Auf die Frage, ob sie nicht schon einmal daran gedacht haben die Seiten zu wechseln, antworten die beiden Geschäftsführer von RedTeam Pentesting mit professioneller Nachsicht:
»Klar, man könne die Seiten wechseln und nicht zum Vorteil, sondern zum Nachteil von Unternehmen und Institutionen in deren Datensysteme einbrechen. Aber warum?«
Die Herausforderung für einen IT-Spezialisten sei doch in beiden Fällen die gleiche. Aber im einen Fall wartet nach acht Stunden der Feierabend, inklusive gutem Verdienst. Im anderen die JVA. Zumal ihr Job auch sonst kaum zu überbieten sei an Interessantem und Abwechslungsreichen, so die Hack-Profis weiter.
Aufdecken von Sicherheitslücken durch Einnehmen der Angreiferperspektive
Patrick Hof und Jens Liebchen sind Experten für individuelle Penetrationstests, kurz Pentests. Gemeinsam mit einem derzeit achtköpfigen Team spezialisierter IT-Sicherheitsexperten greifen sie im Auftrag ihrer Kunden diesen Kunden an, um Sicherheitslücken in Netzwerken, Anwendungen oder Geräten aufzudecken. Die entscheidenden Werkzeuge dafür: Kreativität und die Fähigkeit, sich cool in eine ›Angreiferperspektive‹ hineinzudenken. Denn wer bei RedTeam Pentesting arbeitet, muss auch die Nerven haben, live, also während der Abschlusspräsentation und vor den Augen der Kunden das System effektiv anzugreifen. Aber dafür braucht es nicht allein die entsprechende Souveränität, sondern auch das Know-how.
»Ohne grundlegende Kenntnisse beispielsweise zur Programmierung von Datenbanken geht es nicht. Deshalb haben alle Mitarbeiter bei uns eine akademische Ausbildung im Bereich IT«,
sagt Liebchen.
In der Regel arbeiten immer zwei von ihnen zwischen einer und drei Wochen von ihren Büros in Aachen aus an einem Einbruch, dann ist Präsentation beim Kunden vor Ort.
Entwicklulng vielfältiger Einbruchsmöglichkeiten
Einer der Profi-Hacker ist Benjamin Grap. Er erklärt eine simple Methode, das Datenbanksystem eines Online-Shops durcheinanderzubringen:
»Wenn ich statt einem Produkt nun zehn bestelle, zahle ich auch den zehnfachen Preis. Dieser Algorithmus ist im System hinterlegt. Was aber, wenn ich stattdessen negative Zahlen eingebe und minus zehn Produkte bestelle und die Bestellung mit der ›normalen‹ Order von weiteren zehn Produkten ergänze? Unter Umständen verrechnet das System dann den negativen Preis der ersten Produkte mit dem Preis des zweiten und ich erhalte 20 Produkte ohne Geld dafür bezahlen zu müssen«,
erklärt der 32-Jährige.
Dass dem Team die Arbeit nicht ausgeht, sei offensichtlich, sagt Geschäftsführer Hof. Wo früher nur wenige Computer angreifbar gewesen wären, habe das Internet der Dinge nun die Einbruchsmöglichkeiten und damit ihre Aufgaben vervielfacht. Einbrüche können sich also auch auszahlen.
Bis zum Jahr 2020 werden weltweit 1,8 Millionen Fachkräfte in Sachen Cyber-sicherheit fehlen, so die ›Global Information Security Workforce‹-Studie.
Allein beim Bundesamt für Sicherheit in der Informationstechnik sind 180 Stellen vakant.
