Deutsche Sicherheits-Forscher als Hacker im Internet: Attacken gegen IT-Systeme von Kunden

Eigentlich erforschen und entwickeln sie Hightech-Lösungen für mehr Internet-Sicherheit, die jungen Wissenschaftler des Trierer Instituts für Telematik. Doch einige wechseln jetzt die Fronten: Als Hacker werden sie künftig versuchen, durch Schlupflöcher in Computer-Netzwerke von Firmen einzudringen – allerdings nur, wenn die Unternehmen sie dazu beauftragen. Ein sogenanntes „Tiger Team“ soll mit den gleichen Werkzeugen und Tricks, wie Hacker sie anwenden, Schwachstellen in der elektronischen Abwehr der Auftraggeber aufdecken. Dadurch können die Unternehmen ihre Schutzmaßnahmen verbessern. Derzeit tüftelt ein Trierer Tiger-Team an elektronischen Attacken auf eine renommierte Bank.

„Unser Tiger-Team kann beim Kunden unabhängig und zuverlässig ermitteln, wie sicher dessen eigene Abwehr wirklich ist. Zudem sind wir nicht betriebsblind, sondern gehen sehr unbefangen an unsere Aufgaben heran“, beschreibt der Direktor des gemeinnützigen Instituts für Telematik e.V., Professor Christoph Meinel (48), die Vorteile der Vorgehensweise seiner Institution. Mit gängigen Routinen, aber auch mit selbst entwickelten Verfahren klopfen die Trierer Wissenschaftler EDV-Systeme auf Schlupflöcher ab.

Manche Auftraggeber favorisieren nach Meinels Worten kostengünstige Basis-Prüfungen. Mit Sicherheitsscannern lassen die Trierer „Anti-Hacker“ dann automatisierte Tests ablaufen und prüfen mit rund 1000 Einzelattacken, ob das IT-System einer Firma gegenüber Angriffen aus dem Internet anfällig ist. „Manchmal wird ein Angriff konkret durchgespielt. In anderen Fällen wird lediglich nach bestimmten Softwarepaketen und deren Versionen gesucht, von denen man weiß, dass sie Sicherheitslücken aufweisen“, verrät der Trierer Institutsleiter. Seine Telematik-„Tiger“ sind aber auch für das „Social Engineering“ gerüstet, bei dem man versucht, über die Schwachstelle Mensch in das System einzudringen.

„Nicht immer kommt man mit automatisierten Basis-Checks genügend weit“, betont Meinel, der auch Lehrstuhlinhaber (C4) für Informatik an der Uni Trier ist. Sein gemeinnützig, unabhängig und wirtschaftsnah arbeitendes Institut für Telematik stellt sich deshalb auch auf die außergewöhnlich hohen Sicherheits-Ansprüche von Firmen und Behörden mit komplexeren IT-Infrastrukturen und -Anwendungen ein: „Hier sind sehr spezifische Tests erforderlich, die jeweils den Gegebenheiten angepasst werden müssen“. Alle Aktivitäten der angeheuerten Trierer Eindringlinge werden protokolliert und in einer Präsentation den zuständigen Fachabteilungen der Kunden vorgelegt. Nach einer Analyse der Sicherheits-Mängelliste schlägt das Institut für Telematik dann Konzepte zur Behebung der Schwachstellen vor. „Mit Hilfe von Schulungsmaßnahmen fördern wir zudem vorsorglich das Sicherheitsbewusstsein der Abteilungen – vom Vorgesetzten bis zu den Anwendern“, ergänzt Prof. Meinel. Sein Institut hat übrigens Anfang des Jahres einen Erfinderpreis bekommen für ein patentiertes Sicherheitsschleusen-System, das Online-Hackern wirksam das Handwerk legt.