Incident Responder sind die schnellen Eingreiftrupps der Cyber-Security-Branche. Sie werden immer dann gerufen, wenn es Hacker-Alarm gibt. Wenn eine Ransomware schon benutzt wurde, dann geht es für sie vor allem ums Aufräumen. Doch im Idealfall werden kriminelle Hacker oder Cyberspione entdeckt, noch bevor sie großen Schaden anrichten konnten. Dann haben die Ersthelfer eine besonders knifflige Aufgabe. Sie müssen schnell und möglichst leise die Lücken finden und beseitigen, durch die die Hacker in die Netzwerke eingedrungen sind, und die Angreifer dann in hohem Bogen herausbefördern. Incident Response Teams sind deshalb so etwas wie Eliteeinheiten in der Cyber Security. Eine der berühmtesten Einheiten beschäftigt seit mittlerweile fast 20 Jahren das US-Cybersicherheitsunternehmen Mandiant, das nun der US-Technologiekonzern Google für 5,4 Milliarden Euro übernommen hat.
Dass Kevin Mandia eines der erfolgreichsten Cyber-Security-Unternehmen der Welt gründete, überrascht kaum, wenn man sich seine Laufbahn ansieht. 1992 begann er seinen Dienst als Offizier in der US-Armee. Sechs Jahre später wechselte er als Cyber-Security-Spezialist zur Air Force. In der Armee sammelte Mandia Kontakte, die ihm vermutlich bis heute nützen. Im Jahr 2000 schied Mandia aus dem Dienst aus. Nach einem kurzen Gastspiel beim US-Waffenhersteller Lockheed Martin gründete er seine eigene Cyber-Security-Firma: Mandiant. Seine Herangehensweise war für die damalige Zeit ungewöhnlich und originell. Mandia wollte nicht nur Bedrohungen beseitigen, er wollte vor allem den Feind verstehen, seine Mitarbeiter sollten so viel wie möglich über die Angreifer lernen.
Mandia rekrutierte dafür reihenweise ehemalige Cybersoldaten und Ex-Mitarbeiter der amerikanischen Dienste mit den drei Buchstaben, also NSA, CIA und FBI, für die diese beinahe nachrichtendienstliche Aufgabe nichts Neues war. Spätestens 2013 zahlte sich Mandias Philosophie aus. Ein Bericht seiner Firma über die bis dahin geheimnisvolle chinesische Hackereinheit 61398, die im Auftrag der chinesischen Regierung in Hunderten US-Unternehmen nach Firmengeheimnissen stöberte, machte in den USA große Wellen.
Dass der chinesischen Regierung jedes Mittel recht war, um technologisch zu westlichen Ländern aufzuschließen, war damals ein offenes Geheimnis, auch der damalige Präsident Barack Obama hatte die Verteidigung dagegen zur Chefsache ausgerufen. Nur öffentliche Beweise gab es kaum. Das erledigte der Bericht von Mandiant für die US-Regierung. Er zeigte auf 76 Seiten, wie die chinesischen Spione ihrer Ideenklau-Arbeit nachgingen. Mandiant, das damals schon als extrem gute Incident-Response-Firma galt, wurde über Nacht weltberühmt.
Was will Google mit den Elite-Hackern?
Diesen Status lässt sich das Unternehmen heute gut bezahlen, Einsätze seiner Experten bei Hackerangriffen kosten gerne mal das Doppelte dessen, was gewöhnliche Unternehmen verlangen, sagt Andreas Rohr von der DCSO, einem deutschen Unternehmen, das selbst auch Incident Response anbietet und für die deutsche Industrie Security-Lösungen testet. Dabei seien die Mandiant-Hacker ihr Geld aber durchaus wert, sagt Rohr.
Und was will Google mit den Elite-Hackern? Der Konzern hat bereits angekündigt, dass Mandiant, ebenso wie der Anfang des Jahres übernommene Security-Anbieter Siemplify, eigenständig bleiben soll. Das dürfte vernünftig sein, vor allem angesichts der gut laufenden Mandiant-Geschäfte - die Firma ist seit Jahren profitabel - und der Bekanntheit der Marke. Rohr erwartet, dass Mandiants Know-how künftig vor allem die Google Cloud stärken soll. Künstliche Intelligenz in der Cybersecurity ist seit Jahren ein viel und vielleicht zu viel gehyptes Thema, doch die detaillierten Mandiant-Daten über Schadsoftware, Infrastrukturen und Angreifer zusammen mit Googles Datenverarbeitungsmöglichkeiten dürften laut Rohr eine vielversprechende Kombination sein.
Die Übernahme folge zudem dem großen Konsolidierungstrend in der Industrie. Kunden setzten zunehmend auf integrierte Lösungen von Microsoft, Google und anderen, anstatt sich eigene Security-Lösungen von E-Mail-, Endpunkt-, Cloud- und anderen Sicherheitsanbietern zusammenzusuchen. In dem Rennen hatte Microsoft dabei zuletzt die Nase vorn, mit der Mandiant-Übernahme kann Google die Lücke ein bisschen schließen.