen ist kein Cyberkrimineller, sondern Geschäftsführer des Aachener IT-Dienstleisters Redteam Pentesting.

Der Name ist Programm. Das Unternehmen ist auf sogenannte Penetrationstests spezialisiert. Das elfköpfige Team durchforstet im Auftrag von Firmen deren Systeme nach Schwachstellen und nutzt diese zu Demonstrationszwecken auch aus. „Den Kunden wird so klar, wo es Sicherheitslücken gibt“, sagt Liebchen. „Und wir geben Hinweise, wie sich diese schließen lassen.“

In Fachkreisen gelten Penetrationstests – kurz: Pentests – schon lange als wirksames Mittel zur Verbesserung der IT-Sicherheit. Sie richten sich an Softwareanbieter oder Firmen, die Onlineangebote wie Internetshops oder Kundenportale betreiben. Geeignet sind sie aber auch zur Überprüfung der intern genutzten Soft- und Hardware.

Mehr als 200 Firmen bieten die Tests an

Deutlich angezogen habe die Nachfrage in den vergangenen Jahren, berichtet Liebchen: „Seit immer neue Datenlecks großer Unternehmen bekannt werden, steigt die Bereitschaft, in die Prävention zu investierten.“ Eine Studie der Nationalen Initiative für Informations- und Internet-Sicherheit (Nifis) untermauert das. Demnach will jedes zweite Unternehmen seine Ausgaben für IT-Sicherheit und Datenschutz im nächsten Jahr erhöhen.

Das müssen Unternehmen nach einem Störfall melden
Systematische Analyse
1 von 14

Seit Ende Juli 2015 sind Unternehmen, die kritische Infrastrukturen betreiben, dazu verpflichtet, Störungen in ihrer IT-Infrastruktur an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dieses sammelt die anonymisierten Berichte und wertet sie azs. Auf diese Weise, so heißt es in einem Fachartikel im Magazin „Markt und Mittelstand“, lassen sich etwa bundesweite Hacker-Angriffe systematisch analysieren, um später noch besser gegen solche Attacken gewappnet zu sein.

Nicht meldepflichtig
2 von 14

Doch was stellt überhaupt eine meldepflichtige Störung der IT-Infrastruktur dar? Das neue Gesetz hat drei Stufen definiert: Nicht meldepflichtig sind beispielsweise per Virenscanner abgefangener Spam oder Schadsoftware oder auch kleinere Ausfälle, die nach dem aktuellen Stand der Technik bewältigt werden können.

Meldepflichtig
3 von 14

Anders sieht es aber aus, wenn die IT-Technik über Sicherheitslücken überlistet wurde und dadurch Störungen, Schadprogramme oder außergewöhnliche technische Defekte auftraten – dann muss das BSI informiert werden.

Alarmstufe rot
4 von 14

Ist durch erhebliche Störungen gar die Funktionsfähigkeit der Dienstleistungen des Unternehmens bedroht, herrscht dringende Meldepflicht. Wer nicht handelt, riskiert im schlimmsten Fall ein Bußgeld in Höhe von bis zu 100.000 Euro.

Jeder kann fällig sein
5 von 14

Viele Mittelständler fühlten sich zunächst nicht angesprochen bei der Frage, wer Betreiber einer kritischen Infrastruktur ist. Ein Irrtum, so „Markt und Mittelstand“. Denn wer sich in einer Lieferkette befindet, kann plötzlich Zielscheibe von Wirtschaftsspionage mit allen Folgen für die firmeneigene IT-Sicherheit und die seiner Kunden werden.

Energie- und Trinkwasserversorger
6 von 14

Tatsächlich, so das Fachmagazin für mittelständische Unternehmen, ist der Kreis der betroffenen Unternehmen weit größer als die vom Gesetz definierten 2000 Betreiber kritischer Infrastrukturen wie Energie- oder Trinkwasserversorger.

