Hacker im Dienste der Sicherheit

Kaum ein Bereich bietet derzeit so exzellente Jobchancen wie Cybersicherheit. Mitarbeiter aus unterschiedlichsten Firmen und Branchen geben überraschende Einblicke in eine abstrakte Berufswelt.

Das Abwehrzen­trum der Telekom kümmert sich um Cyberangriffe. Foto: Norbert Ittermann/Deutsche Telekom AG

Das Abwehrzen­trum der Telekom kümmert sich um Cyberangriffe. Foto: Norbert Ittermann/Deutsche Telekom AG

Vernetzte Autos, Smarthomes, E-Health, Onlinehandel: Kommunikation und Datenaustausch übers Internet bestimmen immer stärker unseren Alltag. Die zunehmende Vernetzung geht aber auch mit Risiken einher. Die bekannt gewordenen erfolgreichen Cyberangriffe beweisen: Digitale Bedrohungen sind keine abstrakte Theorie. Vielmehr treffen sie Internetnutzer und Konsumenten ins Mark und bei für sie absolut alltäglich gewordenen Anwendungen. Deshalb erlebt auch das Tätigkeitsfeld „Cybersicherheit“ seit einigen Jahren einen regelrechten Boom. In kaum einem anderen Bereich werden so händeringend Experten gesucht. Die Job­aussichten für Berufsanfänger, Umsteiger oder Fachleute auf diesem Spezialgebiet könnten kaum besser sein.

Bei Volkswagen sorgen Hacker für die Sicherheit künftiger Fahrzeuge

Denn auch Unternehmen aus eher traditionellen Branchen bauen das für sie in Zukunft fundamentale Cybersecurity­-Wissen auf. So hat etwa Volkswagen vor rund zwei Jahren gemeinsam mit israelischen IT-Spezialisten seine in Tel Aviv ansässige Tochterfirma Cymotive gegründet. Das Unternehmen entwickelt Sicherheitslösungen für die nächsten Generationen vernetzter Fahrzeuge und beschäftigt dafür hoch spezialisierte Hacker, die mögliche Sicherheitslücken sowohl an den Datenschnittstellen der winzig kleinen Chips auf entsprechenden Elektronikkomponenten als auch in der zugehörigen Software aufspüren. Die Namen der Hacker wollen der Autokonzern und Cymotive aus Sicherheitsgründen nicht verraten, gewähren aber Einblicke in ihre Arbeitsweise. Ein sogenanntes Red Team versucht mit denselben Methoden und Werkzeugen wie kriminelle Hacker, die zu prüfenden Systeme anzugreifen oder zu manipulieren. Wird eine Sicherheitslücke gefunden, erarbeitet das in der Nachbarabteilung bereitstehende Blue Team konkrete Verteidigungsstrategien. Auch wenn diese Experten in Israel sitzen, arbeiten sie eng mit ihren deutschen Kollegen in der Wolfsburger Firmenzentrale zusammen. Beate Hofer, Leiterin der Informationssicherheit bei Volkswagen, erklärt: „Cybersecurity ist mehr als die reine technische Absicherung der Infrastruktur und Systeme.“ Es gehe auch um IT-Sicherheitsprozesse, Risikomanagement und vieles darüber hinaus. „Um Cyber­security begegnen zu können, brauchen wir aber auch eine neue Perspektive, und zwar die eines Hackers“, so Beate Hofer.

Ethical Hacking im Dienst der ­Produktsicherheit

Diese Überzeugung teilt auch DEKRA. So gibt es etwa bei DEKRA Testing & Certification in Málaga ein Team sogenannter Ethical Hacker. Wie die tägliche Arbeit dort aussieht, berichtet der dort beschäftigte Manuel Mancera: „Wir nutzen letztlich dieselben Methoden wie kriminelle Hacker, aber mit einem guten Ziel. Nämlich um Schwächen in den Sicherheitskonzepten der von uns getesteten Produkte zu finden.“ Das Spektrum der von dem hoch spezialisierten Team untersuchten Produkte ist breit und umfasst beispielsweise Smarthome-Geräte, E-Health-Produkte – und natürlich auch vernetzte Fahrzeuge. Mit seinen Kollegen aus den Abteilungen Produktsicherheit oder Connected Car arbeitet Manuel Mancera deshalb sehr eng zusammen. Dabei bringe jeder Beteiligte seine eigene Perspektive ein, was die Voraussetzung für umfassende Kundenlösungen sei. Dass die Mitarbeiter in Málaga zu den erfahrensten Experten auf ihrem Gebiet zählen, zeigt sich auch daran, dass sie in allen wichtigen Standardisierungsgremien rund um Cybersecurity und vernetzte Fahrzeuge vertreten sind und ihre Erfahrungen dort einbringen.

Mobilität: Umfassende Cybersecurity ist Pflicht für das autonome Fahren. Foto: Science Photo Library/Getty Images, Viaframe/Getty Images

Mobilität: Umfassende Cybersecurity ist Pflicht für das autonome Fahren. Foto: Science Photo Library/Getty Images, Viaframe/Getty Images

Ein Honigtopf schützt Industriekunden

Neben dem Schutz von Produkten für den Endverbraucher spielt Cybersicherheit eine ebenso entscheidende Rolle für industrielle Anwendungen, denn neben dem Internet der Dinge entsteht zurzeit auch ein Internet der Maschinen. Unter dem Schlagwort „Industrie 4.0“ werden Produktions­anlagen vernetzt und mit Clouddiensten verbunden. Doch damit wächst auch die Gefahr von Industriespionage oder Sabotage.

