Computerviren, Spyware,
„Trojaner“ und andere Infektionen aus den Weiten des Internets
verursachen jährlich immens hohe wirtschaftliche Schäden (in
Deutschland etwa sechzig Milliarden Euro), oftmals begleitet von
einem ruinösen Imageverlust für die Betroffenen. Fast jeder zweite
Computer weltweit wurde schon einmal mit Hilfe von Schadsoftware
angegriffen. Cyberkriminalität ist zu einem echten Wirtschaftszweig
geworden, in dem weltweit mehr Umsatz gemacht wird als auf dem
Drogenmarkt. Ein Beispiel ist der spektakuläre Cyber-Angriff mit dem
Schadprogramm „WannaCry“, bei dem im Mai 2017 über 230.000
Computer in 150 Ländern infiziert wurden, um Lösegeld zu fordern
(und zu kassieren). Dass diese Attacke so „erfolgreich“ verlief,
war vor allem extrem fahrlässigem Handeln geschuldet. Denn die
„Opfer“ hatten ein Sicherheits-Patch der Firma Microsoft nicht
eingespielt, so dass die Angriffe ungehindert durch die bestehenden
Schwachstellen eindringen konnten. Neben der Anzahl der Attacken
steigt auch die Zahl der bekannten Varianten von Schadsoftware
(Malware). Laut Bundesamt für Sicherheit und Informationstechnik
existierten im August 2016 mehr als 560 Millionen Schadprogramme. Das
stellt ein riesiges Problem sowohl für private Anwender als auch für
die Informationstechnik (IT) in Unternehmen dar. Wegen hoher Kosten
und hohem Zeitaufwand, oder weil schlichtweg zu wenig Personal zur
Verfügung steht, nehmen viele Unternehmen das Risiko eines Angriffs
in Kauf und schützen sich nur unzureichend. Ein Aufrüsten erfolgt
erst, wenn das Unternehmen selber von einem Hackerangriff betroffen
war oder nach Bekanntwerden von großflächigen Cyber-Attacken. Dann
kommen die IT-Sicherheitsunternehmen ins Spiel - gemäß einer
branchenspezifischen Suche gibt es in Deutschland derzeit mehr als
1.200.
In Koblenz bietet diesbezüglich
zum Beispiel der Computersicherheitsdienst „ProSec Networks“
seine Dienste an. Das Team überprüft Rechner, Server, Netze und
Datendienste auf Sicherheitslücken, erarbeitet Schutzkonzepte und
führt Schulungen und Beratung zum Thema IT-Sicherheit durch. Bei
einem Interviewtermin raten Tim Schughart (Geschäftsführer) und
Immanuel Bär (stellvertretender Geschäftsführer) zu proaktivem
Handeln, um immense Schäden durch Betriebsausfälle oder
Datenverlust zu vermeiden. Sie und ihre vier Mitarbeiter kommen
ursprünglich aus der Hacker-Szene. Was motiviert einen Hacker, in
Systeme von Unternehmen einzudringen? Mal sei es die sportliche
Herausforderung, mal die Befriedigung von Rachegelüsten, aber in der
Mehrzahl werde es schlichtweg als leichte Einnahmequelle betrachtet.
