Von Rainer Schulze
30. November 2007 Zwischen dem Hauptbahnhof und Bockenheim hat Mark Semmler den Laptop einfach neben sich auf die Taxibank gelegt. 164 drahtlose Computernetzwerke hat der Scanner auf dem Weg bis zum Hotel ertastet. Ein Pizzaservice, eine Kneipe, Privatleute und Unternehmen, die sich hinter Adressen wie „cgoffice“ verbergen. Vierzig dieser Netzwerke sind überhaupt nicht abgesichert, sechzig nutzen eine Verschlüsselung, die den Namen nicht verdiene: „Es dauert zwei bis sieben Minuten, dann sind wird drin.“
Mark Semmler hat die Lizenz zum Hacken. Er dringt im Auftrag seiner Kunden in deren Computersysteme ein, um zu zeigen, wie angreifbar sie sind. Der Informatiker aus Darmstadt macht sich damit nicht strafbar. „Es gibt eine Linie. Auf der einen Seite ist Mut, auf der anderen Übermut.“
„Die größte Schwachstelle ist der Mensch“
Er ist einer von 3000 bis 5000 Profi-Hackern, die „auf der hellen Seite“ stehen, wie er sagt. Die dunkle Seite dürfte dichter gefüllt sein. 29.155 Fälle von Computerkriminalität hat das Bundeskriminalamt im vergangenen Jahr registriert, 9,4 Prozent mehr als im Vorjahr. Darunter fallen auch die 1672 Delikte (plus 3,9 Prozent) der Gattung Datenveränderung und Computersabotage. Tatsächlich dürften es weitaus mehr Fälle sein, denn oft merken die Opfer eines Hacker-Angriffs nicht, dass sie ausspioniert werden. Oder den Betroffenen ist es schlicht unangenehm. „Aufgrund des Image-Schadens für ihr Unternehmen zeigen viele Betroffene einen Hacker-Angriff nicht an. Wir wissen nicht, wie hoch die Dunkelziffer ist“, sagt Christian Brockert, Pressesprecher des Bundeskriminalamts.
Muss ein Unternehmen Mark Semmlers Dienste in Anspruch nehmen, weil es Opfer eines Hacker-Angriffs geworden ist, gilt die erste Frage oft dem Thema Verschwiegenheit. Etliche Kunden forderten zunächst eine Vertraulichkeitserklärung, sagt Semmler. Er respektiere das Bedürfnis seiner Kunden nach Diskretion. „Wer will schon bei einer Bank sein, die Probleme mit ihrem Online-Banking hat?“ Damit es gar nicht so weit kommt, erläutert der Informatiker in Workshops den Firmen, wie verletzbar sie sind.
„Die größte Schwachstelle ist der Mensch.“ Wenn es um die Sicherung der Firmennetzwerke gehe, gehöre eine Firewall heute zum guten Ton. Meist mangele es den Firmen aber an einer strukturellen Analyse des Risikos. Wenn ein Mitarbeiter Unternehmensdaten auf dem Notebook gespeichert habe oder der USB-Stick aus der Hosentasche fällt, kann die Firewall noch so sicher sein - die Daten sind angreifbar. „Ein E-Mail-Anhang mit dem Namen ,tanzende Schweine' sollte auch nicht unbedingt auf den Desktop gespeichert werden.“ Denn dahinter könne sich Schadsoftware verbergen. Semmler empfiehlt den Unternehmen darum, eine Benutzerordnung einzuführen. „Sie ist das effektivste Mittel, um IT-Sicherheit zu gewährleisten.“
„Wir könnten die gesamten Daten runterladen“
Die Frankfurter Niederlassung des Finanzdienstleisters Moneygram Payment Systems war schon Opfer eines Hacker-Angriffs. „Jemand hat versucht, E-Mails abzufangen“, sagt Torsten Preisler, der bei Semmlers Vortrag im Publikum sitzt. Der IT-Manager fühlt sich sicher. In seinem Unternehmen gibt es Richtlinien, wie sich die Mitarbeiter im Internet verhalten sollten. „Man denkt, man habe alles getan. Aber ich lasse mich gerne vom Gegenteil überzeugen.“
Wie einfach es ist, in ein Firmennetzwerk einzudringen, demonstriert Semmler seinen Zuhörern. Von seinem Laptop aus sucht er Firmenkunden, die über einen großen Internet-Anbieter ihr Geschäftsnetzwerk betreiben. Nach wenigen Sekunden findet er Unternehmen, die keine Firewall verwenden. „Wir könnten uns die gesamten Daten runterladen.“ Bei ähnlichen Vorführungen hat er schon Arztpraxen gefunden, deren Patientendaten unverschlüsselt auf dem Rechner lagen, das Kundenverzeichnis eines Rechtsanwalts gehört ebenfalls zu seinen Fundstücken.
Ein Unternehmen kann sich vor solch ungebetenem Besuch auf dem Rechner schützen, indem es die virtuellen Firmentore mit einer Firewall sichert. Semmler vergleicht die Firewall mit den Stadttoren einer mittelalterlichen Stadt. „Sie kapseln ihr Firmennetzwerk physikalisch nach außen ab. Die Firewall regelt, wer rein und raus darf.“
Text: F.A.Z.
Bildmaterial: AP, picture-alliance/ dpa/dpaweb, REUTERS, Versatel