Solchen Gefahren zu begegnen, zählt zu den Aufgaben von Sicherheitsspezialisten, wie sie beispielsweise die Deutsche Telekom in ihrem Ende 2017 gegründeten Cyber Defense und Security Operations Center in Bonn beschäftigt. „Wir analysieren dort rund um die Uhr alle Aktivitäten in unserem internationalen Netz“, berichtet René Reutter, Senior Security Specialist. „An einem typischen Tag identifizieren wir dabei rund eine Milliarde sicherheitsrelevanter Vorfälle.“ Bei dieser erschreckend hohen Zahl handele es sich um Angriffe sowohl auf Privatkunden als auch auf die Systeme von Telekom-­Geschäftskunden. Es liegt auf der Hand, dass solche Analysen automatisiert stattfinden müssen. Mitarbeiter wie René Reutter greifen nur in Fällen ein, in denen die softwaregestützten Sicherheits- und Filter­systeme allein nicht mehr weiterkommen. Doch damit nicht genug: Um neue Angriffsmethoden kennenzulernen und analysieren zu können, stellen die Spe­zialisten auch sogenannte Honeypots ins Netz. Dabei handelt es sich um speziell präparierte Systeme, die für Cyberkriminelle wie Industrieanlagen mit offenen Sicherheitslücken aussehen. So locken sie die Angreifer an wie ein offener Honigtopf Bienen. Experten wie René Reutter können dann wiederum beobachten und untersuchen, wie die Kriminellen bei ihren Angriffsversuchen vorgehen.

Der Mensch bleibt der wichtigste Faktor

Bei all den technischen Lösungen, die es für IT-­Sicherheit gebe, dürfe man jedoch auch den ­Faktor Mensch nicht aus dem Blick verlieren, betont Mei-Li Lin von DEKRA Insight. Sie und ihre Kollegen in der Abteilung Organizational Safety and Reliability beschäftigen sich mit dem relativ neuen Feld „Behavioral Cybersecurity“. „Dabei geht es darum, Mitarbeitern praxisgerechte und wirklich funktionierende Verhaltensweisen in puncto Cybersicherheit zu vermitteln. Das beste Schutzkonzept wird versagen, wenn die definierten Regeln für die Menschen im Alltag unzweckmäßig sind.“ Also gelte es, Sicherheitsregeln so auszulegen, dass sie selbst in Stresssituationen wirklich umgesetzt werden könnten. „Wir schauen uns zum Beispiel an, welche Entscheidungen bezüglich IT-Sicherheit Mitarbeiter treffen, wenn sie unter großem Druck stehen.“ Mit speziellem Coaching könne man den Menschen dann „gesunde Cybergewohnheiten“ antrainieren. Und dies sei, so Mei-Li Lin, in der entscheidenden Situation zielführender und wichtiger als mancher theoretische Ansatz, der im Eifer des Gefechts dann doch unter den Tisch falle.

Drei Fragen an Manuel Mancera

Herr Mancera, wie wird man Hacker für die gute Seite?

Mancera: Ich habe Informatik studiert und mich dabei schließlich auf den Bereich Cybersecurity spezialisiert. Als DEKRA vor etwa zwei Jahren anfing, eine Gruppe von Spezialisten für diesen Bereich aufzubauen, habe ich mich sofort dort beworben und war dann einer der ersten Mitarbeiter in unserer Abteilung.

Manuel Mancera, Ethical Hacker, DEKRA Testing & Certification in Málaga, Phoenix/Fraunhofer IPA, AIST. Foto: Manuel Mancera

Manuel Mancera, Ethical Hacker, DEKRA Testing & Certification in Málaga, Phoenix/Fraunhofer IPA, AIST. Foto: Manuel Mancera

Wie sieht Ihr Arbeitsalltag konkret aus?

Mancera: Wir arbeiten projektbezogen und beschäftigen uns dabei in der Regel mit einem konkreten Produkt. Dabei gibt es grundsätzlich zwei Herangehensweisen: Beim Blackbox-Testing kennen wir keine Produktdetails und versuchen, die zu untersuchenden Produkte mit den uns bekannten Exploits, also öffentlich zugänglichen Sicherheitslücken, zu knacken. Das ist der häufigere Fall.

Daneben gibt es auch noch Whitebox-­Testing. Hier stellen die Hersteller uns  spezifische Dokumentationen und Insider-Informationen zur Verfügung. Das erlaubt eine größere Testtiefe in spezifischen Bereichen, kann allerdings auch dazu führen, dass wir weniger Augenmerk auf Angriffsmethoden außerhalb der offensichtlichen Wege legen.

Wie geht es weiter, wenn Sie konkrete Sicherheitsschwächen gefunden haben?

Mancera: In der Regel übernimmt dann wieder der Hersteller und nimmt konkrete Verbesserungen vor, um die gefundene Schwäche zu beseitigen. Anschließend kommt das Produkt wieder zu uns, und wir nehmen weitere Analysen vor. Das kann ein paarmal hin- und hergehen, bis wir schließlich gemeinsam entscheiden, dass nun ein ausreichendes Sicherheitsniveau erreicht ist.

Verwandte Artikel
 
Magazin-Themen
 
Newsletter