Foto :shutterstock.com/kirill_makarov

„Kapuzenpflicht gibt es keine“

White Hats führen Crashtests durch. Sie machen das, was ein Angreifer auch machen würde, und decken so Systemschwächen auf.

Cyber-Sicherheit. Games, Websites, smarte Kühlschränke … Alles, was im Netz hängt, kann gehackt werden. Eine ganze Armada an Ethical Hackern hält dagegen und prüft Systeme auf Herz und Nieren — idealerweise, bevor der Sturm über sie hereinbricht.

Text: greta lun

Stefan Prinz gibt im Login-Feld der Casino-Website den Usernamen ein, gefolgt von drei Satzzeichen. Nein, er hat sich nicht vertippt, er führt gera- de eine SQL-Injection durch. Lässt das System das zu, schafft er es damit, eine Datenbankabfrage zu starten und alle Login-Daten auszulesen. Und schon erscheinen auf seinem Bildschirm alle Usernamen samt Passwör- tern – auch die besonders sicheren mit mehr als zehn Zeichen, Groß- und Kleinbuchstaben und Sonderzeichen. Nun kann er sich beliebig einloggen und auf das Casino-Guthaben der jeweiligen Accounts zugreifen.


Gut, dass Stefan Prinz nichts Böses im Schilde führt. Wir sitzen ja auch bei einer Vorführung zusammen und die Website ist ein eigens dafür erstell- tes, nicht sonderlich sicheres Tool, mit dem auch Bewerber ihre Fähigkei- ten unter Beweis stellen können. Reüssieren sie, werden sie vielleicht, so wie Stefan Prinz, Mitglied eines der größten White-Hat-Hackerteams im deutschsprachigen Raum. Seit 2016 arbeitet er für SEC Consult. Die Bera- tungsfirma für Cyber- und Applikationssicherheit, heute mit über 140 Pe- netration-Testern, wurde vor 17 Jahren als kleine „Garagenbude“ mit drei- einhalb Vollzeitkräften in der Wiener Blindengasse gestartet. Mittlerweile betreibt sie Niederlassungen in Europa, Asien und Nordamerika – von San José bis nach Singapur.


Ein alter Hut mit großen Jobchancen

Cybersecurity ist freilich kein neues Thema, Experten sind aber gefragter denn je. Jeden Tag werden unzählige Angriffe durchgeführt – Tendenz steigend. Kreditkartendaten werden still und heimlich abgegriffen, täu- schend echte Phishing-Mails versenden E-Banking-Trojaner, Ransomware nimmt die Daten in Geiselhaft und fordert Lösegeld. Der eine oder andere erinnert sich noch an „WannaCry“, der im Mai 2017 innerhalb von Tagen Hunderttausende Rechner weltweit infizierte und wichtige Daten ver- schlüsselte. Nicht nur die Deutsche Bahn, das britische Gesundheitswesen und die Zentrale von Renault in Frankreich waren davon betroffen, son- dern auch österreichische Firmen.


Was die Angriffsszenarien angeht, sind der Kreativität der Hacker nur we- nige Grenzen gesetzt. Und die Angriffsziele wachsen exponentiell an: Durch das Internet of Things (IoT) hängen so viele Geräte im Netz wie noch nie. 2022 sollen es Schätzungen zufolge 50 Milliarden sein. IoT bie- tet oft wenige Schutzmechanismen, dafür immer mehr Rechenleistung. Die smarten Tools sammeln ständig Daten und erteilen auf Anfrage von außen meist allzu bereitwillig Auskunft. Ein wunderbares Spielfeld für Cy- berkriminelle.


Wir sind die Guten

Doch auch auf der „guten Seite der Macht“ tut sich vieles: Für gefinkelte ITler mit den besten Absichten eröffnet sich ein riesengroßer Bereich mit spannenden, zukunftssicheren Beschäftigungsmöglichkeiten. Ihre Diens- te sind wertvoll und entsprechend gefragt. „Wir sehen einen positiven Trend. Mittlerweile haben Unternehmen verstanden, dass sie aktiv wer- den müssen. Früher waren kritische Systemschwachstellen leichter zu fin- den“, berichtet Ulrich Fleck, Geschäftsführer der SEC Consult. Seit der EU- Datenschutzgrundverordnung haften Unternehmen mit hohen Summen dafür, wenn Daten gestohlen werden. Auch das hat das Bewusstsein ge- stärkt, die Sicherheitsvorkehrungen hochzufahren und regelmäßig testen zu lassen.


