© RapidEye/Getty Images© RapidEye/Getty Images

IT-Sicherheit, vernetzt

Profi-Hacker gesucht

Sie schleichen sich in Firmennetzwerke, infiltrieren die IT – und führen dabei Gutes im Schilde. Ethical Hacker sind Spezialisten, die im Auftrag von Unternehmen digitale Infrastrukturen testen, um sie gegen echte Angriffe zu wappnen. Ihre Dienste sind gefragter denn je. 

Ein falscher Klick und schon ist es passiert. „Ein Mitarbeiter öffnet unbedacht den Anhang einer E-Mail mit Schadsoftware. Dabei wird ein Verschlüsselungstrojaner auf seinem PC installiert. Die Schadsoftware verschlüsselt dann sämtliche auf dem PC und im Netzwerk erreichbaren Dateien und fordert Lösegeld für die Entschlüsselung“, beschreibt Thomas Tolj eine durchaus gängige Cyberattacke, bei der anschließend seine Expertise gefragt ist. Viel lieber noch, als entstandene Schäden zu beseitigen, ist der Spezialist für IT-Sicherheit und Forensik bei Ittcom in Hamburg kriminellen Cyberangreifern einen Schritt voraus. Genau wie Alexander Nolte. Der Mann mit dem sympathischen Lächeln ist selbst professioneller Hacker. Aber auch er ist einer von den Guten. Nolte arbeitet als Certified Ethical Hacker (CEH), auch Pentester genannt (von Penetration Tester), beim Paderborner Dienstleister Neam IT-Services.

Damit gehören Tolj und Nolte zu einer wachsenden Spezialgruppe von Informationssicherheitsexperten, Entwicklern, Datenbankanalysten, Softwarearchitekten, sowie Netzwerk-Administratoren, die sich in Kursen gezielt ausgebildet haben. Sie sind sozusagen amtlich zertifizierte Hacker. Ihre Aufgabe besteht darin, im Auftrag ihrer Kunden deren IT-Systeme zu knacken. In erster Linie sollen sie dabei Schwachstellen im Bollwerk der IT-Abwehr finden, diese dokumentieren und das Unternehmen bei deren Beseitigung unterstützen. Und zwar möglichst, bevor kriminelle Hacker diese Lücken für ihre Zwecke nutzen können.

Mehr Vernetzung, mehr Angriffe

Das Spezialwissen von Ethical Hackern ist begehrt, denn die Bedrohung durch Cyberkriminalität wächst Jahr für Jahr – nicht nur in Deutschland. Viren und Trojaner wie Notpetya und Wannacry legten 2017 Unternehmen rund um den Globus lahm. Der Schaden durch Ransom-Angriffe im letzten Jahr belief sich laut einer Studie von Cyber Security Ventures, einem auf Internetsicherheit spezialisierten US-Start­up, weltweit auf rund fünf Milliarden US-Dollar. Nicht beziffern lassen sich dagegen die Reputationsschäden.

Im kommenden Jahr rechnen die Forscher gar mit einer Verdoppelung des finanziellen Schadens, denn die Erpresser machen sich zunehmend IoT-(Internet der Dinge)-Geräte für ihre kriminellen Machenschaften zunutze. Auch Industrie 4.0-Anwendungen sind durch die fortschreitende Vernetzung und die oft veralteten IT-Systeme in den Betrieben anfällig. Und die Abhängigkeit der Unternehmen von der Cloud wird Experten zufolge zunehmend zu direkten Angriffen auf Cloud-Dienste führen.

Kleine und große Unternehmen sind alarmiert und suchen Rat: Waren es vor einigen Jahren nur solche, die mit sensiblen Daten arbeiten, so rufen inzwischen auch ganz gewöhnliche Unternehmen nach Ethical Hackern. Neben Konzernen stehen nach Noltes Erfahrung vor allem deutsche Mittelständler und Hidden Champions mit ihren Forschungs- und Entwicklungsergebnissen sowie technologischen Speziallösungen im Visier von Cyberkriminellen. Mit Hilfe der Ethical Hacker und sogenannter Penetrationstests wollen sich immer mehr Unternehmen gegen Cyberattacken wappnen. „Durch eine unabhängige Betrachtung von außen können wir neben technischen Defiziten auch Fehlkonfigurationen bei Abwehrsystemen aufdecken, die häufig durch eine gewisse Betriebsblindheit verursacht werden“, sagt Nolte. „Außerdem wird dieser Test als Bestätigung der IT-Sicherheit durch einen unabhängigen Dritten durchgeführt“, fügt Tolj hinzu.

Wie echte Angreifer

Ethical Hacker gehen bei ihrer Arbeit wie echte Angreifer vor – verdeckt. Oft sind nur das Management, nicht aber die Mitarbeiter der Unternehmen informiert. „Ein Penetration Tester ist jemand, der ein tiefgreifendes Verständnis für IT-Umgebungen hat, neugierig erkundet, wie Dinge funktionieren, und der weiß, wie Angreifer heutzutage vorgehen“, sagt Erik van Buggenhout. Er ist Trainer beim SANS Institute und Mitgründer des belgischen Cybersicherheitsunternehmen Nvisio. Ein Penetration Tester verfügt darüber hinaus über einige Erfahrung darin, IT-Systeme zu verteidigen. „Er muss ständig bereit sein, sich auf neue Bedrohungen und technische Anforderungen einzulassen, um mit den Angreifern Schritt halten zu können“, sagt Nolte. Die Augenhöhe mit echten Angreifern erreicht Nolte zufolge ein Ethical Hacker dadurch, dass er zwar dasselbe Know-how und gleiche Werkzeuge nutzt wie ein böswilliger Hacker, diese jedoch rechtskonform und im Einklang mit seiner Berufsethik einsetzt.

