Hacker sind hinlänglich bekannt als Programmierer, die illegal in Computersysteme eindringen. Doch es gibt auch die Guten. Sie suchen Schwachstellen in den IT-Systemen der Unternehmen – und das im Auftrag dieser Unternehmen selbst. Lesen Sie nachfolgend ein Interview mit einem solchen Hacker. Und jedes Mal, wirklich jedes Mal wird er fündig.
Wann entgleisen Ihren Auftraggebern die Gesichtszüge, Herr Andersson?
Benjamin Andersson: Spätestens wenn ich Ihnen erzähle, wie frei ich mich in ihren Systemen bewege und hier auf Betriebsgeheimnisse, dort auf Kundendaten zugreifen könnte. Wie viel Schaden das unerlaubte Stöbern dem Unternehmen zufügen kann – und wie leicht es möglich ist –, begreifen manche Auftraggeber erst, wenn ich es ihnen anschaulich zeige: Jetzt bin ich in der Mitarbeiter-Datenbank unterwegs und jetzt habe ich Einblick in sämtliche Rechnungen.
Aber genau das ist doch Ihr Auftrag: Schwachstellen finden und aufzeigen!
Es kommt relativ selten vor, dass wir zu einem Unternehmen mit akuten IT-Sicherheitsproblemen gerufen werden. Laut DSGVO-Richtlinie müssen Unternehmen gewisse IT-Sicherheitsstandards erfüllen und diese regelmäßig überprüfen lassen. Da kommen wir ins Spiel. Vorher denken viele Kunden: „Eigentlich ist alles in Ordnung bei uns.“
Nachher denken sie nicht mehr, bei ihnen sei alles okay?
Im ersten Schritt machen wir einen Schwachstellenscan. Das ist wie bei Einbrechern, die sich erst einmal das Haus von allen Seiten anschauen. Ist ein Fenster nur angelehnt, die Kellertür nicht abgeschlossen? Im nächsten Schritt schauen wir: Welche der Lücken ziehen wirkliche Gefahren nach sich? Wenn die Auftraggeber einverstanden sind, gehen wir diese Lücken in einem sogenannten Penetrationstest an und erforschen, wohin und wie weit wir kommen. Je leichter eine Lücke auszunutzen ist, desto gefährlicher – denn echte Angreifer machen es sich gern so leicht wie möglich.
Wie lange brauchen Sie, um ins Innere von Unternehmenssystemen vorzudringen?
Das hängt von der Komplexität der Systeme ab. Je länger das Scanning der Schwachstellen dauert, desto länger brauchen wir zum Auswerten. Anschließend ist es meist eine Sache von Minuten. Im Normalfall geht es darum, möglichst schnell an Admin-Rechte zu kommen, das klappt eigentlich fast immer, und damit öffnen sich sehr viele Türen.
Für Spione bestimmt interessant. Haben die Unternehmen mehr Angst vor Industriespionage oder vor Sabotage?
Es gibt keine belastbaren Zahlen, wie verbreitet Industriespionage ist – die Dunkelziffer ist hoch. Was ich sagen kann: Ja, das ist absolut ein Thema. Dasselbe gilt für Ransomware, die sich durchs ganze Netz frisst und IT-Systeme komplett lahmlegt – es sei denn, das Unternehmen zahlt ein Lösegeld, ein „ransom“. Darüber reden Unternehmen ungern, aber solche Fälle sind nicht allzu selten. Der Fehler, den viele Betroffene begehen: Sie zahlen das Lösegeld und hoffen, das Problem habe sich damit erledigt. Leider ein Fehlschluss: Die Ransomware steckt noch immer im System und kann nach einigen Monaten problemlos wieder aktiviert werden – um noch mal Lösegeld zu kassieren. Deshalb spielt die Datensicherheit in Unternehmen eine äußerst bedeutende Rolle.
Wie kommt Ransomware überhaupt in die IT-Systeme?
Meist über den Klassiker „Mitarbeiter drückt auf E-Mail-Anhang“.
Der Mitarbeiter ist und bleibt das größte Sicherheitsrisiko?
Leider ja. Deshalb bieten wir Trainings vor Ort an, um Mitarbeiter zu sensibilisieren. Zum Training gehört auch ein Live-Hack. Ich zeige, wie schnell ein Virus – etwa ein Remote-Access-Trojaner – zusammengebastelt ist. Die gibt’s im Netz, das dauert zwei Minuten und das kriegt jeder 14-Jährige hin. Dann muss ich nur noch die E-Mail rausschicken und warten, bis jemand auf den Anhang klickt.
Das Aha-Erlebnis bei solchen Live-Hacks ist bestimmt groß. Aber hält es vor?
Die Mitarbeiter achten erst mal mehr auf potenzielle Gefahren, doch nach einiger Zeit schleichen sich hier und da wieder schlechte Angewohnheiten ein, die zum Sicherheitsrisiko werden können. Außerdem ist IT-Security ein sich ständig wandelndes und weiterentwickelndes Thema, weshalb auf jeden Fall regelmäßige Trainings zu empfehlen sind. Wir passen unsere Schulungen ständig an die aktuellen Technologien an und bringen die Mitarbeiter so auf den neuesten Stand.
Gibt es Risikoquellen, die konsequenter ausgeschlossen werden können?
Ja: Standardpasswörter. Viele davon lassen sich problemlos googeln! Es ist verblüffend, wie oft Unternehmen auf Standardpasswörter setzen oder ein einziges Passwort für alle Funktionen nutzen. Allerdings helfen selbst die besten Passwörter wenig bei spezialisierten Hackern. Die wissen um Sicherheitslücken etwa bei einer bestimmten Software und suchen gezielt nach Unternehmen, die diese Software nutzen. Und sind dann innerhalb einer Minute drin.
Klingt beängstigend. Ist diese Botschaft – „You’re under attack!“ – bei den Unternehmen angekommen?
Nicht bei allen. Gelegentlich höre ich immer noch „Uns passiert sowieso nichts“ oder „Wir vertrauen auf Firewall und Virenschutz“. Dabei ist der Trojaner im E-Mail-Anhang bereits vorbei an der Firewall und wird auch vom Virenschutz nicht unbedingt erkannt, falls der nicht auf dem allerallerneuesten Stand ist. Deshalb ist es so wichtig, IT-Sicherheit ganz oben auf der Liste und immer auf dem neuesten Stand zu halten – einfach weil da ständig etwas Neues kommt.
Letzte Frage: Gibt es Unternehmen, die so gut geschützt sind, dass selbst Ihre Angriffe scheitern?
Bislang nicht. Ich finde immer einen Weg.
Dieser Artikel wurde im Original von unserem Partner Triumph-Adler veröffentlicht. Vielen Dank nochmal an die Kollegen! Zur Website von Triumph-Adler geht es hier.