IT-Sicherheit
Denken wie ein Krimineller

Keine Angst, der tut nichts: Christian Book ist Hacker. Er kann ganze Unternehmen lahmlegen – doch er nutzt seine Fähigkeiten nur, um Kriminelle zu stoppen. Auch die EZB hätte seine Dienste gut gebrauchen können.
  • 1

DüsseldorfEs ist oft eine Kleinigkeit, die zur Katastrophe führt. Ein Update, das auf der To-Do-Liste immer wieder nach unten rutscht; ein Programmierfehler kurz vor dem Feierabend; oder ein Hintertürchen für Wartungsarbeiten, an das sich niemand erinnert. „In einem solchen Fall“, sagt Christian Book, „kann der Hacker spazieren gehen.“

Was Book als Spaziergang umschreibt, ist der Albtraum einer jeden Firma, ob Start-up, Mittelständler oder Dax-Konzern: Kriminelle Angreifer dringen ins Computernetzwerk ein, installieren Spionageprogramme und kopieren Patente oder Kundendaten, alles heimlich, ohne dass es jemand bemerkt. Wie kürzlich bei der Europäischen Zentralbank (EZB), als Angreifer von der Webseite eine Datenbank mit Konferenzteilnehmern räuberten und die Hüter des Geldes anschließend erpressen wollten.

Book kennt die Schlichen der Angreifer. Er denkt selbst wie ein Krimineller – aber er tut es, um Kriminalität zu bekämpfen. Denn er arbeitet als „zertifizierter ethischer Hacker“ bei der Bielefelder Beratungsfirma Ceyoniq Consulting. Die will Kunden helfen, sich gegen Angreifer aus dem Netz zu schützen. Indem IT-Experten das System unter Beschuss nehmen, zeigen sie, wo der Schutz bröckelt – bevor es Cyberkriminelle, Spione oder die Konkurrenz tun. Penetrationstests, kurz: Pentests, nennen Experten das. Im besten Fall fördern sie unangenehme, aber heilsame Wahrheiten zutage.

Die Enthüllungen von Edward Snowden machen Managern und Unternehmern endgültig bewusst, wie anfällig IT-Systeme für Angriffe sind. Gefahr droht nicht nur durch staatliche Schnüffler. Das „Bedrohungspotenzial aus dem Bereich der Cyber-Kriminalität“ sei unter Umständen erheblich größer, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Wer sich erfolgreich verteidigen will, muss die Pläne des Feindes kennen. Und das geht am besten, indem man sich in dessen Lage versetzt. Der Angriff auf sich selbst ist die beste Verteidigung. „Für sicherheitskritische Netze und Systeme sind regelmäßige Pentests in jedem Fall zu empfehlen“, betont das BSI. Der Autobauer Daimler beschäftigt deswegen eine eigene Hackertruppe. Google lässt ein Team von Sicherheitsexperten auf alle Systeme los, die im Netz verwendet werden, um letztlich auch die Google-Dienste sicherer zu machen.

Auch die Imperia AG lässt sich freiwillig unter Beschuss nehmen. Die Firma entwickelt Software zur Verwaltung von Internet-Auftritten, Shops und Facebook-Fanpages, die Experten als Content-Management-Systeme bezeichnen. Imperia-Vorstand Daniel Redanz vergleicht das wichtigste Programm Pirobase mit einem Mischpult: „Der Mitarbeiter entscheidet: Welche Inhalte brauche ich für welchen Markt und für welchen Kommunikationskanal?“

Doch was ist, wenn auch jemand anders am Mischpult herumspielen kann, von außen und ohne Erlaubnis? Wenn die Käufer dem Produkt misstrauen, lässt es sich schlecht verkaufen, weiß der Vertriebsexperte. „Für uns ist es extrem wichtig, unseren Kunden zu kommunizieren, dass sie mit einem sicheren System arbeiten.“ Das gilt gerade für die Finanzbranche. Die Axa und die Dekabank zählen zu den Kunden, aber auch die Dax-Konzerne Siemens und BASF.

Seite 1:

Denken wie ein Krimineller

Seite 2:

Der Web-Auftritt als Einfalltür

Kommentare zu " IT-Sicherheit: Denken wie ein Krimineller"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • Es wäre doch interessant zu wissen, ob denn die EZB PEN-Tests gemacht hat oder nicht?

    Hat die BAFin schon einmal darüber berichtet wie deren PEN-Tests ausgefallen sind?

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%