Geprüft werden die eingesetzten Sicherheitsmaßnahmen und die IT-Infrastruktur im vereinbarten Umfang. Besonderes Augenmerk gilt der Zugangskontrolle bei den verwendeten Programmen und Betriebssystemen. So erhalten die Tester wichtige Ansatzpunkte, die in einer weiteren Stufe noch intensiver analysiert werden. Wichtig: Alle gefundenen Schwachstellen werden in einer auch für Laien verständlichen Dokumentation festgehalten. Wurden Sicherheitslücken bereits durch Cyberkriminelle ausgenutzt, ergreifen die Sicherheitsexperten auch direkt Gegenmaßnahmen. „Wir legen großen Wert auf Handlungsempfehlungen, um den Kunden nicht mit Sicherheitslücken allein zu lassen, die es schnell zu schließen gilt“, erklärt Nolte.

» Wir legen großen Wert auf Handlungs­empfehlungen, um den Kunden nicht mit Sicherheits­lücken allein zu lassen, die es schnell zu schließen gilt.«
Alexander Nolte, Neam IT-Services

Bei dieser sensiblen Zusammenarbeit sei der persönliche Draht zwischen Pentester und Kunde überaus wichtig. Oft werden neben technischen Maßnahmen auch Mitarbeiterschulungen durchgeführt. „Die Schwachstelle Mensch darf mit den Gefahren des Phishings und Social Engineerings nicht außer Acht gelassen werden“, erklärt Tolj.

Bei der Wahl eines geeigneten Spezialisten gehe es daher nicht nur um technische Fähigkeiten, sagt SANS-Trainer van Buggenhout. „Meist wird unterschätzt, dass sich ein guter Pentester dadurch auszeichnet, dass er technische Herausforderungen in eine Sprache übersetzen kann, die auch die Geschäftsführung versteht. Diese Fähigkeit ist eigentlich die wichtigste, weil die gefundenen Schwachstellen zumeist nur mit der Unterstützung des Managements behoben werden können.“ Und das ist schließlich das Ziel der guten Hacker.

 

 

Profitipps: Wie findet man einen guten Pentester?

Nach Referenzen fragen: „Da ein beauftragter Pentester/Ethical Hacker sehr weitgehende Zugriffsmöglichkeiten zu den Kundensystemen hat, ist hier eine äußerst sorgfältige, auf Vertrauen basierende Auswahl des Anbieters erforderlich. Dazu sollte der Auftraggeber auf Referenzen, ständige Fortbildung, Zertifikate und Verbandsmitgliedschaften beim Auftragnehmer achten.“ Thomas Tolj, IT Security & Forensik Spezialist, ITTCOM

Persönlichen Draht finden: „Entscheidend ist eine nachweisbare Erfahrung und eine Fokussierung. Hobby-Hacker können in der Regel nicht den gewünschten Mehrwert bieten. Zudem ist der persönliche Draht zwischen Pentester und Endkunde wichtig. Es handelt sich um eine vertrauensvolle und sensible Zusammenarbeit.“ Alexander Nolte, Dipl.-Ökonom, Senior Sales, neam IT-Services GmbH

Auf die Qualität des Reports achten: „Zertifizierungen sind ein guter Nachweis über das theoretische Wissen und wie ein Pentester vorgeht. Entscheidend ist die Qualität der Reports. Ein Unternehmen sollte also zunächst den Lebenslauf der Kandidaten prüfen, ob er über die nötige Erfahrung und Expertise verfügt. Je nach Anforderung kann es sinnvoll sein, zunächst ein Test-Engagement durchzuführen, um den geschriebenen Report zu prüfen.“ Erik van Buggenhout, SANS-Trainer, Mitgründer und Cybersicherheitsexperte beim belgischen Cybersicherheitsunternehmen NVISO.

Langjährige Erfahrung bevorzugen: „Penetrationstests sind auf die individuelle Situation der getesteten Institution abzustimmen und somit nur in begrenztem Umfang standardisierbar. Bei einem Penetrationstest kann deshalb nur bis zu einem gewissen Grad nach einem starren Muster vorgegangen werden. Deshalb sollte die Durchführung von Penetrationstests von Experten vorgenommen werden, die über langjährige Erfahrung im Bereich der IT-Sicherheit und als Penetrationstester verfügen.“ Tim Griese, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn.

 

Hacker suchen und buchen
Zertifikate geben Unternehmen wichtige Anhaltspunkte bei der Wahl ihres Dienstleisters. Zu den weltweit führenden Anbietern von Cyber-Sicherheitsschulungen zählen das SANS Institute, der EC-Council und McAfee Foundstone. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert als staatliche Stelle diese spezielle Berufsgruppe.


Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

CAPTCHA-Bild

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Lesen Sie weiter