Legale Lückenfinder
Wie gut sind Firmen gegen Cyberattacken gewappnet? Um das herauszufinden, lassen sie sich gezielt angreifen. Warum Ethical Hacker für Cyberschutz unverzichtbar sind, wie sie vorgehen, was sie antreibt. Und was eine Uni in Singapur damit zu tun hat.
Mehr als 130.000 Mitarbeitende, 16.400 Geschäfte und ein Online-Angebot in 28 Ländern, mit mehr als 5,5 Milliarden Kunden: Die A.S. Watson Group, gegründet 1841, gehört heute zu den größten international tätigen Drogeriemarktketten der Welt. Eines ihrer wertvollsten Schätze: die vielen Millionen Daten, die die Kunden beim Einkaufen hinterlassen. Diese vor ungewolltem Zugriff zu schützen, ist eine der wichtigsten Aufgaben des IT-Sicherheitschefs Feliks Voskoboynik.
Damit das klappt, setzt er nicht nur auf die Fähigkeiten seines internen Sicherheitsteams: Voskoboynik beauftragt regelmäßig professionelle Hacker, um die Standhaftigkeit seiner digitalen Brandmauern zu überprüfen. So wie neulich, als er eine neue Spezialsoftware zum Schutz gegen Credential Stuffing einführte. So bezeichnet man es, wenn Kriminelle sich mit Hilfe gestohlener Daten Zugriff auf Kundenkonten verschaffen. „Die von uns beauftragten Hacker haben uns geholfen, die Schwachstellen unserer Software zu identifizieren und zu entschärfen“, sagt Voskoboynik.
Permanent den Ernstfall erproben
So wie die Watson Group machen es viele Unternehmen – egal, ob im Einzelhandel oder in der Automobilindustrie, ob in der Finanzbranche oder der Chemieindustrie: Sie wissen, dass sie sich gegen immer ausgefeiltere, dank künstlicher Intelligenz immer raffiniertere, weil zunehmend automatisierte Angriffe wappnen müssen. Statt darauf zu vertrauen, dass einmal installierte Sicherheitssysteme auf Dauer gegen Cyberkriminelle schützen oder sich ausschließlich auf das Know-how interner Experten oder externer Dienstleister zu verlassen, proben sie deshalb permanent den Ernstfall.
Und lassen sich von professionellen, aber freundlich gesinnten Hackern immer wieder gezielt angreifen. Um die Standhaftigkeit ihrer digitalen Abwehrmauern zu prüfen, auf legalem Weg Sicherheitslücken zu finden und umgehend zu schließen. Und so Cyberkriminellen einen Schritt voraus zu sein.
Zwar setzen Unternehmen nach wie auf klassische Sicherheitsmaßnahmen wie Firewalls, VPN-Systeme, Antivirensoftware oder Multi-Faktor-Authentifizierung, um sich gegen Cyberattacken zu schützen. Doch 62 Prozent der vom Wirtschaftsprüfungs- und Beratungsunternehmen EY 2023 befragten Unternehmen investieren inzwischen auch in „Penetration Tests“, also gezielte Angriffe auf die eigenen Sicherheitssysteme, um diese dauerhaft zu verbessern.
Hacker haben sich zu einem wesentlichen Teil unseres Sicherheitsökosystems entwickelt.
Hacker als wesentlicher Teil der Sicherheit
Mit Erfolg: So konnte etwa der US-Automobilhersteller General Motors seit 2016 mehr als 700 digitale Sicherheitslücken bei sich selbst und seinen Logistikpartnern schließen – über die gezielte Zusammenarbeit mit mehr als 500 Hackern weltweit. „Wir haben beim Thema Sicherheit immer auf vielfältige Werkzeuge gesetzt”, begründet Jeff Massimilla, der bei GM für die Internetsicherheit zuständig ist, seine Vorliebe für digitale Crashtests. „Hacker haben sich zu einem wesentlichen Teil unseres Sicherheitsökosystems entwickelt.“
Um das Können dieser so genannten White-Hat-Hacker für sich zu nutzen, setzen Unternehmen wie GM in der Regel auf die Zusammenarbeit mit Dienstleistern wie HackerOne. Diese Plattformen haben sich als Schaltstelle zwischen Auftraggebern aus der Unternehmerwelt und Auftragnehmern aus der Hackerszene etabliert.
Honorare bis zu einer Million Euro
Je nach Komplexität der Aufgabe fließen zwischen wenigen hundert und mehreren hunderttausend, mitunter auch mal eine Million Euro als Honorar an Hacker, wenn sie die Firewalls ihrer Auftraggeber erfolgreich durchdringen und mit ihren Befunden dazu beitragen, eine bis dahin unentdeckte Sicherheitslücke zu schließen.
Doch es sind längst nicht nur monetäre Anreize, die solche freundlich gesinnten Hacker antreiben: „Meine Karriere bestand darin, das Internet und seine Nutzer vor Bedrohungen zu schützen“, sagt etwa der finnische Hacker Mikko Hyppönen „Eine sehr ehrenvolle Aufgabe.“ Andere sind getrieben von Neugier und Wissensdurst: „Beim Hacking geht’s darum, anders zu denken, den Status Quo herauszufordern – und dafür Technologie anders zu nutzen als es ursprünglich vorgesehen war“, schreibt Jon Erickson in "Hacking: The Art of Exploitation".
Man muss Cybersecurity ganz einfach machen, sonst werden die User sie umgehen.
Auch Jürgen Schmidt von unserer #ExpeditionFinance hat kürzlichen einen Hacker in Singapur besucht: Steve Kerrison arbeitet als Dozent für Cybersicherheit an der dortigen James Cook University. Er zeigte Schmidt, wie er mit wenigen Handgriffen einen Fingerabdruckleser so umbaut, dass das Gerät Fingerabdrücke von seinen Nutzern abgreifen und darüber auf deren geschützte Daten zugreifen kann.
Kerrisons Empfehlung: „Man muss Cybersecurity ganz einfach machen, sonst werden die User sie umgehen – weil sie bequem sind. Wir müssen also Lösungen finden, die gut und praktikabel sind – sowohl für User als auch für Unternehmen.“
Dieser Text wurde veröffentlicht 07/2024
#ExpeditionFinance: Wie man eine Touch-ID knackt
Volker Klak
… ist Teil des Deutsche Bank Communications-Teams; derzeit vernarrt in eine Reit-Metapher und glaubt, es gibt noch viel Gutes zu beschützen. Also, fröhliches Coden!
Empfohlene Inhalte
Digitaler Umbruch | Video Story
„Deutsche Unternehmen sind nicht gut genug geschützt“ „Deutsche Unternehmen sind nicht gut genug geschützt“
Ralf Wintergerst, Vorsitzender der Geschäftsführung von Giesecke+Devrient, über die größten Gefahren durch Hacker. Und wie wir uns schützen können.
Digitaler Umbruch | Fotostory
„Der Angriff hat uns zusammengeschweißt“ „Der Angriff hat uns zusammengeschweißt“
Die Angreifer hatten kurz vor Weihnachten zugeschlagen. Wie unser Kunde, der Büroausstatter Schäfer Shop, nach einer Cyberattacke wieder handlungsfähig wurde.
Digitaler Umbruch | Einblick
Von Datenklau bis Ransomware: Gefahren und Schutz in der Finanzbranche Von Datenklau bis Ransomware: Gefahren und Schutz in der Finanzbranche
Sven Schaumann und Petra Leclaire, Experten für Cybersicherheit bei der Deutschen Bank, sprechen über die sich verändernde Bedrohungslage – und wie sich Unternehmen schützen.
What Next: Unsere Themen