Hacken ist allerdings kein Freizeitsport. Gemäß Strafgesetzbuch ist
seit 1986 Computersabotage und die unbefugte Manipulation von Daten
als spezielle Form der Sachbeschädigung zu ahnden. Um die
Illegalität zu verlassen, setzen Schughart und Bär, schon seit
frühester Jugend leidenschaftliche „IT-ler“, ihr mit den Jahren
der Berufserfahrung und durch immer wieder neu auftretende
Sicherheitsprobleme erlangtes Experten-Wissen jetzt im eigenen
Unternehmen als „Berufs-Hacker“ ein. Als sogenannte „White-Hats“
arbeiten sie „an der Achillessehne“ von Unternehmen und haben
sich deshalb Ethik und Verantwortung auf die Fahne geschrieben. Als
leidenschaftlicher „Gray-Hat-Hacker“, wie sich Schughart
bezeichnet, strebt er ungebunden an Auftäge an, Sicherheitslücken
aufzuspüren - allein um die Aufmerksamkeit auf die Lücken zu lenken
und den Handlungsbedarf aufzuzeigen. Leider, so Schughart, werden
diese Hinweise oft genug ignoriert. Im Unterschied dazu sind die
„Black-Hats“ mit krimineller Energie unterwegs, um Zielsysteme zu
beschädigen oder Daten zu stehlen. Finanziell sei das wohl
lukrativer, sagt Schughart, denn mit einem einzigen Angriff sei
durchaus eine Million Euro Umsatz zu generieren. Demgegenüber stehe
die Bezahlung nach Stundensatz in keinem Verhältnis. Trotzdem haben
sich die beiden, die sich über ihren letzten Arbeitgeber, die
Debeka-Versicherungsgruppe, kennenlernten, dafür entschieden, das
Hacken als Auftragsgeschäft legal zu betreiben. Sie bedauern, dass
es der großen Zahl der leidenschaftlichen Hacker in der Region nicht
möglich ist, ihr Hobby zum Beruf zu machen, indem sie einen
entsprechenden Ausbildungsgang an Universitäten und Hochschulen
belegen, wie er an der Ruhr-Universität in Bochum bereits angeboten
wird. Deshalb arbeiten sie jetzt an der Entwicklung eines solchen
Studiengangs mit Hacker-Praktikum. Das
Engagement
von ProSec in Sachen Ausbildung richtet sich nicht nur an
leidenschaftliche Hacker, sondern auch an die Manager von morgen. Ein
erster Schritt auf dem Weg ist eine Kooperation mit dem IHK-Lehrstuhl
für kleine und mittlere Unternehmen an der „WHU – Otto Beisheim
School of Management“. Im Rahmen von Gastvorträgen soll hier den
Managern von morgen das Thema IT-Sicherheit als Teil der
Unternehmensstrategie „unter das Lehrfutter gemischt“ werden
ProSec, zu dessen Kunden
Industrie-Unternehmen, Unternehmen aus der Finanzbranche, der
Automobil-Industrie und sogar Regierungen, aber auch Hersteller von
Sicherheitssoftware und kleinere Handwerksbetriebe zählen, bietet
zudem in Schulen und Universitäten Trainingseinheiten an, mit denen
das Bewusstsein der Anwender für Cyber-Gefährdungen geschärft
werden soll. Das Wissen darum müsse allerdings reflektiert genutzt
werden. Es gelte, die Gewichtung der Risiken auszuloten und
Risikoakzeptanzen zu schaffen, denn eine hundertprozentige Sicherheit
gibt es nicht, sagt Bär, der mehr den Faktor Mensch im Visier hat,
wenn es um IT-Sicherheit geht. „Social Engineering“ ist sein
Thema. Die Wissenschaft beschäftigt sich mit den vielfältigen
Techniken und Methoden, die der Täuschung und Manipulation durch
Kommunikation dienen.
Wie man
sich am besten schützt vor Cyber-Kriminalität, hänge letztlich von
den Anwendern ab. Es müsse ein Sicherheitskonzept gefunden werden,
das optimal auf ihren Umgang mit der Informationstechnik abgestimmt
ist. Das gelte gleichermaßen für Unternehmen wie für private
Anwender. Die Kombination aus einer guten Sicherheitssoftware, einer
intelligenten Firewall und der regelmäßigen Installation von
Software-Updates ist angeraten. Man müsse sich bewusst machen, dass
letztlich jede Schnittstelle als Angriffsvektor von Hackern genutzt
werden kann, sagt Schughart. Das kann das Mobilfunknetz genau so
betreffen wie Funkverbindungen, zum Beispiel zur Autotür. Eines aber
ist ganz sicher: Der Erfindungsreichtum der Cyber-Kriminellen wird
den IT-Sicherheitsfirmen dauerhaft gut gefüllte Auftragsbücher
bescheren.
Keine Kommentare:
Kommentar veröffentlichen