Nimmt man die CeBIT als Gradmesser, so scheint IT-Sicherheit in den Unternehmen oberste Priorität zu haben. Der Markt für Security-Tools und -Dienste brummt weltweit, das von Gartner festgestellte Gesamtvolumen von 12,9 Milliarden Dollar für 2004 spricht eine deutliche Sprache. Angesichts von immer mehr digitalen Angriffen wundert es nicht, dass Anwender verstärkt in Schutzmaßnahmen investieren. Doch mit Technik allein ist es nicht getan. Hans-Christian Boos, Geschäftsführer des Frankfurter Sicherheitsdienstleisters Arago: "Um den elektronischen Angreifern Paroli bieten zu können, braucht ein Unternehmen hoch qualifizierte und motivierte Sicherheitsexperten." Dementsprechend rosig sind die Zeiten für diejenigen, die auf diesem Feld arbeiten. Ihre Zahl soll laut IDC weltweit von heute 1,3 Millionen auf fast 2,2 Millionen im Jahr 2008 steigen.
"Hacker ist nicht gleich Hacker"
Zwischen Hackern, Crackern und Script-Kiddies gibt es Unterschiede. Ina Hönicke sprach mit dem Heidelberger Diplompsychologen Alexander Schestag.
CW: Besteht die Gefahr, dass aus Computerfreaks irgendwann kriminelle Hacker werden?
SCHESTAG: Zunächst einmal eine kritische Anmerkung zum Begriff "Hacker". Die Hacker-Szene wehrt sich zu Recht gegen die Gleichsetzung des Worts mit "kriminell". Ein Hacker ist der ursprünglichen Definition nach ein Mensch, der sich für einen kreativen Umgang mit der Technik interessiert. Erst im Laufe der Jahre wurde der Begriff, der übrigens am Massachusetts Institute of Technology (MIT) entstand, zunehmend kriminalisiert. Die Hacker-Szene nennt Menschen, die in Computersysteme eindringen und Daten stehlen oder zerstören, "Cracker". Jugendliche wiederum, die mit wenig technischem Sachverstand vorgehen, werden als "Script-Kiddies" bezeichnet. Kurzum - Hacker ist nicht gleich Hacker. Ich bin sogar überzeugt, dass die wenigsten Computerfreaks Schaden anrichten wollen.
CW: Sie können aber nicht abstreiten, dass Computersysteme von elektronischen Eindringlingen attackiert werden. Was sind denn Ihrer Meinung nach deren Motive?
SCHESTAG: Viele wollen Macht ausüben oder Eindruck bei den Leuten schinden, mit denen sie Daten austauschen. Andere wollen Sicherheitslücken erkunden und beispielsweise Microsoft auf Systemschwächen hinweisen. Mitunter wissen die so genannten Hacker auch gar nicht, dass sie mit ihrem Vorgehen großen Schaden anrichten können.
CW: Nun gibt es unter den Hackern auch etliche Informatikstudenten. Sehen Sie hier eine Gefahr?
SCHESTAG: Die meisten Erwachsenen gehen verantwortungsvoll mit ihrem Wissen um. Natürlich gibt es auch studierte Kriminelle, aber die Mehrzahl möchte vorrangig auf Schwächen in den Systemen hinweisen. Das gerät zur Gratwanderung. Aber diese entsteht überwiegend durch die Kriminalisierung von Leuten, die - ohne kriminelle Motive - Schwächen in Systemen aufdecken. Leider besteht in den Medien nach wie vor das Bild vom so genannten kriminellen Hacker, der Pizza futternd in einem abgedunkelten Raum sitzt und reihenweise in fremde Systeme eindringt. Dieses Bild ist ein Mythos. Hacker sind oft politisch motiviert. Sie setzen sich für den Schutz privater Daten und für die Informationsfreiheit ein. Das Problem ist nur: Solche Hacker sind für die Medien nicht interessant.
Hier lesen Sie …
www.computerwoche.de/go/
553486: Arbeitsmarkt für Sicherheitsexperten;
566041: Zertifizierung für Security-Profis.
Sicherheitsprofis gefragt
Da die Attacken zahlreicher und die elektronischen Angreifer professioneller werden, sind die Unternehmen vor allem an erfahrenen IT-Sicherheitsexperten interessiert. Andreas Burau von der Experton Group: "Für diesen ständigen Hase- und Igel-Wettlauf zwischen Internet-Kriminellen und Security-Profis sind Selbstbewusstsein und Erfahrung eine wichtige Voraussetzung." Da IT-Security jedoch ein relativ junges Feld ist, sind solche Experten auf dem Arbeitsmarkt Mangelware.
