Tom Van de Wieles Job ist nichts für schwache Nerven. Der Belgier bricht in Unternehmen ein – und stiehlt deren Geheimnisse. Die bestehenden Sicherheitslücken machen das oftmals nicht sonderlich schwierig. Denn ein „zielgerichteter Angreifer“, wie er es nennt, wird immer in ein Unternehmen eindringen können …

Es ist 12:46 Uhr. Tom Van de Wiele und sein Team betreten die Executive Lobby, sie geben sich als Auftragnehmer aus, um Tests für netzwerkfähige Telefone des Unternehmens durchzuführen. Der 37-Jährige bekommt nur ein paar Minuten im Büro des CEOs, doch das ist alles, was er benötigt. Er installiert ein ­kleines Gerät zwischen Tastatur und Computer: einen Keylogger. Dabei handelt es sich um ein kleines Device in der Größe eines USB-Sticks, das alles registriert, was der CEO tippt, und dies über einen verschlüsselten Kanal an Van de Wieles Team sendet. Nervenflattern? Fehlanzeige. Vielmehr führt der Belgier jeden seiner Schritte mit einer seelenruhigen Routine durch. Was nach einer spektakulären Szene aus einem Hollywoodfilm klingt, bedeutet für Van de Wiele Alltag. Er täuscht Fingerabdrucksensoren mit feuchtem Klopapier oder scannt Schlüsselkarten von Firmenmitarbeitern und fertigt davon Kopien an, um sich Zutritt zu verschaffen. Der Kreativität sind keinerlei Grenzen gesetzt Fernsehsender, Fähren, Banken, sie alle standen bereits auf der Liste von Van de Wiele und seinem Team. Sein Job? Principal Security Consultant für die Cyber Security Services Business Unit des finnischen Unternehmens F-Secure. Doch allen voran ist Van de Wiele Hacker und führt ein Red Team an. Soll heißen: Er bricht per Auftrag in Unternehmen ein um deren (datentechnische) Sicherheitslücken aufzuzeigen.

F-Secure selbst ist auf IT-Sicher­heitslösungen und Antiviren­programme spezialisiert, 2016 erwirtschaftete das am finnischen Nasdaq OMX gelistete Unternehmen 158 Millionen € Umsatz. Laut eigenen Angaben zählt es mehrere Millionen Kunden im B2B-Bereich. Soeben wurde F-Secure von Gartner als Visionär im „Magic Quadrant für Endpoint Protection Platforms (EPP)“ 2018 (Forschungspublikation, die sich mit Sicherheitsprodukten für mobile Endgeräte auseinandersetzt, Anm.) genannt – und das bereits zum neunten Mal.

Wie sind Sie zum Hacken gekommen?
Es hat mich bereits mit elf Jahren begeistert, neue Technologien auszuprobieren und mehr darüber zu erfahren, wie sie funktionieren. Am Computer probierte ich etwa Cheats (gewisse Programmierung, um den Verlauf eines Spiels zu beeinflussen, Anm.) aus. Ich wollte erfahren, nach welchen Regeln ein PC arbeitet und wie man diese ausdehnen oder gar brechen kann. Hacken bedeutet, einen unkonventionellen Denkansatz beim Umgang mit Technologien zu verfolgen, an den andere Menschen nicht gedacht hätten.

Wie sah Ihr erster Karriereschritt als Sicherheitsexperte aus?
Das erste Mal kam ich als Solaris-Linux-Administrator (Open-Source-Betriebssystem, Anm.) in Belgien mit Cybersecurity in Kontakt. Das dortige Unternehmen implementierte Sicherheitslösungen für Firmen. Ich lernte, wie man Systeme schützt, und infolgedessen auch, wie man in diese einbricht. Vor acht Jahren ging ich zu nSense (Unternehmen für Softwaresicherheitslösungen, wurde 2015 von F-Secure gekauft, Anm.) nach Dänemark, wo ich weitere Red-Teaming-Projekte durchführte.

Worum handelt es sich hierbei?
Der Begriff stammt vom US-amerikanischen Militär aus dem Kalten Krieg. Es hatte erkannt, dass dessen aufgesplitterte Strukturen kontraproduktiv waren, um Attacken vorherzusehen. Die Angreifer mussten sich hingegen über organisatorische Strukturen oder Beschränkungen keine Gedanken machen. Deshalb wurden Teams zusammengestellt, die Angriffsszenarien entwarfen, frei von strukturellen Fesseln oder formellen Prozessen. Dadurch konnten sie potenzielle Sicherheitsprobleme besser identifizieren und waren in der Lage, die aufgedeckten Schwächen zu beseitigen.

