Keine Chance gegen Hacker?

Hack mich, wenn du kannst!

IT-Sicherheit ist für jedes Unternehmen eine große Herausforderung. Doch was schützt wirklich? Wie findet man Schwachstellen im eigenen System? Ein Überblick.





(Aristoteles)

/ Im Februar 2016 schrieben die Ärzte des Lukaskrankenhauses in Neuss für einige Tage ihre Befunde auf Papier, statt sie in ihre Computer einzugeben. Wenn sie denn überhaupt arbeiteten – einige schickten ihre Patienten auch nach Hause. Der Grund dafür war kein Streik, sondern die Sperrung der hauseigenen IT, verursacht durch einen Trojaner, also einem als E-Mail-Anhang getarnten Computerprogramm, der sämtliche Dateien auf den Rechnern des Netzwerkes sperrte. Erpresser hatten die Software an Firmen und Institutionen weltweit verschickt und forderten Lösegeld für die Freigabe der Daten. Das Lukaskrankenhaus reagierte schnell und investierte das gesamte IT-Budget, das eigentlich schon für andere Projekte eingeplant worden war, in die IT-Sicherheit: 897.000 Euro.

Angriffe wie diese sind inzwischen an der Tagesordnung. Am bekanntesten wurde in den vergangenen Jahren der Erpresser-Virus Wannacry, der Hundertausende Rechner in 150 Ländern befiel und Schätzungen zufolge einen weltweiten Schaden von vier bis acht Milliarden Dollar verursacht haben soll. Doch solche Angriffe kommen nicht nur von Kriminellen: Politische Gruppen dringen in Computer von Unternehmen ein, die sie als Gegner betrachten. Wettbewerber spähen Betriebsgeheimnisse ihrer Konkurrenz aus. Und manchmal ziehen Hacker einfach nur durch fremde Netze, um zu beweisen, dass sie es können.

Kein Wunder, dass Cybersicherheit in den Unternehmen mittlerweile ein Top-Thema ist. Der Markt boomt – diverse Produkte und Angebote sollen Unternehmen vor Gefahren schützen. Doch nicht alles ist hilfreich. Die Ergebnisse von Schwachstellen-Scannern zum Beispiel, die Unternehmens- Netzwerke automatisch durchchecken, oder von einem Asset-Management, das überprüft, wie viele Server eine Firma überhaupt betreibt und wie viele Smartphones sie ihren Mitarbeitern ausgehändigt hat, helfen wenig, wenn die Leute fehlen, die mit den Ergebnissen etwas anfangen können. Wir haben vier Experten um Rat gefragt.

Thorsten Schröder, 42, und Max Moser, 46, würden solche Gespräche am liebsten führen, bevor ein Unternehmen auch nur ein erstes Kabel verlegt oder eine erste Zeile Code geschrieben hat. Ihr Unternehmen Modzero bietet eine strategische Beratung für IT-Sicherheit an, die selbstverständlich am wirksamsten ist, wenn sie beim Nullpunkt anfängt. Schröder und Moser nennen vier Themen, mit denen sich alle Unternehmen beschäftigen müssen.

Diese Frage empfiehlt sich vor allem zu Anfang, also in der Phase, in der, wie Thorsten Schröder sagt, „das Kind noch nicht in den Brunnen gefallen ist“. Es ist für ihn die Phase, in der es sich lohnt, in aller Ruhe zu überlegen, was man eigentlich erreichen will. „Wir reden in dieser Zeit mit den Kunden darüber, wie sie was schützen wollen“, sagt Moser. Bei einem Hersteller von Medizingeräten etwa komme es darauf an, dass die Daten nicht manipuliert werden – Messwerten muss man glauben können. Dagegen muss ein Start-up, das persönliche Daten nutzt, vor allem darauf achten, diese gut zu schützen, also zu verschlüsseln. Jedes Unternehmen hat vollkommen unterschiedliche Anforderungen und Sorgen, die es zu berücksichtigen gilt.

Was das kostet:
Modzero benötigt für eine Beratung fünf bis vierzig Personentage, die pro Tag 1600 Euro kosten.

Es gibt Hacker, vor denen man sich nicht schützen muss. Erstens wäre es zu teuer, zweitens aber auch vermessen zu glauben, dass sie einen ausspionieren werden. Der amerikanische Geheimdienst NSA beispielsweise hat in der Regel Besseres zu tun, als E-Mails des deutschen Mittelstands zu lesen. Es hilft, realistisch zu bleiben. IT-Sicherheitsexperten haben dafür das Konzept des „Threat Modeling“ entwickelt, das oft auf drei Fragen basiert: Was will man schützen? Vor wem? Und für wie lange?

