https://www.faz.net/-gzg-7hvnq

Freundliche Hacker : Angriff aus der Gegensprechanlage

Bin ich schon drin? Eric Sesterhenn sucht in langen Zahlen- und Buchstabencodes nach Schlupflöchern für Hacker. Bild: Rüchel, Dieter

Hacker können viel Schaden anrichten, wenn sie sich in das Netzwerk eines Betriebs einschleichen. Das gilt vor allem für Kriminelle. Ein Unternehmen aus Weiterstadt will ihnen zuvorkommen.

          3 Min.

          Ein Vorstandsmitglied steigt in der obersten Etage in den Aufzug. Doch anstatt einfach nach unten zu fahren, bewegt sich der Lift immer wieder hinauf und hinunter, die Klimaanlage erhitzt das Gebäude langsam auf 60 Grad und eine Stimme aus der Lautsprecheranlage verkündet, das Spiel erst zu beenden, wenn der Vorstand das eine oder andere Geschäftsgeheimnis ausgeplaudert hat.

          Tim  Kanning

          Redakteur in der Wirtschaft.

          Die Szene ist so freilich nie passiert und klingt auch eher nach Hollywood als nach wirklicher Gefahr. Aber Peter Schill erzählt sie ganz gerne, um mögliche Angriffpunkte auf Unternehmen zu verdeutlichen, an die Sicherheitsleute oft nicht denken. In vielen modernen Bürogebäuden ist inzwischen fast alles miteinander vernetzt, vom Aufzug über die Gegensprechanlage bis zu Telefon und Computer. In solchen Anlagen wird vielfach kein Sicherheitsrisiko vermutet, auf Passwörter und Updates gerne verzichtet. Nur: Wenn ein Hacker an einem dieser Punkte eine Schwachstelle ausmacht, kann er sich mit viel Geduld und Kreativität langsam durch das Haus vorarbeiten.

          Banken und Industrieunternehmen sind Kunden

          Schill ist einer von drei Geschäftsführern der LSE Leading Security Experts GmbH in Weiterstadt. Das Unternehmen, das zwischen Media-Markt, McTrek und Bike-Maxx direkt an der Autobahn 5 sitzt, hat sich auf das Hacken von Unternehmensnetzwerken spezialisiert – allerdings nicht in feindlicher Absicht, sondern im Auftrag der Firmen. Die gut 20 Mitarbeiter von LSE sollen Sicherheitslücken aufspüren, bevor Kriminelle es tun, und sie bestenfalls auch gleich schießen.

          Große Frankfurter Banken gehören zu den Kunden, aber auch viele Industrieunternehmen wollen sichergehen, dass sich niemand in ihre teils voll automatisierten Fabriken einklinken und so in die Produktion eingreifen oder geheime Unterlagen abgreifen kann. Diese freundliche Variante des Hackens heißt offiziell Penetrationstest, kurz Pentest.

          Integrität ist besonders wichtig

          Einer dieser Hacker ist Eric Sesterhenn. Vor zehn Jahren hat er bei LSE angefangen, als er noch an der TU Darmstadt studiert hat. Schon als Kind hat er am 286-Computer erste Programme erstellt: ein Auto, das von links nach rechts über den Bildschirm fährt. Dann fing er an, Viren und Trojaner zu entwickeln, „aus Neugier, ob ich Viren schreiben kann, die vom Schutzprogramm nicht erkannt werden“. Schaden wollte er damit nach eigener Aussage aber niemandem. „So viel kaputt machen wie möglich, kann jeder“, findet er.

          Solche Integrität ist ganz wichtig. Schließlich lassen die Mandanten die LSE-Hacker auf die Heiligtümer des Unternehmens zugreifen, auf Strategiepläne, Verträge und Patente, die auf gar keinen Fall an die Außenwelt, zur Konkurrenz oder zu Geschäftspartnern, gelangen sollen.

          Schritt für Schritt ins fremde Netz

          „Wir brauchen Mitarbeiter, die eine wissenschaftliche Neugier haben, den Dingen auf den Grund zu gehen und die moralisch so gefestigt sind, dass sie nicht kriminell werden“, sagt Schill. Wer bei LSE anfangen will, muss ein tadelloses polizeiliches Führungszeugnis vorlegen können. In viele Unternehmen dürfen die Hacker aus Weiterstadt gar keine eigenen Geräte mitbringen. Handys müssen sie abgeben, die Computer stellt der Mandant.

