Erst wenn etwas passiert ist, nehmen Menschen Bedrohungen ernst. Diese Erfahrung macht Golo Königshoff, 40, vor allem in mittelständischen Unternehmen bis 10.000 Mitarbeitern. Konzerne schützen ihre IT besser, weiß er aus seiner Arbeit im IT-Systemhaus Bechtle am Standort Hannover als Leiter des Teams Sicherheit und Netzwerke. Das geplante Telefoninterview für den Artikel musste er verschieben, weil einer seiner Kunden angegriffen wurde.

Was geschah, erzählt er am Tag darauf: Ein Hacker aus Singapur hat sich bei dem deutschen Unternehmen per Mail gemeldet und geschrieben, er sei in das Netz eingedrungen und habe volle Administratorenrechte auf alle Daten. "Das ist der schlimmste anzunehmende Fall“, sagt Königshoff, "weil der Angreifer die IT komplett kontrollieren kann.“ Er kann Daten verändern oder verschlüsseln, im schlimmsten Fall die ganze Firma lahmlegen. Der Hacker hat der Firma angeboten ‚zu helfen‘, indem er die Sicherheitslücke preisgibt und dafür 5.000 Euro Belohnung bekommt.

Geld für den Hacker

"Es war gut, dass der Kunde uns gleich eingeschaltet hat“, sagt Königshoff, denn er und seine Mitarbeiter wissen, was in einem solchen Fall zu tun ist, „der leider viel zu häufig vorkommt“. Königshoff telefonierte mit dem Hacker, der lieferte Beweise für sein Eindringen und offenbarte das Leck, das vom Sicherheitsteam umgehend gestopft wurde. "Wir raten immer dazu, nicht zu zahlen, denn in fremde Systeme einzudringen und Daten zu verändern ist kriminell und eine Straftat, die nicht belohnt werden sollte“, sagt Königshoff. Der Kunde hat dennoch gezahlt aus zweierlei Gründen: 1. Die geforderte Summe ist gering. 2. Er hat offen kommuniziert.

heise jobs – der IT-Stellenmarkt Zu Arbeitsplätzen und Stellenangeboten in der IT-Branche siehe auch den Stellenmarkt auf heise online: heise jobs - der Stellenmarkt auf heise online mehr anzeigen

"Wir gehen davon aus, dass er viele Firmen angreift und von der Masse lebt, daher die geringe Geldforderung“, sagt Königshoff. Zudem habe er mit offenen Karten gespielt und die Lücke verraten, bevor er das Geld hatte. Deshalb geht Königshoff von einer sehr geringen Gefahr aus, dass er später mehr Geld will. So weit, so schlecht.

Bewusstsein ist da, aber keine Konsequenz

Eigentlich sollte Königshoffs Kunde nun neue Hardware kaufen und die IT neu installieren. Nur dann kann er sicher sein, dass alle Spuren vom Eindringling weg sind. "Eine Entscheidung darüber steht noch aus, so weit sind wir noch nicht“, sagt er. Aktuell werden die Systeme penibel mit spezieller Software überprüft, ob sie sauber sind. Der Kunde ist, was IT-Sicherheit betrifft, ein typischer Mittelständler: Das Bewusstsein für Security ist zwar da, wird aber nicht konsequent durchgeführt. Dabei wäre es einfach gewesen, den Eindringling fernzuhalten, wenn Softwareupdates ausgeführt worden wären.

Wurden sie nicht, deshalb war der Angreifer erfolgreich. Auch eine starke Authentifizierung in Kombination von Kennwort und einem zusätzlichen Sicherheitscode hätte das Eindringen verhindert. „Es gibt sehr einfache aber wirksame Maßnahmen, um mit geringem Aufwand ein hohes Maß an Sicherheit zu erreichen“, sagt der Bechtle Teamleiter. Einhundertprozentige Sicherheit aber gibt es nicht.

Breites IT-Wissen gefordert

Königshoff ist gelernter Fachinformatiker der Fachrichtung Systemintegration, seit zehn Jahren bei Bechtle und seit sechs Jahren Teamleiter. Seine Mitarbeiter haben entweder eine Ausbildung wie er abgeschlossen oder Informatik studiert. "IT-Security ist ein umfangreicher Job und je nach Aufgabenstellung sind verschiedene Facetten unseres Know-hows gefordert“, sagt Königshoff. Bei Angriffen wie dem geschilderten kommt es darauf an, schnell und überlegt zu handeln mit umfangreichem Fachwissen über die vernetzten Systeme. Wer Sicherheitslösungen implementiert, sei es Hard- oder Software, muss sich gut mit den Produkten auskennen.

