https://www.faz.net/-gyl-947iu

Experten für Cyber-Security : Hacker gesucht

  • -Aktualisiert am

Früh übt sich: Alexander Thiel, 27, hat schon als Junge zum Spaß Testviren programmiert. Heute arbeitet er als Berater für IT-Sicherheitsfragen. Bild: Bernd Vogel

Schlupflöcher und Sicherheitslücken gibt es zuhauf im Internet. Cyber-Security-Experten versuchen, sie zu stopfen. Dabei ist der Job kreativer als gedacht – und sehr gut bezahlt.

          5 Min.

          Über ihren Browser schafften es Tim Philipp Schäfers und sein Hackerkollege Sebastian Neef 2016, in die Schaltzentrale von Wasserwerken, Heizkraftwerken und Biogasanlagen einzudringen. „Es war erstaunlich einfach“, erinnert sich Schäfers. „Ein paar Klicks hätten gereicht, und aus dem Wasserhahn von Zehntausenden Menschen wäre kein Wasser mehr gekommen.“ Vorher hatten sie das gesamte Internet nach gewissen Schnittstellen abgesucht. Bei insgesamt 100 Anlagen weltweit konnten die Hacker auf Schnittstellen zugreifen, die eigentlich gar nicht mit dem Internet verbunden sein sollten. Auch die Störungsmeldungen ließen sich beliebig abschalten.

          Schäfers und Neef betreiben das Portal internetwache.org – sie hacken nicht, um etwas kaputtzumachen oder Geld zu erpressen, sondern um der Öffentlichkeit zu zeigen, dass Internetsicherheitslücken in einer digitalisierten Welt omnipräsent sind. So wollen sie einen Anstoß dafür geben, dass die Unternehmen und die Daten von Nutzern – von Paypal bis zur Wahlleitersoftware – ein bisschen sicherer werden. Und der Bedarf dafür ist riesig, wie eine Studie von Kaspersky aus dem vergangenen Jahr zeigt: Mehr als 90 Prozent der industriellen Kontrollsysteme nutzen demnach unsichere Protokolle. Zwischen 2011 und 2016 sei die Anzahl von Schwachstellen gar um das Zehnfache gestiegen. Jedes dritte mittelständische Unternehmen in Deutschland, schätzt eine andere Kaspersky-Studie, hat dabei Schwachstellen im Netz.

          Alexander Thiel ist einer derjenigen, die diese Lücken stopfen. Er ist ein Cyber-Security-Fachmann und noch recht frisch im Geschäft. Dabei lief der Berufseinstieg für ihn blendend. Seit Anfang des Jahres ist er Junior Consultant für IT-Sicherheit. Sein Arbeitgeber: Seven Prin­ciples, ein Unternehmen, das mit neun Standorten in Deutschland sowie in Österreich, Dänemark, Estland und Großbritannien vertreten ist und unter anderem den Bereich Cyber-Security abdeckt. Thiel ist selbst erst 27 und interessiert sich schon von Kindesbeinen an für Computer. Als er sechs war, bekam er einen 286er-PC geschenkt. Dessen Hardware und Software nahm er gemeinsam mit seiner Schwester auseinander. Nachdem er die Systemdatei gelöscht hatte, musste der Nachbar helfen. „Als das aber immer wieder geschah, quittierte der Nachbar den Dienst“, erinnert sich Thiel. Sein Vater kaufte ihm daraufhin einen Commodore 64 mit einem Haufen Spiele auf Diskette. „Um den überhaupt zu betreiben, musste ich erst einmal lernen, wie das Command-Line-Interface funktioniert, und das hat mich deutlich näher ans Computing gebracht als Windows 3.11.“

          Viren auf den Computern von Freunden testen

          Mit zehn Jahren baute Thiel mit Freunden die ersten Netzwerke, um gemeinsam Computerspiele zu spielen. „Mindestens die Hälfte der Zeit ging dafür drauf, das Netzwerk einzurichten“, sagt Thiel, „also versuchte ich, besser zu verstehen, was dort technisch passiert.“ Ein weiteres Schlüsselmoment war eine Warnung seines Vaters: „Pass auf, wo du dich im Internet aufhältst, und deaktiviere Java Script. Sonst kann theoretisch jeder deinen Rechner übernehmen.“ Thiel fiel es schwer, sich das vorzustellen. Und so fing er an, herauszufinden, was sein Vater gemeint hatte. Er baute erste Testviren zum Spaß und schleuste sie über ICQ auf die Rechner seiner Freunde. Sie ließen beispielsweise das CD-Laufwerk auf- und zugehen oder den Rechner beim nächsten Mausklick herunterfahren.

