bedeckt München 18°
vgwortpixel

IT-Sicherheit:Hilfe vom Hacker

Illustration: Jessy Asmus

Cyberangriffe kosten Unternehmen Milliarden. Um sich besser zu schützen, lassen viele ihre Systeme von Leuten prüfen, die auch in der Lage wären, großen Schaden darin anzurichten.

Es ging einfach alles zu schnell: "In dem Moment, in dem du es siehst, ist dein Rechenzentrum bereits verloren", erzählte der US-Computerexperte Craig Williams hinterher dem US-Fachmagazin Wired. Der Cyberangriff, den Williams meint, traf keine kleine Klitsche, sondern ein Unternehmen, das den globalen Warenverkehr am Laufen hält: Maersk, die größte Containerschiffsreederei der Welt. Und dieser Konzern war nun mit einem Schlag quasi gelähmt, am Laufen war da erst einmal nichts mehr.

Auf 300 Millionen Dollar schätzen Experten den Schaden, der alleine dem dänischen Unternehmen durch den Angriff einer Gruppe von Online-Kriminellen entstand. Aber Maersk war nicht die einzige Firma, die 2017 beim bis dato verheerendsten Cyberangriff auf Unternehmen zu Schaden kam. Es traf unter anderem auch einen Pharmakonzern, einen Paketdienstleister, eine große Baufirma, einen Süßwarenhersteller - der Schaden ging jeweils in Hunderte Millionen.

Angesichts solcher Summen wundert es nicht, dass mehr und mehr Firmen auch ungewöhnliche Wege gehen, um ihre Computernetze besser zu schützen. Sie lassen sie von Leuten prüfen, die in der Lage wären, großen Schaden darin anzurichten: von Hackern.

In der öffentlichen Wahrnehmung gelten Hacker meist als zwielichtige Gestalten, die sich nachts von ihrem Computer aus in Firmennetze einschleichen, um diese zu erpressen oder im Auftrag ihrer Regierungen auszuspionieren. Solche Hacker gibt es auch. Aber die Mehrzahl hat eher einen kindlichen Spaß daran, Dinge auseinanderzunehmen und zu sehen, wie etwas funktioniert. Sie wollen Technik nicht bloß nutzen, sondern verstehen, was dahintersteckt. Viele wollen sogar helfen, digitale Sicherheitslücken zu schließen, finden aber nicht immer Gehör bei Unternehmen, wenn sie ein Problem melden wollen.

Deshalb und weil dort auch die Entlohnung geregelt ist, melden sich viele White-Hat-Hacker - wie man Computerexperten mit guten Absichten nennt - bei Vermittlungsplattformen wie Hacker One oder Yes We Hack an. Die Plattformen stellen die Verbindung zu Unternehmen und Institutionen her, die ihre Systeme auf Schwachstellen checken lassen wollen.

Bezahlt wird dabei nach dem Erfolgsprinzip. Für jede entdeckte Schwachstelle, im Jargon Bug genannt, erhalten sie eine vorher festgelegte Belohnung, genannt Bounty, die sich danach richtet, wie schwerwiegend die entdeckte Sicherheitslücke ist. Die Spannweite reicht von 50 bis 15 000 Euro, sagt Rodolphe Harand, Leiter des Tagesgeschäfts bei Yes We Hack. Konkurrent Hacker One wirbt damit, dass schon sechs seiner etwa 600 000 Hacker mehr als eine Million Dollar verdient haben.

Zwei junge Hacker, die hauptsächlich für die in Frankreich beheimatete Plattform Yes We Hack arbeiten, bestätigen das: Sie verdienten jetzt mehr als früher als Angestellte, sagen Lucas alias BitK und Edgar alias eboda, beide 29. Aber sie sagen auch: Das Hacken für Belohnungen sei nichts, um schnell reich zu werden wie bei einem erfolgreichen Verbrecher-Coup. Edgar hat früher für eine Firma gearbeitet, die sogenannte Penetrationstests, kurz Pentests, anbieten. Die ähneln zwar dem, was er jetzt macht, sind aber nicht ganz vergleichbar.

Das sagt auch der Sicherheitschef einer großen französischen Versicherung, der seinen Namen und den seiner Firma aus Sicherheitsgründen nicht in der Zeitung lesen will. ("Das zieht viele unerwünschte Besucher an.") "Programmierer entwickeln alle zwei Wochen eine neue Version", sagt er, "da kann man nicht jedes Mal einen langwierigen Pentest machen." Denn der dauere, und die Ergebnisse würden dann in einem umfangreichen Bericht zusammengefasst, den man allerdings erst nach zwei Wochen bekomme - viel zu viel Zeit, in der durch unentdeckte Sicherheitslücken große Probleme entstehen könnten. Pentests müsse man zudem immer bezahlen, die Hacker dagegen nur, wenn sie etwas finden.

In seinem Konzern habe es zunächst Bedenken gegeben, aber dann zeigte sich schnell: "Es gab viele Sicherheitslöcher, von denen wir nichts wussten." Und die Information darüber kam sofort. Oft lasse man die Jäger, wie man bei Yes We Hack die Hacker nennt, auch noch einmal checken, ob die Lücken vom eigenen Team erfolgreich beseitigt wurden. Bei seinem Unternehmen, sagt der Sicherheitschef, seien etwa 250 Bugs gefunden worden. "Wir haben uns selbst zu sehr auf die Website konzentriert, aber es gab viele Fehler in den Systemen, die dahinterliegen."

Lesen Sie mehr zum Thema

Zur SZ-Startseite