Schlösser um Kette

Penetrationstester prüfen Sicherheitsnetze

Immer mehr Unternehmen verlassen sich auf Penetrationstester, die Sicherheitsnetze einem Qualitätstest unterziehen. Was das ist und wie das geht erfährst du hier.

Sobald es Sven Weizenegger gelingt, den Schutzwall eines unternehmensinternen IT-Sicherheitssystems zu durchdringen, bricht er in Jubel aus.

»Wenn ich eine Sicherheitslücke finde, springe ich vor Freude auf«, beichtet der 29-jährige Hacker. »Und wenn ich gar nichts finde, bin ich schon enttäuscht – aber das kommt superselten vor!« ›Netzwerke einbrechen‹, wie es in der Hackersprache heißt, den Zugriff auf Router schaffen, Software überlisten: Er habe eben einen »Hang zur Destruktivität«, am Hacken locke ihn »der Reiz des Verbotenen«, sagt Weizenegger, der schon als 15-Jähriger in einschlägigen Onlineforen unterwegs war, um sich mit anderen Hackern zu messen.

Doch das, was Sven Weizenegger tut, ist gar nicht verboten

Der Hacker ist bei der Telekom als Sicherheitsprüfer beschäftigt und testet im Auftrag von Kunden deren Sicherheitsnetze und neue Softwareprogramme. »Ich habe ziemlich früh gemerkt, dass ich mit meinen Fähigkeiten Geld verdienen kann«, erzählt er. »Mit 19 habe ich mich bei der Telekom beworben, und seitdem bin ich hier.«

Seinen Job bei der Telekom empfindet Weizenegger als »Paradies«:

»Ich kann hier auf eine Soft- und Hardware-Infrastruktur zurückgreifen, an die ich sonst nie herankommen würde, und kann im Rahmen des Legalen das tun, was mir am meisten Spaß macht: Hacken.« 

Spezialisten wie Sven Weizenegger gehören wohl zu den derzeit am heißesten begehrten Nachwuchskräften der IT-Branche. Der Grund: Der Klau vertraulicher Daten über mangelhafte Sicherheitssysteme bei Unternehmen, Regierungsbehörden und wissenschaftlichen Instituten nimmt weltweit zu. Nach einer Studie des Instituts für Demoskopie Allensbach, die im vergangenen September veröffentlicht wurde, haben allein zwei Drittel der deutschen Unternehmen schon Firmengeheimnisse verloren, weil ihre Computer von bösartigen Hackern angegriffen wurden. Besonders gefährdet sind laut Studie Großunternehmen mit einem Jahresumsatz von mehr als 500 Millionen Euro. Dort werden doppelt so viele Angriffe registriert wie in Kleinunternehmen. Zuletzt hatte im August ein Großangriff aus China auf weltweit 72 verschiedene Ziele für Schlagzeilen gesorgt – darunter sind ein großes US-amerikanisches Rüstungsunternehmen sowie die Vereinten Nationen in Genf und das Internationale Olympische Komitee (IOC).

»Die Bedrohung durch Cyber-Kriminalität wächst nicht nur stetig, sondern gewinnt eine ganz neue Qualität«, sagt Dieter Kempf, Präsident des Branchenverbandes Bitkom. »Die Angriffe betreffen Regierungen und Behörden ebenso wie Unternehmen. Staatliche Stellen müssen mit der Wirtschaft künftig noch enger zusammenarbeiten.«

Die Folge dieser Entwicklung:

Immer mehr Unternehmen und Institutionen unterziehen ihre eigenen IT-Systeme knallharten Sicherheitstests durch versierte Hacker. Diese Dienste bieten nicht nur Konzerne wie die Telekom an, sondern immer häufiger auch kleine IT-Dienstleister wie die SySS GmbH in Tübingen.