Dabei wird auch geklärt, welche Risiken akzeptabel sind. Um bei der NSA zu bleiben: Wer sich vor ihren Hackern schützen will, kann seinen gesamten Umsatz in die IT-Sicherheit pumpen und wird dennoch chancenlos sein. Wer hingegen weiß, dass eine bestimmte Hackergruppe gezielt Hidden Champions ins Visier nimmt, kann seine Abwehr auf genau diese Gruppe ausrichten.

Als Beispiel nennt Moser einen Hersteller von Bankautomaten, der glaubt, dass der Automat sicher ist, weil er sich in einem Blechkasten befindet. Doch der Bankautomat hat einen Lüftungsschlitz, und dahinter steckt ein PC mit einer USB-Schnittstelle. „Das Szenario ist nicht ganz realistisch“, sagt Moser, aber Kunden seien eben zu sehr auf ihre Arbeit fokussiert, da würden Sicherheitsprobleme übersehen. „Sie schauen auf das Blech – und wir auf die Rillen dazwischen.“

Manchmal kann es sich lohnen, eine Sicherheitssoftware in Eigenregie zu schreiben. Vielleicht gibt es aber auch Anbieter, die exakt das Produkt anbieten, nach dem man sucht. „In diesem Fall kann es allerdings angeraten sein, das Modul zu prüfen“, sagt Schröder.

Und schließlich geht es darum, das gesamte Design eines Codes, den man entwickelt hat und benutzen will, zu durchdenken, aufzuschreiben „und dann durch die Security-Brille“ anzuschauen, sagt Schröder. IT-Sicherheitsexperten nennen das eine Code Review. Ein bekanntes Beispiel für einen schlechten Code ist PC-Wahl, eine Software, die bei der Bundestagswahl in Deutschland eingesetzt wurde. „Die Demokratie an sich steht auf dem Spiel“, schrieb die Wochenzeitung Die Zeit drei Wochen vor der Wahl, als es einem Informatiker und Hackern des Chaos Computer Club gelang, Lücken in der Software zu finden, die es möglich gemacht hätten, Wahldaten zu manipulieren.

Der Hersteller wusste, dass sein Software- Design ein Risiko barg, glaubte allerdings, es verringert zu haben dank eines eigenen Algorithmus, der die Informationen verschlüsselte. In einem Interview in der Zeitung sagte er sogar: „Da braucht es schon viel Gehirnschmalz, um den zu knacken.“ Thorsten Schröder sieht das anders, er sagt: „Der Code war stümperhaft.“ Eine Code Review hätte so etwas verhindern können.

Wer sich mit dem Thema beschäftigt, merkt bald: IT-Sicherheit ist kein Ziel, sondern ein Prozess mit vielen verschiedenen Aufgaben, die unterschiedliche Dienstleister erledigen können. So wie zum Beispiel die IT-Sicherheitsfirma Syss, 120 Mitarbeiter, zu deren Kunden unter anderem Daimler und die Deutsche Bahn zählen. Syss bietet vor allem sogenanntes Penetration Testing – Pentests – an. Dabei erlaubt der Auftraggeber den Hackern des Dienstleisters, in sein Unternehmensnetz einzudringen. Das Motto: Hackt uns, wenn ihr könnt. Der 47-jährige Tübinger Sebastian Schreiber, der Syss leitet, weiß aus Erfahrung: Oft genug können sie es tatsächlich.

Herr Schreiber, was ist Penetration Testing?

Wir verstehen darunter eine simulierte Cyber-Attacke, bei der wir herausfinden, ob ein Unternehmen angreifbar ist und wenn ja, wo dessen Schwächen liegen. Beim Pentesting finden wir heraus, was geht. Anschließend erhält der Kunde einen Maßnahmenkatalog, den er umsetzen kann.

Wie gehen Ihre Mitarbeiter dabei vor?

In der Regel geben unsere Kunden die Szenarien vor. Wir haben spezialisierte Teams: Mal stürzen wir uns auf das WLAN, mal auf die Web-App. Unser Windows-Team zum Beispiel besteht aus sechs Mitarbeitern, deren Wissen sehr speziell ist, die zusammen also unglaublich viele Angriffswege kennen und finden.

Für welche Unternehmen kommt Penetration Testing infrage?

