Platz 3: Der Spionage-Ingenieur (verdeckte Operation)

Traumjob zu vergeben für aalglatte Individuen, die gern lügen, betrügen, stehlen und widerrechtlich in die Unternehmensnetze einbrechen - in Form von Penetrationstests. Die Anforderungen umfassen Erfahrungen mit Hacking und Malware genauso wie schauspielerisches Talent; der Bewerber muss glaubwürdig einen Kammerjäger oder Feuerwehrmann verkörpern können. Bitte legen Sie dem Lebenslauf ein polizeiliches Führungszeugnis bei.

Wie immer Sie ihn auch nennen - Social Engineer, Trickbetrüger, Penetrationstester oder White Hat Hacker - der Beruf, den Jim Stickley ausübt, hört sich an wie der pure Spaß, ist aber in Wirklichkeit ein ziemlich dreckiger Job. Stickley ist Vice-President of Engineering und Chief Technology Officer (CTO) bei TraceSecurity in Baton Rouge, Louisiana. Zu seinen Aufgaben zählt es, sich in die Büros seiner Kundenunternehmen hineinzuquatschen, in ihre Rechenzentren zu schlüpfen, mit ihren digitalen Kronjuwelen abzuhauen und später zurückzukommen, um ihnen zu zeigen wie er ihre Sicherheitsvorkehrungen ausgetrickst hat.

Das Beste daran ist die Möglichkeit, sich zu verkleiden: als Spezialist für Ungezieferbefall, Elektriker, Arbeitsschutzbeauftragter etc. Stickley und sein Team haben einen ganzen Schrank voller Uniformen. Die Lieblingsverkleidung seiner Leute ist Feuerwehrmann: "Wenn du den Brandbekämpfer gibst, fallen dir alle Mädchen um den Hals, aber wenn du als Kammerjäger kommst, bist du der Abschaum."

Zuerst übernehmen Stickleys Leute das unternehmenseigene E-Mail-System und vereinbaren einen Termin. Dann rücken sie in der passenden Tarnkleidung an. Wer immer abgestellt wurde, um sie zu beaufsichtigen, geht nach etwa fünf Minuten zur Tagesordnung über, berichtet Stickley. In hartnäckigen Fällen schickt er ihn oder sie auch schon mal zum Kaffeeholen- oder er zeigt ihr eine tote (Plastik-) Maus, die er angeblich in einer Ecke gefunden hat. In den meisten Fällen wirkt das. Sobald er allein ist, dringt der Tester in den Sicherheitsraum ein, sackt die Backup-Bänder ein, lädt Trojaner auf den Server oder klinkt drahtlose Devices in das Netz ein, um es später vom Parkplatz aus zu hacken.

"Wenn wir die Backup-Bänder kriegen können, war's das", sagt Stickley: "Darauf befindet sich alles, was du willst: die Mädchennamen der Mütter, die Sozialversicherungsnummer etc." Er sei auch schon mit ganzen Computern, Kisten voller Kreditunterlagen oder noch nicht eingereichten Patentanträgen aus dem Unternehmen spaziert: "Das ist kaum zu fassen." Eigenen Angaben zufolge ist Stickley auf diese Weise in mehr als 1000 Unternehmensniederlassungen eingedrungen - ohne jemals aufgehalten worden zu sein. (Zum Thema siehe auch: "Können die Unternehmen Hackern trauen?")

Der unangenehme Teil folgt am nächsten Tag: Dann muss der Penetrationstester den Leuten ins Gesicht sehen, denen er am Tag zuvor so übel mitgespielt hat. "Da fühlst du dich wie der letzte Dreck", bekennt der Sicherheitsexperte. "Die Leute sind stinksauer auf dich. Sie sagen: Ich kann nicht fassen, dass ich Ihnen auch noch eine Tasse Kaffee angeboten habe." Dabei gehe es ja eigentlich nur darum, ihnen zu helfen, damit sie aus der Erfahrung lernen können. Der einzige, dem wirklich Unrecht getan werde, sei denn auch jemand anderer. Stickley: "Mir tut der wirkliche Kammerjäger leid, der nach mir in das Unternehmen kommt."