IT-Sicherheit: Kampf gegen moderne Schutzgelderpressung

Nicht erst seit der NSA-Affäre ist IT-Sicherheit eines der Zukunftsthemen. Wer sich damit auskennt, ist auch beruflich auf der sicheren Seite. Aber die Ansprüche sind hoch.

Der aktuelle Lagebericht des Bundeskriminalamtes (BKA) zum Thema Cybercrime macht deutlich:

  • Angriffe auf Informationsinfrastrukturen im Internet werden auch in Zukunft nicht weniger werden – sondern eher mehr. Gleichzeitig steigt die IT-Abhängigkeit von Unternehmen und Privatpersonen stetig an, was Hacker ausnutze

»Beim ›Hacken‹ versucht man, Schwachstellen in einem IT-System zu finden und diese technisch auszunutzen«, erklärt Carsten Knoop. »Es geht immer darum, in Systeme einzudringen und Daten abzufragen oder zu manipulieren. Das ist klassisches Hacken.«

Hacken aus Langeweile oder zum Geld verdienen 

Knoop weiß, wovon er spricht. Er ist Gründer und Geschäftsführer der audatis Unternehmensberatung für Datenschutz und Informationssicherheit.

»Es gibt zwei Gründe, warum ein System gehackt wird: Der erste ist Hacken aus Langweile. Es gibt vermutlich Millionen von Menschen auf der Welt, die sitzen vor dem Rechner und versuchen, ihr Können auszuprobieren«, erläutert der 32-Jährige. »Der zweite Grund ist der finanzielle Aspekt: Man versucht in ein System einzudringen, um Daten zu entwenden, aus denen man einen direkten finanziellen Nutzen ziehen kann – also ganz gezielt Wirtschaftsspionage, Ausspähen von Benutzer-, Kreditkarten- oder Kontodaten.«

 

 

 

Tatsächlich hat Hacken mittlerweile mafia-ähnliche Strukturen angenommen

Das bestätigt auch Carsten Knoop: »Wenn ich beispielsweise einem Online-Shop-Betreiber damit drohe, dass ich seinen Shop für 24-Stunden lahmlege und er in der Zeit keinen Umsatz machen kann, außer, er zahlt eine Schutzgebühr über anonyme Zahlungssysteme. Und ihm dann demonstriere, dass ich das kann, indem ich den Shop für eine Stunde lahmlege – dann ist das ein ähnliches Geschäftsmodel wie früher die Schutzgelderpressung. Nur, dass die Erpresser heute nicht mehr von Laden zu Laden laufen, sondern vor ihren Rechnern sitzen.« Aus all diesen Gründen ist es für Unternehmen so wichtig, ihre IT-Systeme bestmöglich abzusichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht eine begründete Gefährdungslage im Cyberraum. Nach wie vor würden »zahlreiche Unternehmen und Bürger zu Opfern von ungezielten Malware-Infektionen, Identitätsdiebstahl oder rufschädigenden Manipulationen wie zum Beispiel Web-Defacements«. Auch Massenangriffe durch Botnetze seien eine ernstzunehmende Gefahr. Die Erfahrungen mit dem Schadprogramm Stuxnet hätten außerdem gezeigt, »dass auch wichtige industrielle Infrastrukturbereiche von gezielten IT-Angriffen nicht mehr ausgenommen bleiben«. Angriffe zur Spionage oder Sabotage nehmen immer mehr zu. Doch was kann ein Unternehmen überhaupt tun, um sich gegen diese Art Angriff zu schützen?

»Ein Unternehmen muss sich ganzheitlich vor Angriffen auf seine IT schützen«, meint Kai Jendrian, Consultant bei der Secorvo Security Consulting GmbH, einem Dienstleistungsunternehmen im Bereich IT-Sicherheit und Datenschutz.