Für jedes. Nehmen Sie ein kleines Start-up: Da ist es sinnvoll, eine Reihe von kleinen Tests durchzuführen. Im ersten Quartal testen wir die Smartphones, danach die Laptops, im nächsten das Unternehmensnetz, anschließend die eingesetzte SAP-Software. So arbeiten wir uns voran.

Seit Jahren investieren Unternehmen immer mehr Geld in die IT-Sicherheit. Sorgen Sie sich, dass Sie bald keine Schwachstellen mehr finden werden?

Nein. Im Gegenteil. Ich stelle derzeit wie verrückt Mitarbeiter ein.

Was das kostet:
Pentests dauern zwischen sechs und zehn Per- sonentage, der Tagessatz liegt –je nach Unternehmen und Auftragsgröße – zwischen 1000 und 1800 Euro.

Was das kostet:
Für ein Red Teaming sind bei einem Anbieter wie Nside Attack Logic 50 Personentage bei einem Tagessatz von 1500 Euro das Minimum.

Doch selbst wenn es gelingt, alles abzusichern, bleibt ein nicht zu unterschätzendes Sicherheitsrisiko: die eigenen Mitarbeiter. Um die aus der Reserve zu locken, kann man ein Red Teaming buchen. Der Name stammt von den angreifenden Gruppen, den Red Teams, deren Aufgabe es ist, Sicherheitslücken aufzuspüren. Die dafür einzusetzenden Mittel werden vorher mit Eingeweihten im Unternehmen abgesprochen.

So kann es zum Beispiel sein, dass Menschen wie Sascha Herzog, 39, Trojaner auf USB-Sticks platzieren und die auf dem Firmenparkplatz oder bei einer Weihnachtsfeier fallen lassen. Irgendwer wird sie schon finden, in einen Unternehmensrechner stecken und es so den Hackern ermöglichen, auf das Netzwerk zuzugreifen.

Herzog leitet die Firma Nside Attack Logic, zu deren Kunden nach eigenen Angaben acht Dax- 30-Konzerne zählen. Er sagt, die Methode werde meist in Organisationen mit starren Strukturen und eingefahrenen Prozessen eingesetzt. Weil der Aufwand groß ist, lohnt sie eher für Unternehmen mit mindestens 200 Mitarbeitern. Kleineren Firmen empfiehlt Herzog Pentests.

„Die ersten Wochen verbringen wir damit, unsere Kunden auszukundschaften. Da geht es nicht nur um konkrete Sicherheitslücken, sondern auch um allgemeine Informationen, die uns weiterbringen können. Am Ende, wenn wir richtig loslegen, verschicken wir entweder passgenaue Spear-Phishing- Mails, etwa an die Assistentin des Geschäftsführers, von der wir wissen, dass sie unter Termindruck steht, oder harren auf dem WC einer Behörde aus und lassen uns einsperren. Wenn wir allein im Gebäude sind, schließen wir einen Mini-Computer an einem Rechner an, bevor wir wieder verschwinden. Darüber können wir uns dann jederzeit in das Firmennetz einklinken.

Was ich sagen will: Beim Pentest werden klar abgegrenzte Bereiche meist in einer Testumgebung geprüft. Wie sicher ist ein Netzwerkbereich, wie sicher ist eine App und so weiter. Beim Red Teaming zählt vor allem das Triumvirat Mensch, Prozess, Technik – und die Fehler in dieser Kette. Ein Beispiel: Wir arbeiten für einen Hersteller, der sehr viele Fotovoltaik-Anlagen betreibt und Wechselrichter verwendet, die aus Gleichstrom Wechselstrom machen. Weil diese Wechselrichter an das Internet angeschlossen sind, kann man von extern auf sie zugreifen, etwa um sie zu warten.

Wollen wir dem gesamten Stromnetz Probleme bereiten, müssen wir versuchen, die Wechselrichter zu manipulieren. Bei einem Pentest würde man versuchen, Schwachstellen in der Firmware zu finden, also jenem Programm, das die Wechselrichter steuert, oder die im Internet erreichbaren Systeme des Betreibers scannen. Dazu könnte man zum Beispiel in den Entwicklungsbereich der Firma eindringen, die diese Wechselrichter herstellt und von dort auf die relevanten Quellcodes der Geräte zugreifen. Das ist ein Bereich, der bei einem Pentest gar nicht auffiele, denn der deckt nur die Schwachstellen eines Systems ab, nicht aber, wie man sich einen Zugang zu ihm verschafft.