          Nach der Schule schrieb er sich für Maschinenbau an der Uni Bochum ein: „Ich kam aus einer Ingenieursfamilie, da bot sich das an. Und Informatik fand ich damals stumpf, Programmieren langweilig.“ Während der kommenden Jahre aber hackte Thiel mehr, als zu studieren, nach spätestens drei Semestern war ihm klar: „Ich werde nie Maschinen bauen.“ Er sprach mit seinen Professoren und war überrascht, das die das nicht schlimm fanden: „Du kannst ja auch Maschinen hacken“, soll einer von ihnen gesagt haben, wohlwissend, dass die Zukunft der Industrie darin liegt, alles mit allem zu vernetzen.

          Um sich ganz sicher zu fühlen, schloss Alexander Thiel noch eine Ausbildung als Fachinformatiker an. Ob er dafür nicht überqualifiziert gewesen sei? „Ja, wahrscheinlich. Aber ich wollte noch eine zusätzliche Qualifikation.“ Überhaupt ist das mit Qualifikationen so eine Sache: Obwohl inzwischen an immer mehr Unis Studiengänge eingerichtet werden – der Studiengang IT-Sicherheit in Bochum ist dabei besonders renommiert –,
          sind die Wege in den Beruf sehr vielfältig. „Es gibt keine klassische Ausbildung. Man muss seinen Weg schon selbst finden“, sagt Thiel. In der Abteilung von Thiel arbeiten Elektroingenieure, Quantenphysiker, Betriebswirte und Absolventen dualer Studiengänge. Sie alle haben schon immer eine besondere Faszination für das Thema Cyber-Security verspürt und in sich in ihrer Freizeit viel selbst beigebracht. Dazu komme ein bestimmter analytischer Blick, sagt Thiel. Es gehe darum, hinter die Kulissen eines Systems zu schauen und überall nach einer Schwachstelle zu bohren.

          Hausinterne Hacker

          Auch Abian Blome landete praktisch zufällig in der IT-Sicherheit. Er studierte Informatik in Karlsruhe und hatte bis dato kein besonderes Interesse an dem Thema. Aber dann gründete ein Freund ein Start-up und fragte ihn, ob er mitmachen wolle. Die beiden waren Werkstudenten bei 1&1 und boten dem Unternehmen an, herauszufinden, wer dessen Server angriff. Dafür legten sie digitale Köder aus, die Sicherheitslücken simulierten, und registrierten den Datenverkehr. So fanden sie Systeme, die bereits gekapert worden waren und von Hackern benutzt wurden, um andere Server anzugreifen. Und sie gaben den Besitzern dieser Systeme – oftmals 1&1-Kunden – Bescheid. Lange Zeit hielt das Start-up nicht, denn es fehlte die Finanzierung. „Ich habe damals aber viel gelernt“, sagt Blome. „Das war die Hauptsache.“

          Inzwischen arbeitet Blome als Senior Key Expert bei Siemens. Siemens ist eines der wenigen Unternehmen, das sich hausinterne Hacker leistet, die Abteilung ist 26 Mann stark. Das ist auch wichtig, betont Florian Martini, Pressesprecher für Forschung und Innovation, „denn Siemens stellt die Technik für viel kritische Infrastruktur, wie Stromversorger, Wasserwerke oder Verkehrssteuerung.“ Zusätzlich müssten die „Golden
          Nuggets“, hochvertrauliche Unterlagen wie Baupläne oder Dokumente zur Unternehmensstrategie, sehr gut geschützt werden.

          Aus den verschiedenen Abteilungen des Unternehmens kommen Anfragen, die Blome mit seinen Kollegen bearbeitet. „Es gilt dann, erst einmal herauszufinden, was der Kunde will. Was macht das Produkt eigentlich, das wir testen sollen? Und was ist das Schlimmste, das ein externer Angreifer erreichen kann?“ Blome und seine Kollegen spielen dann an dem Gerät, Programm oder Netzwerk herum, bis sie es verstanden haben, und suchen nach Schwachstellen. Am Ende stellen sie einen Bericht aus und liefern Verbesserungsvorschläge. „Das ist ein sehr kreativer Prozess“, sagt Blome, denn bei jedem Auftrag geht es von neuem darum, sich in die Struktur des Systems hineinzudenken. Die Arbeit als IT-Security-Techniker ist also entgegen dem Stereotyp vom einsamen Hacker oft Teamarbeit.