Wenn schon nicht erfahren, dann wenigstens fachkundig, scheinen sich viele Personalchefs demzufolge zu denken. Hacker-Wettbewerbe an Universitäten ziehen die Aufmerksamkeit der Unternehmen auf sich. An der RWTH Aachen traten im Sommer Informatikstudenten aus Deutschland, Italien, Tschechien, den USA, Kanada, Indien, Argentinien und Nigeria gegeneinander an, um einen Internet-Server vor den Angriffen der anderen Teams zu schützen. Projektbetreuer Lexi Pimenidis: "Nach solchen Veranstaltungen werden wir immer von Anfragen überschwemmt. Den Teilnehmern stehen sozusagen alle Türen offen - und das noch vor dem Ende ihres Studiums." Dabei bestehe für die Unternehmen durchaus Gefahr, sich einen "unseriösen Hacker" ins Haus zu holen. Pimenidis: "Um das zu verhindern, ist bei der Rekrutierung Menschenkenntnis gefragt." Der Wissenschaftler räumt ein, dass solche Wettbewerbe als Teil einer Hacker-Ausbildung gesehen werden können: "Im universitären Bereich verstehen wir unter einem Hacker jemanden, der die Sicherheitsmechanismen und -anfälligkeiten von Computersystemen beherrscht." Nur außerhalb der Hochschulen sei der Begriff negativ belegt (siehe Interview "Hacker ist nicht gleich Hacker").
Strenge Einstellkriterien
Vom IT-Sicherheits-Boom profitiert auch Andreas Habedank, Inhaber des IT-Dienstleisters Hbdk.de - IT Security in Schliersee. Dass in seinen Trainingskursen Hacker zu finden sind, hält er für unwahrscheinlich: "Die Cyber-Kriminellen sind doch so fit, dass sie Weiterbildung nicht nötig haben." Außerdem fänden sie mehr als genug Informationen im Internet. Habedank ist sicher, dass kriminelle (Black-Hat-)Hacker von den Mitteilungen der ethischen (White-Hat-)Hacker aus dem universitären Bereich, die Schwachstellen im Netz publik machen, viel mehr profitieren als von einem Seminar: "Solche Berichte sind oft eine Steilvorlage für elektronische Eindringlinge."
Trotzdem würde der Seminarleiter über die Motivation eines Teilnehmers nachdenken, sollte sich dieser "merkwürdig" verhalten. Habedank: "Der Ausschluss eines Teilnehmers aufgrund eines unguten Gefühls ist immer eine Option." Auch Unternehmen seien gut beraten, Bewerber intensiv zu befragen, damit sie nicht den Bock zum Gärtner machen und einen kriminellen "Sicherheitsexperten" einstellen. In späteren Mitarbeiterbefragungen und Karrieregesprächen könne man nötigenfalls dann nachhaken.
Hacker lernen aus dem Internet
Der englische Schulungsanbieter Training Camp veranstaltet zertifizierte Hacker-Kurse und sieht darin kein großes Risiko. Geschäftsführer Robert Chapman räumt jedoch ein: "Natürlich lässt sich der Missbrauch des erworbenen Wissens nicht völlig ausschließen. Um dem vorzubeugen, verpflichten sich alle Kursteilnehmer schriftlich, das Erlernte nicht für illegale Aktivitäten zu nutzen. Bei Zuwiderhandlungen drohen empfindliche Strafen." Zudem würden alle Teilnehmer registriert. Nach Chapmans Erfahrung eignen sich Hacker ihr Wissen nicht in Kursen an, sondern indem sie im Internet herumstöbern und mit Informationen experimentieren. Der Trainingsexperte: "Die Cyber-Kriminellen lernen durch den direkten Kontakt mit Gleichgesinnten in Clubs oder auf in der Szene bekannten Internet-Seiten. Dort tauschen sie Tricks und Tools miteinander aus."
