WHITE HATS

Denken wie ein Böser — handeln wie ein Guter

Sie nennen sich White Hats und spähen IT-Schwachstellen von Unternehmen in deren Auftrag aus. Ein Besuch bei den Hackern des Guten von TÜV SÜD.

Text  Felix Enzian  Foto  Gina Bolle

Auf welchem Weg der Trojaner in den Münchener Maschinenbaukonzern eindrang, ist öffentlich nicht bekannt. Die schädliche Erpressungssoftware könnte etwa als E-Mail-Anhang im Postfach eines Mitarbeiters gelandet sein, getarnt als Rechnung oder Bewerbung. Nach dem Öffnen des Dokuments brach vermutlich das Chaos aus. Fest steht nur: Im November 2018 wurde das Unternehmen von einem Cyberangriff getroffen. Die Folgen waren gravierend: Steuerungen in der Fertigung und Montage konnten nicht mehr gestartet werden, weil der Trojaner dafür notwendige Computerdateien verschlüsselt und somit unbrauchbar gemacht hatte. Mehrere Wochen lang konnte das Unternehmen nur eingeschränkt produzieren. E-Mail-Verbindungen zu Kunden und Zulieferern mussten vorsichtshalber gekappt, mehrere IT-Server abgeschaltet werden, damit sich die Attacke nicht noch weiter verbreitet. Die kriminellen Täter stellten offenbar eine Lösegeldforderung. Zum finanziellen Schaden gibt es keine Angaben. Der Arbeitsaufwand zur Rückkehr in die normale Produktion war jedenfalls groß.

Mit solchen Vorfällen beschäftigt sich Volker Baier jeden Tag, wenn er in den Internetforen der Hackerszene über die neuestes Waffen der Cyberkriminalität liest. „Denn ich bin selbst ein Hacker“, sagt der Chief Information Security Officer der TÜV SÜD-Tochter Sec-IT. Im Gegensatz zu kriminellen Hackern, den sogenannten Black Hats, nutzt Baier sein Wissen allerdings nicht, um Menschen oder Organisationen zu schaden. Stattdessen bekämpft er Cyberkriminelle, indem er hilft, Sicherheitslücken in Unternehmen zu finden und zu schließen. Baier ist ein sogenannter White Hat. Ein Hacker auf der guten Seite der Macht.

„Letztlich sind es immer Menschen, die andere Menschen angreifen.“

Hassan Moradi, Teamleiter Penetration Testing

 

Piraten, Ninjas und Spione

„Um die Sicherheit eines Unternehmens realistisch zu testen, muss ich genauso denken und vorgehen wie ein krimineller Hacker“, erzählt Hassan Moradi, der als Teamleiter des sogenannten „Penetration Testing“ die gutartigen Cyberattacken koordiniert. Die White Hats greifen bei ihren Angriffen auf mehrere Methoden zurück: „Beim Penetration Testing kapern wir so viele Sicherheitslücken und erbeuten so viele Daten wie nur möglich – so wie Piraten“, erzählt Moradi. Bei „Red Team Exercises“ schleicht er sich dagegen mit seinen Kollegen wie Ninjas sehr leise ein und attackiert zielgerichtet eine ganz bestimmte Stelle, zum Beispiel die Kundendatenbank oder die Produktionssteuerung.

Und manchmal agieren die White Hats sogar wie klassische Spione. Getarnt als Besucher oder Lieferanten, schleichen sie sich ins Unternehmen und platzieren dort mit Schadsoftware präparierte Datenträger wie USB-Sticks. Wenn ein argloser Mitarbeiter diesen in seinen Computer steckt, löst das den Cyberangriff aus – alles natürlich im legalen Bereich und mit Zustimmung des Kunden. „Hacker nutzen zwar Technik, aber letztlich sind es immer Menschen, die andere Menschen angreifen“, sagt Moradi.

 

 

Teamarbeit

Teamarbeit

Hassan Moradi, Stefan Laudat, Volker Baier (von links)

 

Freiraum zum Querdenken

Zwar nutzt das „weiße“ Hacking Methoden von Kriminellen, jedoch handeln die White Hats mit entgegengesetztem Ziel – zum Nutzen eines Unternehmens. „Unser Vorgehen wird mit dem Auftraggeber vorab genau geplant“, erläutert Volker Baier. In nachträglichen Workshops geben die White Hats dann Empfehlungen, wie gefundene Sicherheitslücken geschlossen werden können. Zum Beispiel durch Änderungen in den Softwaresystemen oder durch Cyber-security-Schulungen für Mitarbeiter. Oft werden zudem die vorgesehenen Gegenmaßnahmen im Falle eines Cyberangriffs besser orchestriert. Im Ergebnis bringt ein White-Hat-Angriff die IT-Sicherheit so auf den optimalen Stand.

Wie notwendig das ist, zeigt die Statistik: In Deutschland ist beinahe jedes zweite mittelständische Unternehmen schon einmal Opfer von Datenklau, Geheimnisverrat oder Spionage geworden. Trotzdem wird die Gefahr von der Wirtschaft unterschätzt. „Bei unseren Tests haben wir entdeckt, dass Tausende von Industrieanlagen durch einfache DSL-Verbindungen mit dem Internet verknüpft sind, dabei sind das offene Einfallstore für Kriminelle“, berichtet Hassan Moradi. Für ihn und seine Kollegen, die aus Büros in Deutschland, China, Indien, Singapur und den USA operieren, gibt es also viel zu tun. Denn selbst wenn ein Unternehmen nachgebessert hat, finden die White Hats oft neue Schwachstellen. „Wir finden die Sicherheitslücken, an die keiner gedacht hat“, sagt Moradi.