Wie sieht ein Red-Teaming-Einsatz für F-Secure heute aus?
Wir werden von großen Unternehmen angeheuert, um einzubrechen und deren betriebliche ­Geheimnisse zu stehlen und zwar jene, mit denen sich Geld verdienen lässt. Wir spielen die Worst-Case-Szenarien durch, um zu testen, ob die Investi­tionen in den Schutz des Unternehmens Sinn gemacht haben. Als Resultat zeigen wir ein Gefahrenbild auf („threat picture“). Welche Szenarien haben funktioniert? Wo ist das Unternehmen genügend geschützt und inwiefern gibt es noch Verbesserungsbedarf? Wir testen die Unternehmen sowohl auf ihre bauliche und technologische Sicherheit als auch jene ihrer Netzwerke. Es ist wichtig, zu unterstreichen, dass wir dies auf legale Weise tun. Jede Aktion ist in einem schriftlichen Vertrag mit unseren Kunden festgehalten.

Gab es dennoch einmal brenzlige Situationen?
Wir tragen einen Brief in unserer Hosentasche – ich verrate nicht den Text –, in dem steht, dass das Unternehmen eine spezielle Telefonnummer anrufen soll, wenn wir gefasst werden.

Was sind „Paradebeispiele“ einer Operation?
Wir brechen in Banken ein, verwenden deren Rechner und transferieren Geld von einem Konto zum anderen. Oder wir fertigen Kopien der Unternehmensdatenbanken an. Das Unternehmen teilt uns mit, welche spezielle Nummer oder welchen Namen wir daraus übermitteln sollen, um so zu beweisen, dass wir das System gehackt haben. Wir machen Selfies im Sessel des CEOs oder im Raum des Aufsichtsrats. Wir platzieren einen Sticker unter dem Tisch des Vorstands: „Schöne Grüße von F-Secure. Das hier hätte ein Mikrofon sein können.“

Wie bereiten Sie sich auf die Einsätze vor, und aus welchen Sparten kommen die Kunden noch?
Neben dem Finanzsektor sind es viele Unternehmen aus der Produktions- und Onlinespieleindustrie und andere namhafte Firmen. Ein Onlinecasinoanbieter trug uns etwa auf, den Quellcode der Pokerspiele zu stehlen, um so Manipulierungs­gefahren aufzuzeigen. Mit den Kunden klären wir erst einmal ab, ob diese überhaupt gewisse Sicherheitsstandards erfüllen, dass ein Einsatz Sinn macht. Dann wird in der „Target Nomination Phase“ das Ziel der Operation definiert. Daraufhin bereiten wir uns mehrere Monate vor, um den Angriff durchzuführen. 70 Prozent davon verbringen wir damit, Informationen zu sammeln. Wir kennen das Unternehmen besser als es sich selbst.

Was sind die größten Schwachstellen der Unternehmen?
Wir bewegen uns im Business der zielgerichteten Attacken, der „targeted attacks“. Ein zielgerichteter Angreifer wird immer in ein Unternehmen eindringen können. Es herrscht ein Irrglaube unter den Unternehmen – besonders in der höheren Ebene –, dass sie diese abhalten könnten. Ein motivierter Angreifer mit einem mittleren Budget und einer Menge Zeit wird immer hineinkommen. Es geht vielmehr darum, die Kosten einer Attacke zu steigern, denn 99 Prozent der Fälle der organisierten Kriminal­ität sind finanziell motiviert.

Wie kann es sein, dass dies auf alle Fälle gelingt?
Viele Unternehmen versuchen, menschliche Probleme mittels Technologie zu lösen. Jede einzelne Kommunikation mit der Außenwelt könnte angegriffen werden. Wenn wir Unternehmen fragen, von wie vielen Kunden etwa das Sales-Team oder der Helpdesk die Datensätze hält, antworten sie verwundert: „Von allen.“ Wir: „Glauben Sie, das ist eine gute Idee?“ Und die magische Antwort ist: „Wir vertrauen unseren Mitarbeitern.“ Das ist das falsche Mindset.

Warum?
Es geht nicht um Vertrauen, sondern darum, dass sich Angriffe durch drei Dinge kennzeichnen: Zugang, Motiv und Möglichkeit. Es ist die Aufgabe eines Unternehmens, diese zu managen. Bei allen Unternehmen, die in den Medien sind und von Ransomware-Attacken betroffen waren: Waren es die Kriminellen, die die Ransomware aktiviert und die Daten verschlüsselt haben? Nein. Es waren die Mitarbeiter, die auf einen entsprechenden Link geklickt haben.

