zur Navigation springen

White Hats aus Schuby : Ein Hacker mit Moral

vom

Eine Internetagentur in Schuby testet Unternehmen auf Sicherheitslücken. Angreifer zielen auf Kundendaten und sensible Dokumente.

von
erstellt am 23.Aug.2014 | 04:15 Uhr

Schuby | Schuby Während Deutschland über ein IT-Sicherheitsgesetz diskutiert, sitzt Matthias Nehls vor seinem PC und googelt Anleitungen zum Ausnutzen der neuesten Sicherheitslücken. Über eine einfache E-Mail hat er innerhalb von Sekunden herausgefunden, dass der Mail-Server des Absenders mit einer veralteten System-Version läuft. „Mit wenigen Suchbegriffen findet man schnell Möglichkeiten, Schwachstellen auszunutzen und in das System einzudringen. Das kann jeder 15-Jährige“, sagt Nehls und lehnt sich in seinem Bürostuhl zurück.

Der 31-Jährige ist Inhaber einer Sicherheitsagentur in Schuby. Hacken nennt er seinen Beruf. Das eben Gezeigte sei für ihn nur eine Fingerübung. Eine kurze Demonstration dessen, was schon ohne großen Aufwand möglich ist. Wer es ernst meint und Zeit investiert, habe noch viel mehr Möglichkeiten. Matthias Nehls und seine acht Angestellte nennen sich White Hats (Weiß-Hüte) – ein etablierter Begriff für „gute Hacker“. Anders als Black Hats (Schwarz-Hüte) treibt sie nicht kriminelle Energie an.  „Firmen beauftragen uns, ihre Systeme zu überlisten. So finden wir Sicherheitslücken, die wir dann schließen können“, erklärt Nehls. Damit bewegen sich die White Hats im Rahmen des Gesetzes, aber in juristisch heiklem Raum. „Wir haben zwei Anwälte, die permanent für uns arbeiten. Sie sichern die Unternehmen aber auch uns juristisch ab.“

2007 gründete Nehls die Schlei-media GmbH und ist damit heute nach eigenen Angaben erfolgreich: „Zu unseren Kunden gehören Rechtsanwaltskanzleien, Arzneimittelunternehmen, mehrere Freizeitparks und Banken. Namen möchte ich nicht nennen.“ Viele Unternehmen, die er mit seinem Team betreut, würden großen Wert auf Diskretion legen. Sicherheitslücken oder gar Hacker-Angriffe seien ein Tabu-Thema: „Kaum eine Firma würde öffentlich zugeben, dass Kriminelle Kundendaten gestohlen haben. Das sind die Kronjuwelen eines jeden Internetunternehmens.“ Abnehmer für beispielsweise Kreditkartendaten gebe es genug und massenhaft angeboten, sei das ein gutes Geschäft für Hacker.

Aber auch auf Quelltexte von Software, Patente oder andere sensible Daten haben es die Kriminellen abgesehen. So errinnert sich Nehls an einen Fall bei dem ein Unternehmer ständig Ausschreibungen verlor. „Er wurde im Auftrag eines Mittbewerbers gehackt, sodass dieser immer ein leicht günstigeres Angebot abgeben konnte.“

Viele solcher Hacker würden ihre Angriffe professionell betreiben. Häufig würden jedoch auch andere Motive dahinter stecken: „Enige Menschen haben einfach nur Spaß daran, anderen zu schaden. Gerade Jugendliche hacken aber auch, um bei ihren Freunden angeben zu können.“ Nehls selbst ist über das Programmieren von Internetseiten dazu gekommen, sich mit Sicherheitslücken zu beschäftigen.

„Bei 95 Prozent der Unternehmen, die wir testen, kommen wir ohne Problem in die Systeme“, sagt Matthias Nehls. Er beklagt, dass viele IT-Abteilungen nicht gut genug ausgestattet seien, was Kriminellen in die Hände spiele.  Technisch seien Hacker-Angriffe ein komplexes Feld. „Man muss sich täglich fortbilden und braucht ein großes Netzwerk von Personen – gute wie böse.“

Dass viele Firmen in Schleswig-Holstein Opfer von Cyberkriminelle werden, weiß die Industrie- und Handelskammer in Kiel (IHK). „Nach wie vor gibt es eine Vielzahl unterschiedlicher Bedrohungen, mit denen sich die Unternehmen auseinandersetzen müssen“, sagt Thomas Balk, Referent für Informations- und Kommunikationstechnik. Eine Umfrage unter 713 Betrieben aus Schleswig-Holstein ergab, dass jedes dritte Unternehmen innerhalb der damals vergangenen zwölf Monate Angriffe auf seine IT-Strukturen verzeichnete. Hingegen gaben fast 80 Prozent der Firmen an, dass sie für IT-Sicherheit weniger als 25 Prozent ihrer IT-Kosten ausgegeben haben. Zwar seien viele Unternehmen durch die jüngsten Vorfälle von Datendiebstählen sensibilisiert, „viele scheuen aber immernoch den Gang zu den Behörden. Ein Angriff auf die IT-Strukturen wird häufig noch als Schwäche angesehen“, so Balk. Tobias Fligge

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen