Mal sind es Kreditkartendaten, mal vermeintlich gut gehütete Firmengeheimnisse. Wenn Jens Liebchen sich auf ein IT-System eingeschossen hat, gelingt es ihm fast immer, sensible Dokumente und Dateien auf seinen eigenen Computer zu übertragen. Mitunter bringt er so gar eine Produktionsmaschine zum Stillstand. Zu befürchten haben Unternehmen von seinen Angriffen indes nichts – Liebchen ist kein Cyberkrimineller, sondern Geschäftsführer des Aachener IT-Dienstleisters Redteam Pentesting.
Der Name ist Programm. Das Unternehmen ist auf sogenannte Penetrationstests spezialisiert.

Das elfköpfige Team durchforstet im Auftrag von Firmen deren Systeme nach Schwachstellen und nutzt diese zu Demonstrationszwecken auch aus. „Den Kunden wird so klar, wo es Sicherheitslücken gibt“, sagt Liebchen. „Und wir geben Hinweise, wie sich diese schließen lassen.“ In Fachkreisen gelten Penetrationstests – kurz: Pentests – schon lange als wirksames Mittel zur Verbesserung der IT-Sicherheit. Sie richten sich an Softwareanbieter oder Firmen, die Onlineangebote wie Internetshops oder Kundenportale betreiben. Geeignet sind sie aber auch zur Überprüfung der intern genutzten Soft und Hardware.

Deutlich angezogen habe die Nachfrage in den vergangenen Jahren, berichtet Liebchen: „Seit immer neue Datenlecks großer Unternehmen bekannt werden, steigt die Bereitschaft, in die Prävention zu investierten.“ Eine Studie der Nationalen Initiative für Informationsund Internet-Sicherheit (Nifis) untermauert das. Demnach will jedes zweite Unternehmen seine Ausgaben für IT-Sicherheit und Datenschutz im nächsten Jahr erhöhen.

Ein Penetrationstest kann mehrere Zehntausend Euro kosten. Softwarebasierte Schwachstellen-Scans sind deutlich günstiger. „Automatisierte Tools sind aber nur in Lehrbuchszenarien wirksam“, sagt Frank Rustemeyer, Leiter der Abteilung System Security beim Berliner Anbieter Hisolutions. „Ein Penetrationstest ist dagegen ein kreativer Prozess.“ Beteiligt seien mindestens zwei Prüfer. Schätzungen zufolge bieten in Deutschland mehr als 200 Firmen und Einzelunternehmer diese Tests an. Mögliche Qualifikationsnachweise können Schulungszertifikate sein. Experten raten, darauf zu achten, ob ein festes Team mit ausgewiesenen IT-Kenntnissen beschäftigt wird.

„Die IT-Sicherheitslandschaft ist im ständigen Umbruch, die Anbieter müssen permanent in ihre Mitarbeiter investieren“, sagt Manuel Schönthaler, Deutschlandchef des Sans Instituts. Der Weiterbildungsanbieter veranstaltet regelmäßig Livetrainings und Schulungen für professionelle Penetrationstester.

Zu den Referenten gehört Ralf Reinhardt, Chef des Anbieters für Informationssicherheit sic[!]sec. „Auf dem Markt tummeln sich viele Firmen, die immer noch nur die Netzwerkebene analysieren“, sagt er. „Hacker nutzen aber zunehmend Lücken in Webanwendungen aus.“ Pentester müssten Kompetenzen für vernetzte Maschinen mitbringen: „Mit smarten Geräten entstehen ganz neue Einfallstore.“ Orientierung bei der Auswahl von Dienstleistern gibt auch ein kostenloser Praxisleitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Startpunkt ist typischerweise eine ausführliche Beratung: Welche Angriffsszenarien sind realistisch? Gibt es Anwendungen, auf die die Prüfer besonderes Augenmerk legen sollten? Wichtig sind Fragen der Vertraulichkeit: Seriöse Anbieter verpflichten sich, kundenbezogene Daten sicher aufzubewahren und sie nach dem Test zu löschen.

Sowohl Hisolutions als auch Redteam Pentesting raten meist zum sogenannten Graybox-Test. Statt bei null anzufangen, erhalten die Prüfer vorab bestimmte Informationen über die Struktur des Netzwerks und genutzter Programme. „Das sind Dinge, die jeder Hacker mit ein wenig Recherche ohnehin herausfinden würde“, sagt Rustemeyer. Vom Penetrationstest selbst bekommen Auftraggeber meist wenig mit. Sollen auch interne Angriffe simuliert werden, brauchen die Prüfer aber einen Arbeitsplatz. „Wichtigster Termin für die Kunden ist das Abschlussgespräch, in dem wir unsere Funde und Lösungsvorschläge präsentieren“, erläutert Liebchen.

Ein willkommener Nebeneffekt: Die Techniker des geprüften Unternehmens bekommen einen Einblick, wie Hacker denken. „Das hat einen enormen Schulungseffekt“, berichtet Stefan Finkenzeller, Geschäftsführer bei PMG Projektraum Management. Die Firma bietet Dokumentenmanagement-Systeme aus der Cloud an – schon vor der Vermarktung der Lösung gab es einen ersten Penetrationstest. „Die Entwickler haben bis dahin vor allem an die Funktionalität gedacht, weniger an die Sicherheit.“

Jährlich lässt Finkenzeller seine Cloud-Dienste prüfen. Gravierende Schwachstellen kämen inzwischen nicht mehr zutage. Doch Finkenzeller bleibt wachsam: „Jede kleine Änderung im System birgt die Gefahr neuer Lücken. Irgendetwas finden die Tester eigentlich immer.“