Auftrags-Hacker

"Ein sicherer Bezahlprozess ist nicht alltagstauglich"

02.05.2011
Von  und


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Alexander Dreyßig betreut als Senior Portal Manager die Online-Angebote von Computerwoche, CSO und TecChannel. 
Sebastian Schreiber, Profi-Hacker und Geschäftsführer der SySS GmbH, über seine Arbeit als Auftrags-Hacker, unsichere Webshops und Fehler der Unternehmen.

CW: Welche Web-Anwendungen sind notorisch schlecht gesichert? Fallen nur kleinere, schlecht programmierte Shops negativ auf?

SCHREIBER: Zum einen sind die Zahlungsprozesse der Anbieter häufig unsicher. Zum anderen ist - bei komplexeren Web-Applikationen wie Online-Dating und Web-2.0-Communities - die Wahrscheinlichkeit sehr niedrig, dass wirklich alle Sicherheitslücken geschlossen wurden.

CW: Bei den meisten Firmen handelt es sich aber nicht um Webshops oder Banken. Welche extern erreichbaren Anwendungen bergen hier das größte Risiko?

SCHREIBER: Viele Unternehmen bieten ihren Mitarbeitern auch von unterwegs Zugriff auf ihre E-Mail-Konten. Oder denken Sie an die Möglichkeit, Dateien via FTP hochzuladen, SSL-VPNs, Bieterplattformen von Einkäufern oder Human-Resources-Portale. Man glaubt gar nicht, wie viele Applikationen in jedem Unternehmen laufen.

CW: Von Online-Banking bis Paypal: Gibt es überhaupt ein sicheres Verfahren für Online-Bezahlprozesse?

SCHREIBER: Immer wenn ich mit Softwareingenieuren oder an Hochschulen spreche, herrscht unter Studenten und Professoren völliges Unverständnis über unsere erfolgreichen Angriffe. In der Praxis werden jedoch sehr viele verschiedene Bezahlprozesse angeboten, die zudem noch abwärtskompatibel sein müssen. Häufig sind alte und neue Verfahren ineinander verschachtelt und kompliziert verknüpft. Dies führt zu Unsicherheit. Zudem ist ein vollkommen sicherer Bezahlprozess zwar umsetzbar, jedoch leider nicht alltagstauglich.

CW: Betrachtet man die vielen Sicherheitslücken, scheinen Unternehmen generell zu wenig Security-Experten zu beschäftigen, die schon bei der Softwareentwicklung Sicherheitslücken schließen.

SCHREIBER: In vielen Firmen spielen Interessenkonflikte eine Rolle. Primär sollen Anwendungen möglichst schnell entwickelt werden und zudem hochperformant sein. Gerade in den Chefetagen wird hierauf Wert gelegt. Sicherheitslücken sind dagegen nicht so einfach auszumachen.

CW: Sie arbeiten primär als Auftrags-Hacker. Wie hoch ist Ihre Erfolgsquote?

SCHREIBER: Bei internen Penetrationstests, sprich bei Angriffen von einem Rechner der Mitarbeiter aus, liegt unsere Erfolgsquote bei 100 Prozent. Bei externen Angriffen zwischen 80 und 90 Prozent, je nach Art des Tests.

CW: Neben Unternehmen haben auch Polizeibehörden und Geheimdienste ein erhöhtes Sicherheitsbedürfnis. Wird hier rein auf interne Ressourcen gesetzt oder beschäftigt man auch externe Experten wie Sie?

SCHREIBER: Natürlich wird auch hier auf externes Know How zurückgegriffen. Darüber hinaus bieten wir auch Schulungen für Mitarbeiter an.