          Wenn Sesterhenn versucht, in ein Firmennetzwerk einzudringen, arbeitet er sich Schritt für Schritt voran. Ein guter Angriffspunkt ist ein Sucheingabefeld auf der Firmenhomepage. Wenn er dort etwas ganz anderes eingibt, als das System erwartet, kann er aus der Reaktion des Systems Rückschlüsse ziehen und sich daran weiter in das Netzwerk vorarbeiten. „Wir kochen Würstchen mit der Kaffeemaschine“, versucht er die komplexe Fehlersuche in den Programmiercodes plastisch darzustellen. „Das kann man machen, sollte man aber nicht, wenn man will, dass die Kaffeemaschine weiter funktioniert.“

          Prism und Co. schärften das Bewusstsein

          Gegründet wurde LSE im Jahr 2002 von Oliver Michel, der heute gemeinsam mit Sven Walther und Peter Schill die Geschäftsführung bildet. Erst hat das Unternehmen nur die Pentests angeboten. Um weniger davon abhängig zu sein, wie viele Mitarbeiter gerade zur Verfügung stehen, und stabilere Umsätze zu haben, hat sich LSE jedoch ein zweites Geschäftsfeld aufgebaut und verkauft spezielle Passwortgeneratoren, die die Sicherheit von Firmennetzwerken erhöhen sollen.

          Gute Hacker sind gefragte Leute. Sesterhenn berichtet von einem wachsenden „Markt für Sicherheitslücken“, auf dem Kriminelle wie auch Geheimdienste sich tummelten. Weil auf der anderen Seite aber auch in den Unternehmen das Bewusstsein für Gefahren aus dem Netz steige, entwickle sich auch der Markt für Pentests langsam, berichtet Schill. „Es gibt bei den Unternehmen aber noch eine Schere zwischen den Vorstellungen, wie schnell und gründlich ein Pentest ablaufen soll und wie viel das kosten darf“, sagt Schill. Doch Diskussionen wie die um das Ausspähprogramm Prism schärften in den Unternehmen das Bewusstsein für sichere IT-Systeme, glaubt Schill. Für 2014 geht er daher davon aus, dass mehr Unternehmen Budgets für Sicherheitstests zurückstellen werden als zuletzt.

          Anders als bei vielen anderen Beratungsunternehmen haben die Kunden von LSE nach Aussage von Schill nichts davon, gute Mitarbeiter von ihm abzuwerben. Denn wichtig seien nicht nur deren Fähigkeiten beim Hacken, Gleiches gelte auch ihre Unabhängigkeit. Denn wer erst einmal zu der IT-Abteilung eines Unternehmens gehört, dürfte schließlich versuchen, dass eigene Netzwerk gegenüber den Vorgesetzten als weitgehend sicher darzustellen.

          Weitere Themen

          Frankfurt will um IAA kämpfen

          Neue Vergabekriterien : Frankfurt will um IAA kämpfen

          Der Automobilverband will mit einer Ausschreibung klären, wo die IAA in Zukunft stattfinden soll. Die Bewerberstädte sollen ein neues Konzept für die Automesse entwickeln.

          Andacht und Radau

          Georg Ringsgwandl : Andacht und Radau

          Liedermacher und Kabarettist Georg Ringsgwandl kommt in die Alte Oper nach Frankfurt. Im Rheingau hat er für sein Album „Andacht und Radau“ einige seiner bekannten Lieder zum ersten Mal aufgenommen.

          Topmeldungen

          Darf´s ein bisschen mehr sein? Wenn es nach ARD und ZDF geht, gilt das für den Rundfunkbeitrag immer.

          Gutachten zu Finanzen : Gehälter bei ARD und ZDF sind zu hoch

          Die Finanzkommission Kef schlägt vor, wie hoch der Rundfunkbeitrag sein soll. Sie prüft, wofür die Öffentlich-Rechtlichen Geld ausgeben. Jetzt stellt die Kommission fest, die Gehälter bei ARD und ZDF seien zu hoch. Besonders bei einigen Sendern.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.