Wirtschaft: Frustrierte Mitarbeiter sind gefährlich

Wer seine Geschäfte heutzutage mit dem Internet verbindet, fürchtet vor allem eine Geißel: die Hacker. Einmal in das Netzwerk eingedrungen, können diese Computerprofis großen Schaden verursachen. So verunstalten sie mit Vorliebe die Internetseiten von Unternehmen und Regierungen mit einer Art digitalem Graffiti. Den Störenfrieden das Handwerk zu legen, das ist die Aufgabe anderer Hacker. Anders als ihre auf Schaden bedachten Zunftgenossen lassen sich diese "ethischen" Hacker anheuern, um in die Netze ihre Kunden einzudringen und dort Sicherheitslücken aufzuspüren. In den Bemühungen, ihre Netzwerke zu schützen, greifen Unternehmen und staatliche Organisationen zunehmend auf die Dienste der "ethischen" Hacker zurück.

Die Ausbreitung des Internets lässt den Bedarf für Anfälligkeitstests steigen, denn immer mehr Eindringlinge können sich eine wachsende Zahl von Hacker-Werkzeugen problemlos aus dem Internet besorgen. Zwei Milliarden Euro wurden allein im vergangen Jahr für Computersicherheit, einschließlich der Dienste der "guten" Hacker, ausgegeben. Nach den Schätzungen des Marktforschungsunternehmens Gartner wird dieser Markt in den nächsten drei Jahren noch um durchschnittlich 28 Prozent jährlich wachsen. Die Hacker sind dabei so populär geworden, dass ihnen auch Hollywood mit dem Streifen "Sneakers" bereits vor Jahren ein Denkmal gesetzt hat.

Geheimnisträger als Hacker

Einer der größten Anbieter von Hacker-Diensten ist die US-Firma Computer Sciences Corp, kurz CSC. Das zirka zwanzigköpfige Hacker-Team von CSC verschmäht die stereotype Trödel-Garderobe, die den Computerprofis in Hollywood-Filmen gern angelegt wird. Man trägt lockere Geschäftskleidung bis hin zum Anzug - schließlich arbeitet man für die großen Unternehmen und das US-Verteidigungsministerium. "Keiner würde uns irgendwohin einladen, wenn wir scheußlich aussähen", sagt der CSC-Manager Jason Arnold. Jim Chapple leitet das Team der ethischen Hacker und ist mit 45 Jahren gleichzeitig das älteste Mitglied. Auch der Rest der im US-Bundesstaat Maryland ansässigen Gruppe besteht keineswegs aus Schulschwänzern: Die meisten sind Universitätsabsolventen, viele von ihnen waren zuvor bei der US-Armee oder bei Regierungsbehörden beschäftigt. Einige der Hacker sind als Geheimnisträger registriert, was Dienste für den Staat enorm erleichtert.

Obwohl einige der Konkurrenten anderer Ansicht sind, würde bei CSC niemals ein konvertierter Rechtsbrecher eingestellt werden - das ist zu riskant. "Einige dieser Hacker sind tatsächlich sauber geworden, doch es gab auch andere Fälle", sagt Chapple. Die Hacker von CSC kommen auf fünf bis zehn Untersuchungen im Monat. Je nach Arbeitsaufwand, der zwischen zwei Tagen und mehreren Wochen rangiert, kann dies den Kunden bis zu 100 000 Dollar kosten. Bei der Computersicherheit unterscheidet man, so Chapple, zwischen externen und internen Bedrohungen. Gefahren von außerhalb bringen vor allem die Telefonleitungen oder Internetverbindungen, durch die sich Industriespione oder Hacker einschleichen können. Die verheerendsten Schäden drohen jedoch aus dem inneren des Systems: Denkbar sind verbitterte Angestellte, die ganze Datenbanken löschen und eingeschleuste Spione, denen die geheimsten Informationen zugänglich werden. "Viele Unternehmen haben in Sachen Sicherheit eine harte Schale aber einen sehr weichen Kern", erklärt Chapple. Weil man den Angestellten vertraut, werde die interne Sicherheit stark vernachlässigt.

Für die Sicherheitstests benötigen die Ingenieure von CSC selten mehr als einen Laptop. Verbunden mit dem System des Klienten, nutzt man die im eigenen Haus entwickelte Prüf-Software namens HEAT, was für hydra expert assessment technology steht. Anders als in den einschlägigen Spielfilmen, in denen die Profis bei manuellen Sicherheitstests schier endlose Zeichenketten in die Tastatur hämmern, verlässt man sich vollständig auf Programme. Die automatisierten Suchwerkzeuge fahnden nach sämtlichen angeschlossenen Geräten und spüren in das System führende Schleichwege auf. Zum Beispiel gibt es Lücken in den gängigen Microsoft-Programmen für Web-Server, über die Eindringlinge beliebige Inhalte auf den Internetseiten eines Unternehmens plazieren können.

Konventionelle Hacker sind auf ständiger Suche nach solchen Schlupflöchern und veröffentlichen die ständig weiterentwickelten Spürprogramme im Internet; frei zugänglich für jeden, der selbst auf die Jagd gehen will. Wann immer diese Programme neu erscheinen, werden sie vom CSC-Sicherheitsteam in die HEAT-Software integriert. Das Ergebnis der Sicherheitstest ist oft schockierend. Laut Chapple findet sein Team in sämtlichen Fällen eine Sicherheitslücke: "Bei bislang jedem Kunden, waren wir in der Lage, die Netzwerkverwaltung größtenteils oder vollständig in unsere Hände zu bringen."

Weil die Prüfungen stets mit dem Aufdecken von Schlupflöchern enden, lehnen die Kunden von CSC meist jegliche Stellungnahmen ab. Der Leiter für Informationssicherheit eines großen Industrieunternehmens, das ungenannt bleiben will, fand das Ergebnis eines vor zwei Jahren durchgeführten Tests "alarmierend". Die CSC-Hacker übernahmen die Befugnisse des Systemverwalters und konnten theoretisch das gesamte Netzwerk verwüsten. Solche Tests seien zwar nützlich, so der Sicherheitschef, doch menschliche Fehler können sich nicht verhindern. "Es wurden dumme Nachlässigkeiten aufgedeckt", sagt er. "Hätten unsere Techniker ihre Checklisten abgearbeitet, hätte es keine Sicherheitslücken gegeben."

Viele Unternehmen versagen

Dies ist kein Einzelfall: Viele Unternehmen versagen bei der Anwendung einfachster Vorsichtsmaßnahmen. Bei einem Kunden benutzte CSC ein Monitor-Programm, das sämtliche Tastatureingaben aufzeichnet und gelangte prompt an das Password für die Netzverwaltung. Der Kunde hatte schlicht versäumt, den Computer des Netzadministrators durch eine einfache Funktion abzuschotten. Für John Pescatore, Sicherheits-Analyst bei Gartner Inc bringen die erlaubten Eingriffe durch ethische Hacker die sorgfältigsten Ergebnisse bei der Prüfung von Netzwerken. Allerdings können feindliche Hacker ihre eigenen Tests wesentlich effektiver anwenden. "Die haben unbegrenzte Zeit", sagt Pescatore. "Man kann CSC dafür bezahlen, einmal im Jahr zu prüfen, doch die Hacker suchen jeden Tag."

Nick Wingfield