Penetrationstester - Rent a Hacker

ByoD - Hintertür ins Unternehmen?

Jan-Bernd Meyer betreut als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" ist Meyer zuständig. Inhaltlich betreut er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.   
Ein Thema elektrisiert IT-Verantwortliche überall in der Welt: Bring your own Device (ByoD). Für die einen ist es die Wunderrezeptur für Flexibilität, Mobilität und Kostenreduktion im Unternehmen. Für andere ein Sicherheits-Albtraum.
Sebastian Schreiber von der Syss GmbH hat als Penetrationstester sein Hobby zum Beruf gemacht. Vor seinem Team sind IT-Infrastrukturen von Firmen nicht sicher.
Sebastian Schreiber von der Syss GmbH hat als Penetrationstester sein Hobby zum Beruf gemacht. Vor seinem Team sind IT-Infrastrukturen von Firmen nicht sicher.
Foto: Syss GmbH

Spätestens, seit Apple mit seinen iPhones und iPads die Mobility-Diskussion anheizte, werden diese Geräte auch in Unternehmen als Teil der IT-Infrastruktur gesellschaftsfähig. Es gibt Unternehmensverantwortliche, die etwa Tablets fast schon als Antwort auf alle möglichen Probleme ansehen - angefangen bei der Kostenthematik über die Flexibilisierung der IT bis zum Konzept der ubiquitär verfügbaren Firmendaten.

Aber das ByoD-Konzept kann sich auf die Sicherheit der IT-Infrastruktur von Unternehmen und auf die Integrität von Informationen und Daten fatal auswirken. In der Theorie ist sich jeder bewusst, dass mit dem Einsatz der Mobilgeräte Unternehmen eine zentrale Aufgabe erwächst: Wie kann man ByoD-Strategien verfolgen und trotzdem nicht in die Sicherheitsfalle stolpern?

Nagelprobe: Rent a Hacker

Intelligente Unternehmen bedienen sich auf der Suche nach Antworten auf diese Fragen Experten. Weniger elegant kann man sie auch als Hacker bezeichnen. Sie haben ihr Hobby zum Beruf gemacht und arbeiten als Penetrationstester. Oder, wie es ein Großer der Hacker-Szene, Kevin Mitnick, kürzlich im Computerwoche-Interview auf den Punkt brachte, als "Hacker for rent".

Einer dieser Spezialisten, die Einfallstore in die Unternehmensinfrastruktur aufspüren, ist Sebastian Schreiber von der Syss GmbH. Er hat im Auftrag eines Dax-30-Unternehmens dessen IT-Infrastruktur getestet. Bei solchen erwünschten Attacken kommen unterschiedliche Security-Scanner zum Einsatz. Man-in-the-Middle-Proxies verwenden die Spezialisten zur Analyse. Prozesse auf dem zu attackierenden Gerät werden mit Debuggern analysiert und manipuliert. Im aktuellen Fall konzentrierten sich Schreiber und sein Team insbesondere auf Schleichwege, die via Tablet-Systeme - hier iPads - ins Zentrum der Konzern-IT führten. Sie wurden fündig.