Die Wege des Hackers sind unergründlich

Die Karrierewege hin zum White-Hat-Hacker sind so vielfältig wie das Le- ben selbst. Bei SEC Consult sitzen einschlägig ausgebildete IT-Sicherheits- experten genauso wie Autodidakten, die sich in der Freizeit alles selbst beigebracht haben. Manche haben eigentlich etwas ganz anderes gelernt, etwa ein Chemiestudium oder eine Ausbildung zum Kampfpiloten absol- viert. „Neben der technischen Expertise achten wir auf Soft Skills im Um- gang mit Menschen, denn jeder White Hat muss nicht nur im Team arbei- ten, sondern sich auch mit dem Kunden austauschen“, sagt Christine Schiesser, die für das Recruiting zuständig ist. „Das Wichtigste ist das Mindset. Wir brauchen Leute, die gerne Probleme aufdecken und Spaß am Rätsellösen haben“, so Firmenchef Ulrich Fleck.


Ihren Spürsinn für Sicherheitslücken haben die meisten schon in der Schulzeit entdeckt. Auch bei Roland Wallner war das so: Der Spieltrieb brachte ihn im Gymnasium dazu, die Sperre durch den Admin bei einem Game zu umgehen, der das aber gleich bemerkt hat. „Er hat toll reagiert! Er hat uns signalisiert, dass es gut ist, wenn wir Fehler finden – wenn wir sie melden“, so Wallner. Mittlerweile arbeitet er im Developer-Team bei CASC Software und kümmert sich darum, dass Systeme von Anfang an sicher gebaut werden. Den Job hat er seinen White-Hat-Fähigkeiten zu verdanken: „Ich habe ein Security-Issue auf der Unternehmenswebsite entdeckt und gemeldet. So wurden sie auf mich aufmerksam und haben mich eingestellt.“


Hacken für einen Finderlohn

White Hats sind nicht nur angestellt, manche hacken auf eigene Faust. Un- ternehmen schreiben Bug Bountys, eine Art Finderlohn, aus. Vor allem große Firmen wie Google, Tesla oder Facebook stellen hohe Beträge in Aussicht. Im Web kursieren Geschichten über Ethical Hacker, die den Topf geknackt haben und nun im Geld schwimmen. „In Wahrheit können die wenigsten davon leben. Und die Firmen sparen sich eine Menge Geld, weil ein großer Schwarm ihr System akribisch nach Fehlern durchforstet“, so Ulrich Fleck. Die ausgehängte „Karotte“ kommt im Vergleich zur geleiste- ten Arbeit günstig.


Auch Roland Wallner interessiert sich wenig für Bug Bountys: „Der Wett- bewerb ist sehr hoch. Ich sehe den Bedarf eher bei kleinen Firmen.“ Ein fixer Job habe auch seine Vorteile, allen voran das regelmäßige Einkom- men. Hollywoodfilme würden häufig ein völlig überzogenes Bild von Ha- ckern vermitteln, findet Stefan Prinz: „Bei uns gibt es keine Kapuzen- pflicht. Es ist ein toller und seriöser Beruf.“

Ulrich Fleck, Geschäftsführer der SEC Consult

Foto: SEC Consult

Stefan Prinz, Teamleader bei SEC Defence, leistet Erste Hilfe, wenn ein Cyberangriff bereits erfolgt ist.

Foto: SEC Consult

Foto: shutterstock.com/Gulliver20

„Ich habe ein Security- Issue auf der Unternehmenswebsite entdeckt und gemeldet. So wurden sie auf mich aufmerksam und haben mich eingestellt.“

Roland Wallner,

Developer bei CASC Software

Roland Wallner (3. v. r.) macht seit 2013 bei der Cyber Security Challenge mit. Heuer holte er mit dem Team Austria den europaweiten 3. Platz.

Foto: CSA