102

Partner im virtuellen Kampf gegen die Hacker

Organisierter Datenklau entwickelt sich zum Hauptproblem der digitalen Gesellschaft. TÜV SÜD zeigt Unternehmen, wie sie im Abwehrkampf besser werden

Dank TÜV SÜD werden Hacker aus Computersystemen ferngehalten.
Video: TÜV SÜD

Datenkraken, NSA-Affäre, Wikileaks, Phishing – die Krisen-Schlagwörter lösen einander in immer schnellerer Folge ab. Das Generalthema bleibt: Wie sichern wir unsere Daten? TÜV SÜD bearbeitet dieses Geschäftsfeld mit neuen Ansätzen.

Ein paar kryptische Befehle auf der Tastatur, einige Klicks mit der Maus, und er ist drin: Nur Sekunden vergehen, dann hat der junge Mann vor dem Computermonitor den passwortgeschützten Bereich des Netzwerks geknackt. Sein Zugang: ein Programmierfehler auf der Internetseite des Unternehmens – eine Datenbank, auf die auch Kunden zugreifen können, war nur unzureichend abgesichert. Die aktuelle Strategie, der Bauplan der neu entwickelten Maschine, jede Menge Kunden- und Personaldaten. Schnell sind sie aus dem Firmennetzwerk kopiert.

Ein Horrorszenario für jedes Unternehmen. Angeblich muss allein das Unternehmen SAP rund 3.000 Angriffe im Monat abwehren, berichtete das Nachrichtenmagazin Spiegel. Deutschlandweit, gehe die Zahl der täglichen Attacken in die Hunderttausende. Prominentes Beispiel der jüngeren Vergangenheit: die Aktivitäten des US-Auslandsgeheimdienstes NSA, dem explizit Wirtschaftsspionage auch gegen Deutschland vorgeworfen wird.  

In seinem Büro in der Münchener Ridlerstraße versucht Marcel Mangel sich gerade als ein solcher Spion. Er will das Sicherheitssystem eines Anbieters von Gartenzubehör aushebeln. Durch einen sogenannten Port-Scan prüft er, wo die Webseite des Unternehmens Schnittstellen nach Außen besitzt – und wie diese abgesichert sind. „Diese Ports sind wie die Fenster eines Hauses“, erläutert Mangel. „Die meisten sind vergittert oder verschlossen. Manchmal vergisst der Hausherr aber, ein Fenster zu schließen.“

Marcel Mangel verdient sein Geld als Hacker – und das vollkommen legal. Er ist IT-Experte bei TÜV SÜD. Seine Auftraggeber: Unternehmen – vom kleinen Webshop bis zum globalen Konzern – die wissen möchten, ob sie ihren Internetseiten, ihren Datenbanken oder ihrer gesamten IT-Infrastruktur vertrauen können.

In ein fremdes System einzudringen, ist dabei manchmal einfacher, als viele denken: Auf der untersuchten Seite klickt Mangel das Suchfeld an. Eigentlich sollen die Kunden hier Produkte recherchieren. Mangel gibt stattdessen einen Code ein: einen Befehl an die Datenbank, ihm einen kompletten Zugang zu erlauben. Sein Pech für heute: Die Seite blockiert – Angriff abgewehrt.  

Diesen Blick des Angreifers nimmt TÜV SÜD seit rund 15 Jahren ein: Als 1999 – mitten in der ersten Welle der New Economy – immer mehr Geschäft im Internet abgewickelt wurde, begann auch TÜV SÜD, sich mit dem Thema zu beschäftigen. Ein Team um Rainer Seidlitz entwickelte damals erste Prüfprogramme. „Am Anfang stand die Datensicherheit klar im Vordergrund, also beispielsweise die Frage, ob die Web-Shops immer verfügbar sind oder dass eingegebene Daten korrekt verarbeitet werden“, erzählt Seidlitz. Aber auch der Datenschutz, also die Frage, wie sicher Kundendaten oder Zahlungsvorgänge sind, war damals schon Teil der Zertifizierung. Das Ergebnis: Die Prüfungen rund um das Internet-Siegel s@fershopping.

„Auch bei s@fershopping waren immer schon kleine Pen-Tests enthalten“, erläutert Seidlitz. Diese "Penetration-Tests" sind Sicherheitschecks einzelner Rechner oder ganzer IT-Systeme, ob Hacker eingedrungen sind. Als eigenständiges Produkt existieren sie seit 2007. Rund 300 Tests mit einer durchschnittlichen Dauer von drei bis fünf Tagen führt das kleine Team aus zwei Mitarbeitern und einem Netzwerk von Externen seither durch. Tendenz steigend. Vor allem Unternehmen mit maximal tausend Mitarbeitern, die sich oft keine hochspezialisierten IT-Abteilungen leisten, gehören zu den Kunden. Von Pharmafirmen über Handelsunternehmen bis zu Banken lassen die unterschiedlichsten Branchen Pen-Tests durchführen.

Wie diese Tests aussehen, bestimmt dabei der Kunde. Meistens kommt der Auftrag direkt von der IT-Abteilung, die nach einem Vorfall Informationen über bestimmte Systeme haben möchte. „Es kommt aber auch vor, dass wir direkt im Auftrag von Geschäftsführungen – ohne Wissen der Unternehmens-IT – arbeiten“, sagt Seidlitz.

Am Ende bekommt der Kunde etwas, das für TÜV SÜD eigentlich untypisch ist: Kein Zertifikat mit Prüfsiegel, keine Bescheinigung „und schon gar kein Unbedenklichkeitszertifikat“, so Seidlitz. Aber einen detaillierten Überblick über mögliche Schwachstellen in Programmierungen, ganzen IT-Systeme oder Prozessen. Und Hinweise, wie diese behoben werden können.

In seinem Büro in München klatscht Marcel Mangel in die Hände. Es hat geklappt! Die veraltete Version einer Standardsoftware, über die das Kontaktformular läuft, hat unter dem Angriff eines Exploits nachgegeben. Mangel könnte jetzt die Datenbank mit Namen und Kontaktadressen von tausenden Kunden durchforsten. Er beschränkt sich aber darauf, seinen Erfolg mit Screenshots für den Kunden zu dokumentieren. Und ihm mitzuteilen, dass er dringend einige Fenster seines Hauses schließen sollte.