Sie hacken sich seit zwanzig Jahren in die IT-Systeme Ihrer Kunden ein, um dort nach Schwachstellen zu suchen. Wo sind Sie bisher überall eingedrungen?
Wir testen ein sehr breites Spektrum. Zu unseren Kunden gehören sowohl Dax-Konzerne als auch viele Mittelständler. Wir hacken beispielsweise Unternehmensdatenbanken, Smartphones, internetfähige Haushaltsgeräte oder Flugzeuge. Jedes mit dem Internet vernetzte System ist anfällig.
Wie sehen die Aufträge Ihrer Kunden aus?
Unser Brot- und Buttergeschäft sind Angriffe auf Webanwendungen wie zum Beispiel Konto-, Bewerber oder Bieterportale. Da diese immer im Internet zugänglich sind, haben Hacker sie besonders häufig im Visier. Wir schauen dann, ob es möglich ist, eigentlich geschützte Informationen wie die Namen von Bewerbern abzugreifen. Ansonsten sollten wir beispielsweise einmal versuchen, uns Zugang zu den E-Mails eines Vorstandsmitglieds zu verschaffen und diese dann zu lesen. Ein anderes Mal hatten wir ein Mandat dafür, uns in die Datenbank eines Unternehmens zu hacken und dort nach den zehn größten Kunden zu suchen.
Wie hackt man sich in die Systeme ein?
Der Klassiker unter Kriminellen ist eine Bewerbung an die Personalabteilung mit einem infizierten Anhang. Wenn die Mitarbeiter das Dokument öffnen, verschafft der Trojaner dem Angreifer Zugang zum System. Wenn man erst mal drin ist, dann ist es leicht, die gewünschten Informationen zu finden. Bei unseren Tests spielt dieses Vorgehen eine Sonderrolle, sie ist nicht der Regelfall.
IT- und Informationssicherheit in deutschen Unternehmen
Eine Umfrage der "Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS)" fördert deutliche Investitionsbereitschaft deutscher Unternehmen in mehr IT-Sicherheit zu Tage.
Quelle: Studie "IT-Sicherheit und Datenschutz 2017" der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS)
von 100 befragten IT-Experten und IT-Sicherheitsexperten sind davon überzeugt, dass die Ausgaben deutscher Unternehmen für IT- und Informationssicherheit in den nächsten zwölf Monaten um rund ein Drittel ansteigen werden.
erwarten langfristig bis zum Jahr 2025 einen um etwa ein Drittel höheren monetären Einsatz, verglichen mit dem bisherigen Invest.
der befragten Fach- und Führungskräfte gehen von einem Anstieg der Investitionssummen um die Hälfte aus. Der akute Bedarf an Sicherheitsmaßnahmen wird damit als relevanter eingeschätzt: Im Jahr 2016 gingen noch 58 Prozent der befragten Fach- und Führungskräfte von einem Ausgabenanstieg um 50 Prozent bis im Jahr 2025 aus.
geht bis zum Jahr 2025 sogar von einer Verdopplung der bisherigen Investitionssumme aus. Innerhalb der kommenden 12 Monate vermuten lediglich neun Prozent eine Verdopplung der Investitionssumme.
der Umfrageteilnehmer vermuten, dass bis zu 75 Prozent der Unternehmen innerhalb der letzten drei Jahre mit einem Sicherheitsvorfall zu kämpfen hatten.
der Befragten meinen, dass etwa die Hälfte der Firmen aufgrund von Cyberkriminalität aktiv Schadensbegrenzung betreiben musste.
15 Prozent der Befragten gehen sogar davon aus, dass mehr als 75 Prozent der Unternehmen einen Sicherheitsvorfall innerhalb der letzten drei Jahre lösen mussten.
Welche Folgen kann ein erfolgreicher krimineller Hackerangriff für Unternehmen haben?
Oft versuchen Angreifer die Unternehmen zu erpressen. Mir ist beispielsweise der Fall eines Onlinecasinos bekannt, das durch eine Sabotageattacke lahmgelegt wurde. Die Hacker haben das Casino damit erpresst, dass sie erst damit aufhören, wenn das Unternehmen eine gewisse Summe in Bitcoins überweist. Da das Casino durch den Angriff einen enormen Schaden hatte und Umsatz sowie Kunden verloren hat, haben sie dann auch bezahlt.
Hat die Zahl der Cyberangriffe auf Unternehmen zugenommen?
Auf jeden Fall. Durch die Digitalisierung sind wir abhängiger von IT-Systemen geworden. Fast alles ist mittlerweile digital vernetzt. So ergeben sich für Kriminelle viele neue lukrative Möglichkeiten.
Zum Beispiel?
Kriminelle hacken sich bei Firmen ein, um Zugriff auf die Computer zu bekommen. Wenn die PCs inaktiv sind, verwenden die Hacker die Geräte, um Bitcoins zu minen, also zu produzieren. Wenn viele Computer an ein solches Netzwerk angeschlossen sind, kommt eine Menge Kryptogeld für die Kriminellen zusammen. Die betroffenen Unternehmen sitzen dann auf den hohen Stromkosten.
Sind sich Unternehmen der Gefahr von Hackerangriffen bewusst?
Zunehmend ja. Das hängt sicherlich auch damit zusammen, dass die Zahl der Angriffe auf Unternehmen steigt. Außerdem berichten die Medien mittlerweile verstärkt darüber. Dadurch entsteht ein öffentliches Bewusstsein für diese Thematik.
Die negativen Auswirkungen eines erfolgreichen Angriffes sind groß. Wie können sich Unternehmen am besten davor schützen?
Den perfekten Schutz gibt es leider nicht. Dennoch sollte man ein paar Dinge beachten. Eine der größten Gefahren geht von E-Mail-Anhängen aus. Es ist nahezu unmöglich automatisch zu erkennen, ob diese infiziert sind. Deshalb erhalten unsere Mitarbeiter auch prinzipiell keine Anhänge. Diese sind grundsätzlich gesperrt. Möchte ein Mitarbeiter einen Anhang öffnen, muss er einen Antrag an die IT-Abteilung stellen. Diese prüft dann die Datei auf Viren. Einen solchen Prozess empfehle ich jedem Mittelständler. Für Großkonzerne ist das natürlich wegen der großen Zahl an E-Mails nicht machbar. Wichtig ist es auch, dass die Unternehmen die aktuellsten Versionen der Software verwenden und ständig ihre Systeme auf neue Schwachstellen prüfen. Nur wer seine Schwachstellen kennt, kann diese auch beheben. Bei diesem Prozess helfen wir unseren Kunden.
Wie teuer ist so ein Test?
Wir berechnen einen Tagessatz von 1600 Euro. Da Tests oftmals eine Woche oder länger dauern, kommt so mindestens eine größere vierstellige Summe zusammen. Das klingt erst Mal viel, aber man muss bedenken, dass wir viel Personal für diese Tests brauchen. Derzeit beschäftigen wir 105 Mitarbeiter. Außerdem ist der durch unsere Tests verhinderte Schaden enorm.