Es war kinderleicht und ging ganz schnell: Kaum hatte Claus Overbeck ein paar Sonderzeichen ins Formularfeld der Nutzerregistrierung eingegeben, erschienen Dutzende fremder Kundendaten auf seinem Bildschirm.
Ein paar Handgriffe später war er mitten drin in der Datenbank des Online-Händlers und hätte nach Herzenslust bestellen können – für Hunderte Euro.
Aktionen wie diese sind für Overbeck Routine. Der 31-Jährige könnte regelmäßig Bankkonten im Internet plündern oder mit gestohlenen Kreditkartendaten in Online-Shops einkaufen, Web-Server lahmlegen, Datenbanken ausschnüffeln oder Internet-Seiten manipulieren:
Der IT-Spezialist lässt keine Gelegenheit aus, Banken, Versicherungen, Einzelhändlern oder Energieversorgern die Schwachstellen ihrer elektronischen Datenverwaltung vorzuführen.
Overbeck verdient so seinen Lebensunterhalt, elektronische Spionage und Sabotage sind sein Beruf. Overbeck ist ein sogenannter Pentester – ein professioneller Hacker. Und einer von drei Geschäftsführern des Aachener Unternehmens RedTeam Pentesting.
Einbruch auf Anfrage
Das zehnköpfige Team hat die Lizenz zum virtuellen Einbruch. Und dringt, ausgestattet mit offiziellem Auftrag, in die Netzwerke seiner Kunden ein, um Sicherheitslücken aufzuzeigen. Rund 60 Firmen bieten in Deutschland solche simulierten Hacker-Angriffe an. „Die Nachfrage steigt“, sagt Overbeck.
Reden will zwar keiner seiner Kunden über die erschreckenden Ergebnisse. „Aber wir haben noch nie einen Test gemacht“, sagt Overbeck, „ohne eine Sicherheitslücke zu finden.“
Um sich gegen kriminelle Hacker zu wappnen, lassen Unternehmen immer häufiger gezielt ihre Sicherheitssysteme überprüfen. Das Logistikunternehmen Hermes Europe etwa beauftragte den Essener Sicherheitsdienstleister Secunet damit, alle via Internet erreichbaren Systeme zu testen.
Volkswagen ließ PricewaterhouseCoopers (PwC) das konzerneigene Computersystem prüfen. Weil die IT-Berater gravierende Sicherheitslücken entdeckten, musste VW-IT-Vorstand Klaus Hardy Mühleck gehen.
Viele Unternehmen nutzen neuerdings auch den Ehrgeiz von Hobbyhackern, die Entwicklern die Schwächen ihrer Programme aufzeigen. So zahlen beispielsweise der Softwarekonzern Microsoft, der Web-Browser-Hersteller Mozilla oder das soziale Netzwerk Facebook hohe Prämien an jeden ambitionierten Programmierer, der einen Fehler in ihrer Software findet.