Robert Esterer, 38, ist Information Security Officer bei der Allianz in München und hat eine kontrollierende Rolle. "Ich achte drauf, dass bei allen neuen Produkten oder Services rechtliche Auflagen und regulatorische Vorgaben etwa der Bafin eingehalten sind.“ Bafin steht für Bundesanstalt für Finanzdienstleistungsaufsicht, die staatliche Einrichtung beaufsichtigt und kontrolliert das Finanzwesen in Deutschland. Ihre Vorgaben sind bindend, quasi wie ein Gesetz. „Um die Vorschriften einzuhalten haben wir verbindliche Richtlinien, die dafür sorgen, dass unsere Services rechtskonform sind“, sagt Esterer. Er ist einer von mehreren Information Security Officern bei der Allianz und zuständig für das Produkt private Krankenversicherung.

Sicherheitskonzepte in Anwendungen prüfen

Für dessen Kunden gibt es eine App für Android und iPhone mit unterschiedlichen Funktionen, etwa für die Kommunikation zwischen Kunde und Versicherung. Die Anwendung wurde zuletzt um ein neues Feature erweitert, das den Bearbeitungsstand eingereichter Rechnungen für beispielsweise Arzneimittel anzeigt. Das Projektteam machte eine Risikobewertung über die neue Funktion und kam damit zu Esterer. Daraufhin wurde die Dokumentation angepasst, dann in der Anwendung umgesetzt. "Abschließend habe ich geprüft, ob die Neuerungen unseren Anforderungen genügen.“ Das war der Fall, somit konnte er eine Freigabe erteilen.

Esterer hat Informatik studiert, war anschließend acht Jahre Berater für IT-Sicherheit, dann drei Jahre als Spezialist für IT-Sicherheit in einem mittelständischen Unternehmen tätig. Seit Sommer 2018 ist er bei der Allianz in der Abteilung Informationssicherheitsmanagement. "Wir befassen uns mit Informationen jeder Ausprägung, IT ist eine davon und weil 99 Prozent aller Informationen digital verarbeitet werden, die bedeutendste.“ In seinem Job ist daher tiefes IT-Verständnis notwendig, etwa wenn er Sicherheitskonzepte in Anwendungen prüft: von Vertraulichkeit über Echtheit der Daten bis hin zur Verfügbarkeit im Katastrophenfall. Auch dann sollen die Systeme noch verlässlich funktionieren.

Dokumentationen lesen, Vorschriften nachschlagen

Esterer hat einen Schreibtischjob vor dem Bildschirm und muss viel Papier abarbeiten: Dokumentationen lesen, Vorschriften der Bafin nachschlagen und die internen Vorgaben kennen. Und er muss mit Menschen klarkommen. "Ich kontrolliere die Arbeit von Kollegen. Das erfordert Fingerspitzengefühl, damit die sich nicht auf den Schlips getreten fühlen, wenn ich an ihrer Arbeit etwas auszusetzen habe.“

Lesen Sie auch Goldene Zeiten für Informatiker: Das verdienen IT-Fachkräfte

Wenige würden partout nicht einsehen wollen, dass der Überbringer einer schlechten Nachricht nicht der Böse ist. "Ich muss damit klarkommen, die letzte Instanz zu sein, Entscheidungen treffen, Verantwortung tragen.“ Das kann er nach eigener Aussage. Seinen Job beschreibt er als anspruchsvoll und spannend, „weil ich in vielen Projekten unterschiedlicher Bereiche involviert bin, auch neuen und strategischen und dadurch weiß, was die Zukunft bei der Allianz an Angeboten und Technologien bringt“.

Gefragte Spezialisten

IT-Security-Experten gehören zu den bestbezahlten und gefragtesten IT-Spezialisten, weil es viel zu wenige gibt. In Deutschland bieten etwa zehn Hochschulen einen Studiengang in IT-Sicherheit oder mit ähnlicher Bezeichnung an. Die Ruhr-Universität Bochum ist mit gleich vier Studiengängen und rund 1.100 Studierenden in IT-Sicherheit die Hochschule in Europa mit dem größten Standort in der Ausbildung von IT-Sicherheitsexperten. "Wir könnten auch zehnmal so viele ausbilden und alle würden einen spannenden Job finden“, sagt Thorsten Holz, Professor am Lehrstuhl für Systemsicherheit in Bochum. Der Bedarf an Absolventen sei enorm hoch, jede Firma suche nach ihnen. Aus gutem Grund, wie der erfolgreiche Angriff auf die Firma zeigt. (axk)