Wir arbeiten in Live-Umgebungen, das heißt, unter realen Bedingungen. Deshalb besprechen wir unser Vorgehen vorher mit einem kleinen Kreis im Unternehmen des Kunden. Dabei wird festgelegt, was das Ziel ist, aber auch, was nicht erlaubt ist. Während des Red Teamings halten wir unsere Kontaktperson stets auf dem Laufenden, wodurch gewisse Vorgehensweisen ausgeschlossen werden können. Das spart uns Arbeit und dem Auftraggeber Geld, bietet aber vor allem Sicherheit für die kritischen Umgebungen, in denen wir arbeiten.

Einmal haben wir uns bei einem Kunden ins Gebäude geschlichen. Drei Tage waren wir dort, wir haben auch Fotos im Vorstandsbüro gemacht. Dann haben wir einen Mini-Funk-Rechner an einen Drucker angeschlossen – an einem Freitag haben wir ihn eingesteckt, am folgenden Montag wurde er schon von Mitarbeitern entdeckt. Ich glaube, das ist der wichtigste Unterschied zwischen echten Hackern und uns: Die hätten wohl auch am Wochenende gearbeitet. Und genau solche Erkenntnisse sind für den Kunden viel wert.“

Konzerne, die es noch realistischer haben wollen, rufen Bug-Bounty-Programme aus. Auch hier wird Geld für das Auffinden von Schwachstellen gezahlt, doch es gibt einen Unterschied: Der Auftraggeber kennt den Hacker nicht. Das System erinnert an die Kopfgeldjäger im Wilden Westen, die Bounty Hunter, die für eine Prämie Kriminelle aus dem Verkehr zogen, tot oder lebendig. Digitale Kopfgeldjäger suchen Bugs, Schwachstellen, für die sie nach Relevanz bezahlt werden: je größer die Sicherheitslücke, desto mehr Geld gibt es. Solche Programme laufen in der Regel ständig, unter anderen werden sie von Paypal, Tesla, Uber, SAP und auch der EU-Kommission eingesetzt.

Patrik Fehrenbach ist ein Kopfgeldjäger. In nur einem Monat verdiente er damit rund 19 000 Euro und konnte sich endlich den erträumten VW-Bus kaufen. Die Auftraggeber, sagt Fehrenbach, legen vorher fest, welche Schwachstellen für sie relevant sind – dann darf sich jeder Hacker daran probieren. Es ginge vor allem um echten „Impact“, also um Schwachstellen, die kritische bis verheerende Folgen haben können: der unerlaubte Zugriff auf Datenbanken, das Auslesen von Passwörtern – diese Liga. Die Konzentration auf realistische Szenarios unterscheide Bug Bountys von anderen Tests, erklärt Fehrenbach. „Oft wird auf Schwachstellen hingewiesen, die nur unter wildesten Bedingungen ein Problem sein können, wenn überhaupt.“

Einen weiteren Vorteil sieht er in der kontinuierlichen Abdeckung: Heutzutage würden Konzerne viele Hundert Server betreiben, ständig Updates machen oder neue Programme nutzen. Menschen aber machten nun mal Fehler, auch beim Programmieren. „Ein Pentest deckt nur eine Woche ab oder einen Monat“, sagt Fehrenbach. Im laufenden Betrieb aber können ständig Fehler passieren. Deshalb laufen Bug Bountys ununterbrochen.

Als Fehrenbach begann, nach Sicherheitslücken zu suchen, war es für ihn nur ein Nebenjob. Inzwischen hat er seinen Bus und überlegt, unterwegs zu arbeiten. Ob er am Schreibtisch Sicherheitslücken sucht oder während er an einem See sitzt, ist schließlich egal – Hauptsache, er hat Internet. Die Arbeit wird ihm kaum ausgehen: Ein Unternehmen ohne Probleme mit IT-Sicherheit ist so unrealistisch wie eine Welt ohne Hacker. //

Was das kostet:Die Höhe der Prämie, die Firmen für das Finden einer Sicherheitslücke zahlen, ist Verhandlungssache: Meistens liegt sie bei mehreren Tausend Dollar, je nach Schwere des Fehlers kann sie jedoch auch sechsstellig sein.

brandeins /thema ist das Heft, das Branchen und Trends auf den Grund geht, Märkte und Dienstleistungen transparent macht – und Unternehmern hilft, besser zu wirtschaften.

Zur interaktiven Karte und Bestenliste

Einzelausgabe kaufen
Abonnement kaufen