»Die Bedeutung von IT Security wächst seit Gründung meines Unternehmens im Jahr 1998 ständig«, bestätigt SySS-Geschäftsführer Sebastian Schreiber. »Durch die große Menge an Sicherheitsvorfällen in diesem Jahr erfährt sie momentan einen Boom.«

Er suche dringend nach jungen, motivierten Mitarbeitern. »Momentan könnte ich drei Hochschulabgänger einstellen, die gleich am Montag anfangen könnten.« Bei der SySS GmbH angefangen hat auch der 26-jährige Philipp Buchegger: Bei SySS ist der diplomierte Physiker ›Penetrationstester‹. »Meinen Job kann man als legales Hacken bezeichnen«, erklärt Buchegger, der das Hacken als die »Königsdisziplin aller computeraffinen Menschen« bezeichnet. Wenn Philipp Buchegger versucht, zu Testzwecken in das Sicherheitssystem eines Kunden einzudringen, ist der rechtliche Rahmen vorab genau abgesteckt.

»Es ist genau definiert, was ich darf und was ich nicht darf, falls ich auf vertrauliche Daten, zum Beispiel eines Wirtschaftsunternehmens, stoßen sollte.«

Einen Hacker als Penetrationstester zu engagieren, sei eben auch eine große Vertrauensfrage. Wer bei der SySS GmbH arbeiten wolle, wird deshalb auch als Mensch und Persönlichkeit auf Herz und Nieren geprüft, sagt Geschäftsführer Sebastian Schreiber.

»Ich brauche in erster Linie Mitarbeiter, die intelligent und fleißig sind«, sagt Schreiber. »Echte Hacker-Skills sind keine Einstellungsvoraussetzung. Dieses Sonderwissen bringen wir jungen Mitarbeitern im Rahmen eines formalisierten Einarbeitungsprozesses bei.«

Obwohl sich SySS-Hacker Philipp Buchegger für ›die gute Seite‹ entschieden habe, gibt er zu, dass auch ihn der Reiz des Verbotenen herausfordert. »Es macht Spaß, das zu tun, was eigentlich nicht erlaubt ist – und das auch noch seinen Beruf zu nennen«, sagt Buchegger, »das ist wie Formel-Eins-Fahren!« Wer sich für das Hacken begeistere, müsse sich schon irgendwann für eine Seite entscheiden. Ob guter Hacker oder schlechter Hacker – das ist eine Frage der Perspektive: Abhängig von der Motivation und der Gesetzestreue wird in der Hacker-Szene zwischen White-Hat-, Grey-Hat- und Black-Hat-Hackern unterschieden. White-Hats führen Penetrationstest im Rahmen der Gesetze durch, während Black-Hats mit krimineller Energie Daten stehlen oder Systeme beschädigen wollen. Die Grey-Hats verstoßen gegen Regelungen – aber immer im Dienst eines höheren Ziels. Beispielsweise durch die Veröffentlichung von Sicherheitslücken, um die Verantwortlichen dazu zu zwingen, diese zu beheben.

Bei der SySS GmbH bekommen neue Mitarbeiter neben einem Vorgesetzten auch einen Tutor, der »eine saubere Einarbeitung verantwortet«, wie es Geschäftsführer Schreiber ausdrückt. Der Mitarbeiter werde langsam an Penetrationstests herangeführt: Zunächst ist er bei einem Projekt nur Beobachter. Dann assistiert er bei einfachen Aufgaben. Beim dritten oder vierten Projekt bekommt er bereits eine Teilverantwortung, wobei der Tutor die Arbeit noch kontrolliert und Tipps gibt. »Die Dichte des in der Einarbeitungsphase vermittelten Wissens ist deutlich höher als zum Beispiel in einem Semester an der Hochschule«, sagt der SySS-Geschäftsführer, der davon ausgeht, dass auch in Zukunft noch mehr Penetrationstester auf dem Arbeitsmarkt gesucht werden.  Auch Telekom-Hacker Sven Weizenegger sieht großes Potenzial für die Arbeit von Hackern im Dienste der Sicherheit: »Das Angriffsfeld für Kriminelle wird ja immer breiter«, sagt er. »Die Systeme werden immer stärker miteinander vernetzt – bis hin zu Kühlschränken, auf die man über das Internet zugreifen kann.« Um Herr der Sicherheitslage zu bleiben, seien IT-Schwergewichte wie die Telekom auf die Skills guter Hacker in Zukunft noch stärker angewiesen. 


Anzeige

Anzeige