»Dabei müssen Technik, Sicherheitsorganisation und Sensibilisierung bei Benutzern angemessen in der Waage gehalten werden.« Das Problem dabei: Ein Unternehmen muss, um sich zu schützen, alle möglichen Angriffsmöglichkeiten verhindern – ein Hacker dagegen nur eine einzige Schwachstelle finden. »Um sich effektiv und wirtschaftlich zu schützen, sollte ein Unternehmen eine Sicherheitsorganisation aufbauen, die sich an Best-Practices wie ISO 27001 oder IT-Grundschutz orientiert. Die Technik sollte so gestaltet werden, dass mehrere Verteidigungslinien aufgebaut werden – man spricht von Defense in Depth.« Ganz wichtig sei dabei auch, dass Sicherheitsmaßnahmen regelmäßig auf ihre Wirksamkeit geprüft und auf den neuesten Stand gebracht würden. Die Frage, wie man sich Hacken für die Sicherheit – also die Arbeit eines IT-Sicherheitsexperten – denn vorstellen muss, hört Kai Jendrian nicht so gerne: »›Hacken für die Sicherheit‹ ist ein Begriff, der für uns eher tabu ist. Wenn wir Netze, Anwendungen oder Rechner im Auftrag der Eigentümer auf Schwachstellen prüfen, sprechen wir eher von Penetrationstests oder Sicherheitsaudits.« In der Praxis sieht das so aus, dass ein IT-System vom IT-Sicherheitsexperten sozusagen auf Herz und Nieren geprüft wird. Kai Jendrian: »Penetrationstests bestehen in der Regel aus zwei Teilen: Einer automatisierten Prüfung durch spezielle Software und einer händischen Suche nach Schwachstellen. Ergänzt werden solche technischen Prüfungen häufig durch Audits der Sicherheitsorganisation, bei denen wir prüfen, wie Sicherheit in Unternehmen gelebt wird.«

Wer gerne in der IT-Sicherheit arbeiten möchte, der hat einen langen Weg vor sich

Das weiß auch Volker Lindenbacher, Leiter Sales & Consulting des IT- und Softwareunternehmens audius GmbH: »Man kann definitiv sagen, IT-Sicherheit ist ein zukunftsträchtiges Thema. IT-Sicherheitsexperten werden von vielen Unternehmen gesucht. Aber IT-Sicherheitsexperte wird man nicht nach dem Studium. Da gehört einiges an Erfahrung dazu.« Sein Rat: »Man muss offen sein für dieses Thema und sich bereits mit den Grundlagen der IT-Sicherheit beschäftigt haben. Das ist die Voraussetzung. Dann kann man in der IT in einem Unternehmen einsteigen und da Erfahrungen sammeln.«

Diese Einschätzung bestätigt Dirk Fox, Gründer und Geschäftsführer der Secorvo Security Consulting GmbH:

»Die Nachfrage nach Experten ist relativ groß. Aber als Berufseinsteiger ist man natürlich noch kein Experte. Der Expertenstatus hat mit Erfahrung zu tun.«

Auch er rät, sich schon während des Studiums mit dem Thema IT-Sicherheit auseinanderzusetzen, wenn man in der Branche arbeiten will. »Theoretische Hintergrundkenntnisse sind wichtig, zum Beispiel Vorlesungen zur Kryptografie und Verschlüsselungstechniken zu besuchen. Es ist auch immer hilfreich, bereits während des Studiums in der IT gearbeitet zu haben, beispielsweise ein Unternehmen zu unterstützen. In den ersten Berufsjahren sollte man dann gezielt auf diesen Bereich hinarbeiten und sich möglichst viele Kenntnisse aneignen.« Das persönliche Auftreten ist im Bereich der IT-Sicherheit besonders wichtig. Denn man hat nicht nur Kundenkontakt, sondern muss zudem auch mit dem heiklen Thema Sicherheit umzugehen wissen. Volker Lindenbacher: »Wenn man bei Kunden arbeitet, ist man der Repräsentant des Unternehmens. Daher sind Soft Skills ganz wichtig. Man braucht einen gewissen Auftritt, Artikulation und Selbstvertrauen. Grundlagen wie Höflichkeit, Zuverlässigkeit, Pünktlichkeit sind Voraussetzungen. Auch Flexibilität ist wichtig, weil man ja auch vor Ort beim Kunden arbeitet.« Selbstverständlich sollte man gerade in dieser Branche offen für Innovationen und immer bereit sein, sich weiterzubilden. Denn Veränderungen und Neuerungen passieren hier fast täglich. Volker Lindenbacher: »Man muss immer weiter mehr wissen wollen. Ein Studium kann nicht alles abdecken, auch das alltägliche Arbeiten nicht.«

Totale Sicherheit – die gibt es im Internet trotz der Sicherheitsexperten nicht und wird es wahrscheinlich auch in Zukunft nicht geben. Carsten Knoop: »Es ist immer ein Wettrüsten zwischen den nicht-kriminellen und den kriminellen Hackern. Cyberwar ist durchaus Realität.«

Artikelsuche