Dass die Personalchefs bei den Teilnehmern von Anti-Hacker-Wettbewerben Schlange stehen, kann Arago-Chef Boos nicht nachvollziehen. Studenten und Hochschulabsolventen fehle es noch an der nötigen Praxiserfahrung. Er würde Einsteigern, die sich ihr IT-Sicherheitswissen in Kursen angeeignet haben, nicht sofort verantwortungsvolle Aufgaben übertragen: "Die potenziellen Security-Profis sollten entweder in einem anderen Unternehmen Projekterfahrung gesammelt haben oder im eigenen Haus eine Art Trainee-Programm durchlaufen." Letzteres hält Boos für besonders empfehlenswert: "Einerseits lernen die künftigen Sicherheitsexperten die Prozesse und Abläufe im Unternehmen kennen, andererseits können die Verantwortlichen feststellen, wie die Neuen sich in stressigen Situationen bewähren."
Hohe Dunkelziffer
In Sachen Sicherheit gibt es laut Boos zwei Möglichkeiten. Wenn eine Firma hauptsächlich an technischer Absicherung interessiert sei, sollte sie sich einen echten Freak holen: "Der liebt seinen Job und möchte in Ruhe arbeiten. Wenn ihm ausreichend Technik zur Verfügung steht, ist er glücklich." Braucht ein Unternehmen Sicherheitsexperten, die neben technischem Know-how über Prozess- und Organisationswissen verfügen, gestalte sich die Suche um einiges schwieriger. Boos: "In diesem Fall steht die seltene Mischung aus Betriebswirt und Informatiker auf dem Wunschzettel." Wer diese Voraussetzung erfülle, sei sich seines Wertes bewusst. Boos: "Bei diesen Leuten ist deshalb die Wahrscheinlichkeit, sie zu kriminellen Handlungen verleiten zu können, um einiges größer als bei enthusiastischen Freaks."
Die Dunkelziffer an Sicherheitsprofis, die im eigenen Unternehmen Netze angreifen, ist nach Meinung des Arago-Vorstands hoch: "Allerdings hüllen sich die Unternehmen in diesem Punkt nach wie vor in Schweigen. Über Schäden dieser Art soll die Öffentlichkeit nichts erfahren." Für Boos steht fest, dass Kontrollen zwar unabdingbar sind, sich die Verantwortlichen im Unternehmen bei der Entscheidung für Sicherheitsexperten aber auf ihre Menschenkenntnis verlassen müssen.
Grundsätzlich gibt der Arago-Chef ehemaligen Hackern eine Chance: "Wenn jemand im Einstellungsgespräch offen einräumt, dass er Systeme geknackt hat, stelle ich ihn eher ein als denjenigen, der das strikt leugnet. Bei dem Ersten weiß ich zumindest, dass er ehrlich ist." Boos bedauert, dass die Zeiten der enthusiastischen Hacker, die noch für die Freiheit der Informationen gekämpft haben, vorbei sind: "Von diesen Idealisten gibt es heute nicht mehr viele. Wenn man Glück hat, arbeiten sie bei einem seriösen Sicherheitsdienstleister."
"Einwandfreie geistige Haltung"
Das sieht Bernd Hilgenberg, IT-Chef der Fressnapf Tiernahrungs GmbH, anders: "Das ist ja so, als würde ein Bankräuber in einem Sicherheitsunternehmen die Tresore überwachen. Gerade in einem so sensiblen Bereich wie der IT-Sicherheit ist eine einwandfreie geistige Haltung vonnöten." Der IT-Verantwortliche rät dazu, bei der Rekrutierung von potenziellen Security-Mitarbeitern auf die Zwischentöne zu achten: "Wenn sich ein Kandidat mit besonderem Know-how und Erfolgen brüstet, ist eine gewisse Vorsicht angebracht." Hilgenberg sieht es als seine Aufgabe an, im Unternehmen selbst für ein größtmögliches Maß an IT-Security zu sorgen: "Um das zu erreichen, bringe ich mein Sicherheitswissen ständig auf den neuesten Stand und bespreche Bedenken mit den Fachbereichen." Sollte es dennoch zu einem Notfall kommen, zieht der Fressnapf-Manager eine IT-Sicherheitsfirma zu Rate.
Bei DNV (Det Noske Veritas) haben es Info-Banditen besonders schwer. Die potenziellen Sicherheitsmitarbeiter müssen bei dem norwegischen Zertifizierungsunternehmen erst alle Abteilungen durchlaufen, bis sie in das Expertenteam "Sicherheit" kommen.
Guido König, der die deutsche IT-Abteilung von DNV in Essen leitet, die europäische Anwender auch zu Sicherheitsthemen betreut: "Wir schützen uns vor unseriösen Sicherheitsprofis, indem unsere Expertenteams nur intern besetzt werden. Einsteiger von außen haben da in der Regel keine Chance." (hk)