          Lebenslanges Lernen durch technischen Wandel

          Der Berufseinstieg selbst war, „wie ins kalte Wasser geworfen zu werden“, erinnert sich Blome. Er bekam zwar einen älteren Kollegen an die Seite gestellt, aber vieles von dem, was er lernte, brachte er sich schlicht selbst bei. „Die Lernkurve am Anfang war enorm hoch“, erzählt er. Überhaupt sei die Arbeit durch den stetigen technischen Wandel lebenslanges Lernen.

          Nach einigen Jahren als Techniker wechseln viele IT-Security-Berufseinsteiger dann ins Management oder in die Beratung. Alexander Thiel hat diesen Schritt schon hinter sich. Nur noch selten macht er Penetrationstests wie Blome. Er hatte Glück und konnte schon in der ersten Woche einen älteren Kollegen auf ein Audit bei einem Unternehmen begleiten. Seitdem berät er immer häufiger Kunden. „Ungefähr ein Drittel meiner Arbeitszeit bin ich unterwegs“, schätzt Thiel, das heißt bei Unternehmen vor Ort. Zusammen mit den Kunden entwickelt er Pläne, wie die Informationen des Unternehmens gesichert werden können. Zuerst wird das Risiko eines Schadens durch Hacker kalkuliert. Dann helfen Thiel und seine Kollegen den Unternehmen dabei, sich selbst Statuten zu setzen: Wie viele Mitarbeiter sollen sich dauerhaft um die IT-Sicherheit kümmern? Wie schult man die Mitarbeiter? Wer bekommt Zugriff zu welchen Informationen?

          Die Kunden sind dabei vor allem Unternehmen der kritischen Infrastruktur – also Stromversorger, Krankenhäuser, Wasserwerke oder Banken. Denn sie müssen, nachdem 2015 das IT-Sicherheitsgesetz in Kraft trat, dem Bundesamt für Sicherheitstechnik (BSI) bis spätestens Mai 2018 berichten, wie gut ihre Systeme gesichert sind. „Wir sind also gerade in einer heißen Phase“, sagt Alexander Thiel. Deshalb sucht Seven Principles auch nach neuen Mitarbeitern.

          Wem Hacken Spaß macht, der ist momentan auf dem Markt sehr gefragt. Der Nachwuchs ist rar: Die „Global Information Security Workforce Study“ prognostiziert, dass in Europa bis 2022 rund 350.000 Fachkräfte in dem Bereich fehlen werden. Und wo eine hohe Nachfrage und ein niedriges Angebot zusammenkommen, lässt sich auch besonders gut verdienen – so gut wie in kaum einem anderen IT-Bereich. Das zeigt eine Umfrage von Compensation Partner, der nach eigenen Angaben führenden Plattform für deutsche Lohn- und Gehaltsdaten. Das Jahresgehalt für Fachkräfte liegt bei 64.000 Euro und damit 16.000 Euro höher als das eines App-Entwicklers. Führungskräfte verdienen im Median fast 110.000 Euro. Die Cyber-Security-Branche boomt eben gewaltig.

          Weitere Themen

          Topmeldungen

          Corona-Tourismus auf Mallorca : Heimweh nach der Insel

          Mallorca ist zum touristischen Testlabor für den Umgang mit der Corona-Pandemie geworden. Vor allem die ausbleibenden Besucher aus Deutschland und Großbritannien bringen die Insel und ihre Bewohner in große Not. Ein Besuch.
          Ehrenpräsident des FC Bayern: Uli Hoeneß

          Uli Hoeneß im Interview : „Fußball wird sich verrückt verändern“

          Im F.A.Z.-Interview erklärt Uli Hoeneß, was er anders als Borussia Dortmund machen würde, dass der FC Bayern keinen Großeinkauf mehr in diesem Jahr wagen wird und warum er einst Maradona nach München holen wollte.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.