Können Firmen Hackern trauen?

Ina Hönicke ist freie Journalistin in München.
Wer seine IT schützen will, kommt nicht ohne Computerfreaks aus, die die Tricks der Angreifer auch selbst beherrschen.
Hans-Christian Boos, Arago: 'Enthusiastische Hacker, die für die Freiheit der Informationen kämpfen, gibt es nicht mehr viele.'
Hans-Christian Boos, Arago: 'Enthusiastische Hacker, die für die Freiheit der Informationen kämpfen, gibt es nicht mehr viele.'

Nimmt man die CeBIT als Gradmesser, so scheint IT-Sicherheit in den Unternehmen oberste Priorität zu haben. Der Markt für Security-Tools und -Dienste brummt weltweit, das von Gartner festgestellte Gesamtvolumen von 12,9 Milliarden Dollar für 2004 spricht eine deutliche Sprache. Angesichts von immer mehr digitalen Angriffen wundert es nicht, dass Anwender verstärkt in Schutzmaßnahmen investieren. Doch mit Technik allein ist es nicht getan.

Hans-Christian Boos, Geschäftsführer des Frankfurter Sicherheitsdienstleisters Arago: "Um den elektronischen Angreifern Paroli bieten zu können, braucht ein Unternehmen hoch qualifizierte und motivierte Sicherheitsexperten." Dementsprechend rosig sind die Zeiten für diejenigen, die auf diesem Feld arbeiten. Ihre Zahl soll laut IDC weltweit von heute 1,3 Millionen auf fast 2,2 Millionen im Jahr 2008 steigen.

Hier lesen Sie ...

  • was kriminelle von ethischen Hackern unterscheidet;

  • worauf Unternehmen bei der Einstellung von Sicherheitsprofis achten;

  • warum zur Abwehr virtueller Angreifer Erfahrung besonders wichtig ist.

Sicherheitsprofis gefragt

Da die Attacken zahlreicher und die elektronischen Angreifer professioneller werden, sind die Unternehmen vor allem an erfahrenen IT-Sicherheitsexperten interessiert. Andreas Burau von der Experton Group: "Für diesen ständigen Hase- und Igel-Wettlauf zwischen Internet-Kriminellen und Security-Profis sind Selbstbewusstsein und Erfahrung eine wichtige Voraussetzung." Da IT-Security jedoch ein relativ junges Feld ist, sind solche Experten auf dem Arbeitsmarkt Mangelware.

Wenn schon nicht erfahren, dann wenigstens fachkundig, scheinen sich viele Personalchefs demzufolge zu denken. Hacker-Wettbewerbe an Universitäten ziehen die Aufmerksamkeit der Unternehmen auf sich. An der RWTH Aachen traten im Sommer Informatikstudenten aus Deutschland, Italien, Tschechien, den USA, Kanada, Indien, Argentinien und Nigeria gegeneinander an, um einen Internet-Server vor den Angriffen der anderen Teams zu schützen. Projektbetreuer Lexi Pimenidis: "Nach solchen Veranstaltungen werden wir immer von Anfragen überschwemmt. Den Teilnehmern stehen sozusagen alle Türen offen - und das noch vor dem Ende ihres Studiums." Dabei bestehe für die Unternehmen durchaus Gefahr, sich einen "unseriösen Hacker" ins Haus zu holen. Pimenidis: "Um das zu verhindern, ist bei der Rekrutierung Menschenkenntnis gefragt." Der Wissenschaftler räumt ein, dass solche Wettbewerbe durchaus als Teil einer Hacker-Ausbildung gesehen werden können: "Im universitären Bereich verstehen wir unter einem Hacker jemanden, der die Sicherheitsmechanismen und -anfälligkeiten von Computersystemen beherrscht." Nur außerhalb der Hochschulen sei der Begriff negativ belegt (siehe Interview "Hacker ist nicht gleich Hacker").

Strenge Einstellkriterien

Vom IT-Sicherheits-Boom profitiert auch Andreas Habedank, Inhaber des IT-Dienstleisters Hbdk.de - IT Security in Schliersee. Dass in seinen Trainingskursen Hacker zu finden sind, hält er für unwahrscheinlich: "Die Cyber-Kriminellen sind doch so fit, dass sie Weiterbildung nicht nötig haben." Außerdem fänden sie mehr als genug Informationen im Internet. Habedank ist sicher, dass kriminelle (Black-Hat-)Hacker von den Mitteilungen der ethischen (White-Hat-)Hacker aus dem universitären Bereich, die Schwachstellen im Netz publik machen, viel mehr profitieren als von einem Seminar: "Solche Berichte sind oft eine Steilvorlage für elektronische Eindringlinge."

Trotzdem würde der Seminarleiter über die Motivation eines Teilnehmers nachdenken, sollte sich dieser "merkwürdig" verhalten. Habedank: "Der Ausschluss eines Teilnehmers aufgrund eines unguten Gefühls ist immer eine Option." Auch Unternehmen seien gut beraten, Bewerber intensiv zu befragen, damit sie nicht den Bock zum Gärtner machen und einen kriminellen "Sicherheitsexperten" einstellen. In späteren Mitarbeiterbefragungen und Karrieregesprächen könne man nötigenfalls dann nachhaken.