Auftrags-Hacker

"Ein sicherer Bezahlprozess ist nicht alltagstauglich"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Alexander Dreyßig betreut als Portal Manager das Online-Angebot des TecChannel. Neben seinen umfangreichen Tätigkeiten im Bereich Content Management ist er als Autor im Bereich Hardware- und IT-Gadgets aktiv.
Sebastian Schreiber, Profi-Hacker und Geschäftsführer der SySS GmbH, über seine Arbeit als Auftrags-Hacker, unsichere Webshops und Fehler der Unternehmen.
Auftrags-Hacker Sebastian Schreiber findet Sicherheitslücken überall. (Foto: Simon Hülsbömer)
Auftrags-Hacker Sebastian Schreiber findet Sicherheitslücken überall. (Foto: Simon Hülsbömer)

CW: Welche Web-Anwendungen sind notorisch schlecht gesichert? Fallen nur kleinere, schlecht programmierte Shops negativ auf?

SCHREIBER: Zum einen sind die Zahlungsprozesse der Anbieter häufig unsicher. Zum anderen ist - bei komplexeren Web-Applikationen wie Online-Dating und Web-2.0-Communities - die Wahrscheinlichkeit sehr niedrig, dass wirklich alle Sicherheitslücken geschlossen wurden.

CW: Bei den meisten Firmen handelt es sich aber nicht um Webshops oder Banken. Welche extern erreichbaren Anwendungen bergen hier das größte Risiko?

SCHREIBER: Viele Unternehmen bieten ihren Mitarbeitern auch von unterwegs Zugriff auf ihre E-Mail-Konten. Oder denken Sie an die Möglichkeit, Dateien via FTP hochzuladen, SSL-VPNs, Bieterplattformen von Einkäufern oder Human-Resources-Portale. Man glaubt gar nicht, wie viele Applikationen in jedem Unternehmen laufen.

CW: Von Online-Banking bis Paypal: Gibt es überhaupt ein sicheres Verfahren für Online-Bezahlprozesse?

SCHREIBER: Immer wenn ich mit Softwareingenieuren oder an Hochschulen spreche, herrscht unter Studenten und Professoren völliges Unverständnis über unsere erfolgreichen Angriffe. In der Praxis werden jedoch sehr viele verschiedene Bezahlprozesse angeboten, die zudem noch abwärtskompatibel sein müssen. Häufig sind alte und neue Verfahren ineinander verschachtelt und kompliziert verknüpft. Dies führt zu Unsicherheit. Zudem ist ein vollkommen sicherer Bezahlprozess zwar umsetzbar, jedoch leider nicht alltagstauglich.

CW: Betrachtet man die vielen Sicherheitslücken, scheinen Unternehmen generell zu wenig Security-Experten zu beschäftigen, die schon bei der Softwareentwicklung Sicherheitslücken schließen.

SCHREIBER: In vielen Firmen spielen Interessenkonflikte eine Rolle. Primär sollen Anwendungen möglichst schnell entwickelt werden und zudem hochperformant sein. Gerade in den Chefetagen wird hierauf Wert gelegt. Sicherheitslücken sind dagegen nicht so einfach auszumachen.

CW: Sie arbeiten primär als Auftrags-Hacker. Wie hoch ist Ihre Erfolgsquote?

SCHREIBER: Bei internen Penetrationstests, sprich bei Angriffen von einem Rechner der Mitarbeiter aus, liegt unsere Erfolgsquote bei 100 Prozent. Bei externen Angriffen zwischen 80 und 90 Prozent, je nach Art des Tests.

CW: Neben Unternehmen haben auch Polizeibehörden und Geheimdienste ein erhöhtes Sicherheitsbedürfnis. Wird hier rein auf interne Ressourcen gesetzt oder beschäftigt man auch externe Experten wie Sie?

SCHREIBER: Natürlich wird auch hier auf externes Know How zurückgegriffen. Darüber hinaus bieten wir auch Schulungen für Mitarbeiter an.

Inhalt dieses Artikels