Cybersecurity

Die eigene Firma angreifen – als ethische Hackerin

Pallavi Raja greift an. Jeden Tag. Die IT-Security-Expertin prüft IT-Systeme und Anwendungen auf Schwachstellen, verschafft sich Zugriffsrechte und versucht, die Kontrolle zu erlangen. Das alles unternimmt sie nicht aus eigenem Antrieb, sondern im Auftrag von ERGO. Denn Pallavi Raja ist eine „ethische Hackerin“ – sie schützt ihr Unternehmen.

 

Ein ernstes Thema für so gut wie jedes Unternehmen

„Ich führe Tests der IT-Systeme durch, suche nach Sicherheitslücken und biete Proof-of-Concept-Angriffe an, um zu zeigen, dass die Angriffe real sind. Ich gebe auch Empfehlungen an die Entwickler, damit Sie die gefundenen Schwachstellen beheben können“, erklärt die 29-Jährige. Sie ist Teil eines Teams, das gezielt nach Schwachstellen sucht, die auch externe Hacker ausnutzen könnten. In diesem täglichen High-Tech-Krimi „Gut gegen Böse“ ist Pallavi Raja selbstverständlich die Gute: „Als ethische Hackerin bin ich ein so genannter White Hat, der ein Unternehmen vor den Angriffen der Black Hats schützt.“

Was wie ein putziges Computerspiel klingt, ist für Unternehmen wie ERGO ein ernstes Thema. Denn die Zahl der IT-Attacken steigt unaufhörlich. Ebenso wie die durch sie ausgelösten Schäden. Deshalb setzt ERGO eigene Spezialisten ein, die sich wie feindliche Eindringlinge verhalten und das Unternehmen gezielt auf Schwachstellen untersuchen: White Hats wie Pallavi.

IT-Spezialisten wie sie haben ihre eigene Sprache. Wie etwa „White Hat“ und „Black Hat“. Oder „Zero Day“. Das ist eine unbekannte Software-Sicherheitslücke, durch die Hacker schlüpfen und einen Virus oder Trojaner platzieren. Diese Lücke heißt „Zero Day“ („Tag Null“), weil der Nutzer der Software sie seit exakt null Tagen kennt – also gar nicht. Ethische Hacker sprechen auch vom „Penetration Testing“, wenn sie die Sicherheit aller Systembestandteile überprüfen.

Angreifen, um zu beschützen

Ein typischer Arbeitstag von Pallavi Raja: „Momentan machen wir Penetrationstests für eine neue Webapplikation, bevor sie freigeschaltet wird.“ Und wie lange dauert es für einen solchen Test? „In der Regel brauchen wir für eine gründliche Untersuchung eine Woche. Ich versuche, illegal auf die Seite zuzugreifen, Administratorrechte zu erlangen, schädliche Payloads in die Benutzer-Eingabe einzufügen und unerlaubten Zugriff auf die Datenbank zu erhalten und letztlich die volle Kontrolle über das System zu erlangen, auf Fehlkonfigurationen zu prüfen und ähnliches. Der Penetrationstest endet mit einem Bericht an den Auftraggeber über die während des Tests entdeckten Schwachstellen – einschließlich unserer Empfehlungen zum Beheben oder Abschwächen dieser Sicherheitslücken.“

Die Auftraggeber reagieren nicht sauer, sondern sind erleichtert. „Die Kollegen sind dankbar, wenn wir einen schwerwiegenden Fehler finden. Einer unserer Kollegen hat uns einen Kaffee angeboten, das ist dann besonders nett“, erzählt die ERGO Mitarbeiterin. Wenn die kritische Sicherheitslücke geschlossen ist, testen Pallavi Raja und ihre Kollegen die Anwendungen oder IT-Systeme abermals. „Ist dann alles o.k., schicken wir unseren Abschlussbericht.“

Wettlauf zwischen Gut und Böse 

Wie schaffen es ethische Hacker, mindestens so gut informiert zu sein wie ihre Widersacher? Ganz einfach: Sie bilden sich weiter. „Wir absolvieren Online-Trainings und bekommen dafür Zertifikate. Außerdem besuchen wir europäische Hacker-Konferenzen, wie etwa das hack.lu in Luxembourg.“ Dort treffen Pallavi Raja und ihre Kollegen IT-Experten aus aller Welt, um sich auf den neuesten Stand zur Informationssicherheit zu bringen. „Dieser Austausch ist sehr wichtig für uns: Welche Sicherheitslücken haben andere White Hat Hacker bei Unternehmen gefunden, welche neuen Angriffsmöglichkeiten haben sie entdeckt?“

„Besser wir als andere“

Pallavi Raja liebt ihren ungewöhnlichen Job. Für sie ist es inzwischen völlig normal, dass ERGO sie dazu anstiftet, etwas eigentlich doch Verbotenes zu tun: „Besser wir machen das als ein externer Hacker.“ Und wie schützt sie sich privat vor Cyber-Attacken aller Art? Klassisch und konsequent. Das rät sie auch allen ERGO Kollegen: „Ich habe immer ein aktuelles Anti-Virus installiert, nutze stets die neuesten Software-Updates, bin vorsichtig im Internet – und bei E-Mails mit Links und Dateianhängen besonders.“

Text: Ingo Schenk