Pflichtansage trifft auch kleinere Unternehmen
7 von 14

So müssen auch kleine und mittelständische Betriebe, die mit einem oder mehreren der folgenden Branchen zusammenarbeiten, IT-Sicherheitsvorfälle an das BSI melden
Energie: Stromversorgung, Versorgung mit Erdgas, Versorgung mit Mineralöl
Informationstechnik und Telekommunikation: Sprach- und Datenkommunikation, Verarbeitung und Speicherung von Daten
Transport und Verkehr: Transport von Gütern und Personen im Nah- und Fernbereich, Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
Ernährung: Versorgung mit Lebensmitteln, Ernährungswirtschaft, Lebensmittelhandel
Finanz- und Versicherungswesen: Zahlungsverkehr, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen, Banken, Börsen, Versicherungen, Finanzdienstleister
Gesundheit: Medizinische Versorgung, Labore, Arzneimittel und Medizinprodukte
Wasser: Trinkwasserversorgung (öffentliche Wasserversorgung), Abwasserversorgung (öffentliche Abwasserbeseitigung)

Ein Penetrationstest kann mehrere Zehntausend Euro kosten. Softwarebasierte Schwachstellen-Scans sind deutlich günstiger. „Automatisierte Tools sind aber nur in Lehrbuchszenarien wirksam“, sagt Frank Rustemeyer, Leiter der Abteilung System Security beim Berliner Anbieter Hisolutions. „Ein Penetrationstest ist dagegen ein kreativer Prozess.“ Beteiligt seien mindestens zwei Prüfer. Schätzungen zufolge bieten in Deutschland mehr als 200 Firmen und Einzelunternehmer diese Tests an. Mögliche Qualifikationsnachweise können Schulungszertifikate sein. Experten raten, darauf zu achten, ob ein festes Team mit ausgewiesenen IT-Kenntnissen beschäftigt wird.

„Die IT-Sicherheitslandschaft ist im ständigen Umbruch, die Anbieter müssen permanent in ihre Mitarbeiter investieren“, sagt Manuel Schönthaler, Deutschlandchef des Sans Instituts. Der Weiterbildungsanbieter veranstaltet regelmäßig Livetrainings und Schulungen für professionelle Penetrationstester.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Lernen, wie Hacker denken
Seite 12Alles auf einer Seite anzeigen

Mehr zu: IT-Sicherheit im Fadenkreuz - Der Hacker als Helfer

3 Kommentare zu "IT-Sicherheit im Fadenkreuz: Der Hacker als Helfer"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Stimmt nicht. Die einzige Spielregel die es gibt, sind keine Kinder. Ansonsten ist meine Herzdame (inzw. sogar Verlobte) absolut gleichberechtigt. Und wird nach der Uni als meine persönliche Fitnesstrainerin und Ernährungscoach arbeiten. Wenn ich mit spätestens Mitte 40 mit dem Börsenzeugs aufhöre, und als GT3 -Fahrer im selbst finanzierten Team in der VLN mit einem R8 LMSultra teilnehme.

  • Bin nur 2x im Jahr in der Domstadt. Im Frühjahr zur FIBO, da der Kolibri als Sportwissenschaftlerin nach dem Uniabschluss als meine persönliche Fitnesstrainerin und Ernährungscoach arbeiten wird, und wir uns dort weitergehende Expertise holen. Und im Sommer zu den Kölner Lichter wegen des geilen Feuerwerks am Rhein. Außerdem hatte ich mal dort eine City-Immobilie im Townhaus-Stil, die ich aber dieses Jahr verkauft habe.

  • Wer braucht denn " Online-Dating-Portale " wenn es Muckibuden zum Eisen biegen für uns Männer und für die Ladys den Knack-Po zum trainieren gibt ?

    Wenn ich Lust habe auf Spielbank, dann mache ich das ja auch nicht Online am PC. Sondern ziehe mir einen eleganten Smoking an, fahre nach Wiesbaden und verbinde das Ganze mit einem Besuch im Gourmetrestaurant Ente und einer Übernachtung im Nassauer Hof

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%