Handelsblatt

MenüZurück
Wird geladen.

05.08.2014

10:45 Uhr

IT-Sicherheit

Denken wie ein Krimineller

VonChristof Kerkmann

Keine Angst, der tut nichts: Christian Book ist Hacker. Er kann ganze Unternehmen lahmlegen – doch er nutzt seine Fähigkeiten nur, um Kriminelle zu stoppen. Auch die EZB hätte seine Dienste gut gebrauchen können.

„Zertifizierter ethischer Hacker“ Christian Book: Mit dem Klischee des Hackers hat sein Job wenig zu tun. Christof Kerkmann

„Zertifizierter ethischer Hacker“ Christian Book: Mit dem Klischee des Hackers hat sein Job wenig zu tun.

DüsseldorfEs ist oft eine Kleinigkeit, die zur Katastrophe führt. Ein Update, das auf der To-Do-Liste immer wieder nach unten rutscht; ein Programmierfehler kurz vor dem Feierabend; oder ein Hintertürchen für Wartungsarbeiten, an das sich niemand erinnert. „In einem solchen Fall“, sagt Christian Book, „kann der Hacker spazieren gehen.“

Was Book als Spaziergang umschreibt, ist der Albtraum einer jeden Firma, ob Start-up, Mittelständler oder Dax-Konzern: Kriminelle Angreifer dringen ins Computernetzwerk ein, installieren Spionageprogramme und kopieren Patente oder Kundendaten, alles heimlich, ohne dass es jemand bemerkt. Wie kürzlich bei der Europäischen Zentralbank (EZB), als Angreifer von der Webseite eine Datenbank mit Konferenzteilnehmern räuberten und die Hüter des Geldes anschließend erpressen wollten.

Die Gefahr aus dem Netz

Spionagegefahr wächst

Deutsche Unternehmen stehen zunehmend im Fokus von Cyberkriminellen und Spionen. Nach einer Studie der Unternehmensberatung Corporate Trust verzeichneten in den vergangenen beiden Jahren 27 Prozent einen konkreten Spionagefall, weitere 27 Prozent hatten zumindest einen Verdachtsfall. Hintergrund der Aufteilung: Spionage lässt sich oft nur schwer feststellen. In beiden Kategorien zusammen verzeichnet die Studie einen Anstieg von 5,5 Prozentpunkten.

Schaden in Milliardenhöhe

Drei von vier Unternehmen (77,5 Prozent) haben laut Corporate Trust einen konkreten finanziellen Schaden davongetragen. Die Kosten der Industriespionage taxiert die Beratung in Deutschland auf 11,8 Milliarden Euro pro Jahr.

Spione wollen Ingenieurskunst

Mittelständische Unternehmen werden besonders häufig von Spionen ausgespäht, gut 30 Prozent waren in den letzten zwei Jahren von Schnüffelfällen betroffen. Sehr häufig trifft es Firmen aus Maschinen-, Auto-, Flugzeug- und Schiffsbau: Auf sie entfallen allein 23 Prozent der Cyberangriffe. An zweiter Stelle lag die Chemie-, Pharma- und Biotech-Branche (17 Prozent). Nach Einschätzung von Corporate Trust könnte diese Häufung aber auch mit einem gehobenen Problembewusstsein zu tun haben.

Schwierige Suche nach Angreifern

Wer hinter den Attacken steckt, lässt sich oft nicht nachvollziehen. In der Corporate-Trust-Umfrage gabe betroffene Unternehmen an, dass die Spuren häufig nach Asien (39 Prozent), in die Staaten der früheren Sowjetunion (33 Prozent) sowie ins übrige Osteuropa (32 Prozent) führen, so sich die Angriffe eingrenzen ließen. 22 Prozent der Angriffe stammten aus Nordamerika (Mehrfachnennungen möglich).

NSA-Affäre schärft Bewusstsein

Die Enthüllungen des früheren NSA-Mitarbeiters Edward Snowden haben für ein Umdenken gesorgt. Drei Viertel (74 Prozent) der Unternehmen sehen Angriffe auf ihre Computer und Netze als reale Gefahr, deutlich mehr als noch 2012 (63 Prozent). Mehr als ein Drittel (36 Prozent) hat die NSA-Affäre zum Anlass genommen, die IT-Sicherheit zu stärken.

Book kennt die Schlichen der Angreifer. Er denkt selbst wie ein Krimineller – aber er tut es, um Kriminalität zu bekämpfen. Denn er arbeitet als „zertifizierter ethischer Hacker“ bei der Bielefelder Beratungsfirma Ceyoniq Consulting. Die will Kunden helfen, sich gegen Angreifer aus dem Netz zu schützen. Indem IT-Experten das System unter Beschuss nehmen, zeigen sie, wo der Schutz bröckelt – bevor es Cyberkriminelle, Spione oder die Konkurrenz tun. Penetrationstests, kurz: Pentests, nennen Experten das. Im besten Fall fördern sie unangenehme, aber heilsame Wahrheiten zutage.

Die Enthüllungen von Edward Snowden machen Managern und Unternehmern endgültig bewusst, wie anfällig IT-Systeme für Angriffe sind. Gefahr droht nicht nur durch staatliche Schnüffler. Das „Bedrohungspotenzial aus dem Bereich der Cyber-Kriminalität“ sei unter Umständen erheblich größer, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Wer sich erfolgreich verteidigen will, muss die Pläne des Feindes kennen. Und das geht am besten, indem man sich in dessen Lage versetzt. Der Angriff auf sich selbst ist die beste Verteidigung. „Für sicherheitskritische Netze und Systeme sind regelmäßige Pentests in jedem Fall zu empfehlen“, betont das BSI. Der Autobauer Daimler beschäftigt deswegen eine eigene Hackertruppe. Google lässt ein Team von Sicherheitsexperten auf alle Systeme los, die im Netz verwendet werden, um letztlich auch die Google-Dienste sicherer zu machen.

Auch die Imperia AG lässt sich freiwillig unter Beschuss nehmen. Die Firma entwickelt Software zur Verwaltung von Internet-Auftritten, Shops und Facebook-Fanpages, die Experten als Content-Management-Systeme bezeichnen. Imperia-Vorstand Daniel Redanz vergleicht das wichtigste Programm Pirobase mit einem Mischpult: „Der Mitarbeiter entscheidet: Welche Inhalte brauche ich für welchen Markt und für welchen Kommunikationskanal?“

Doch was ist, wenn auch jemand anders am Mischpult herumspielen kann, von außen und ohne Erlaubnis? Wenn die Käufer dem Produkt misstrauen, lässt es sich schlecht verkaufen, weiß der Vertriebsexperte. „Für uns ist es extrem wichtig, unseren Kunden zu kommunizieren, dass sie mit einem sicheren System arbeiten.“ Das gilt gerade für die Finanzbranche. Die Axa und die Dekabank zählen zu den Kunden, aber auch die Dax-Konzerne Siemens und BASF.

Kommentare (1)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Herr Manfred Zimmer

05.08.2014, 17:08 Uhr

Es wäre doch interessant zu wissen, ob denn die EZB PEN-Tests gemacht hat oder nicht?

Hat die BAFin schon einmal darüber berichtet wie deren PEN-Tests ausgefallen sind?

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×