Sind Unternehmen durch die riesigen Cybercrime-Attacken wie WannaCry und Petya vergangenes Jahr nicht aufgewacht?
Es gibt die Tendenz, dass Unternehmen erst dann beginnen, sich um die Datensicherheit zu kümmern, wenn etwas passiert ist. Wir stellen daher in einem ersten Klärungsgespräch zwei simple Fragen: Haben Sie Mitarbeiter? Antwort: Ja. Zahlen Sie – hoffentlich – Löhne? Ja. Dann bist du potenziell in Gefahr.

WannaCry betraf Netzwerke in 150 Ländern, Petya vor allem wichtige ukrainische Infrastrukturunternehmen. Was kommt hier in Zukunft noch?
Mein Kollege Mikko Hyppönen (finnischer Cybersecurity-Spezialist, Anm.) stellte„Hyppönens Gesetz“ zur Sicherheit des Internet of Things (IoT, Anm.) auf. Ist etwas „smart“ und vernetzt, kann es gehackt werden. Hast du die Kontrolle darüber, kann auch ich diese übernehmen. Das gilt für Boote und Flugzeuge genauso wie für Autos, Alarmsysteme und Computer. Zweite Regel: Kann etwas gehackt werden, wird es das auch. Dritte Regel: Cybercrime-­Angriffe verbessern sich technisch zusehends. Die Hacker haben immer mehr Zeit, sich vorzubereiten, als die Verteidiger. Als Konsequenz folgt daraus das vierte Prinzip: Die Attacken steigen an, die erfolgreichen Abwehren hingegen nicht. Cybercrime-Angriffe können automatisiert und damit in der Abfolge sehr schnell gemacht werden. Das letzte Prinzip ist: Monetarisierung ist der Schlüssel. Mit dem Boom von Kryptowährungen ging auch jener von Ransomware einher. Es wird Attacken geben, wo die Wärme- und Energieregulierung einer Firma oder eines Spitals gehackt wird. Weiters werden Fälle existieren, bei denen gehackte Autos nur deshalb zur Bank fahren, damit das Erpressungslösegeld bezahlt wird. Die Türen öffnen sich erst dann, wenn dieses beglichen wird.

Das bedeutet, IoT verschärft das Problem nur?
Es gibt derzeit keinen Anreiz, etwas für die Produktsicherheit zu tun – weder vom Verkäufer noch vom Kunden. Die sicherste Waschmaschine ist kein Verkaufsargument. In der Lieferkette gibt es keinerlei Regulierung, wer dafür zuständig ist: weder der Hersteller der Chips noch das Unternehmen, das die Chips programmiert, noch jenes, das die Komponenten in einem Produkt zusammenbaut. Wir telefonieren in diesem Moment über einen 50 € teuren Netzwerkrouter, von dem wir keine Ahnung haben, woher diese Technologie stammt. Wir brauchen Transparenz.

Den großen Tech-Unternehmen wie Google oder Facebook wird ebenfalls oftmals vorgeworfen, nicht genügend für die Sicherheit zu tun – und zwar bei den Daten der Nutzer.

Ich wünschte, ich könnte sagen, dass Unternehmen generell gut mit persönlichen Daten oder jenen der Kunden umgehen. Unternehmen denken, Datensicherheit sei wie ein Gebäude, und bauen Mauern um ihre Daten, aber ohne zu wissen, ­welche Interaktionen benötigt werden. Unternehmen wissen nicht, welche Daten sie besitzen und welchen Wert diese haben. Dadurch wissen sie auch nicht, wie sie diese sichern sollen. Das ist ein Problem. Denn das sind meine und Ihre Daten. Aber: Sie gehören uns nicht.

Wie meinen Sie das konkret?
Unsere Daten sind beim Zahnarzt, beim Telefon- und Internetanbieter und anderen Orten gespeichert. Wir können nicht kontrollieren, welche Organisationen unsere Daten verkaufen, an wen, was passiert, wenn sie gehackt werden, oder welche Sicherheitsmaßnahmen diese Organisationen einsetzen. Hierbei kommt die EU-Datenschutz-Grundverordnung ins Spiel, die ab diesem Mai in Kraft tritt (der Schutz personenbezogener Daten wird gestärkt, Anm.). Das ist eine gute Sache. Dadurch werden Unternehmen gezwungen, nachzusehen, welche Daten sie besitzen und wie diese zu schützen sind.

Mir gefällt die Analogie einiger anderer Security-Experten: „Daten sind das Verschmutzungsproblem des 21. Jahrhunderts.“ Jeder einzelne IT-Prozess produziert Daten. Sie bleiben bestehen, sind schwierig zu löschen und wir benötigen sie gewissermaßen. Die Art und Weise, wie wir Daten schützen, wird uns als Spezies im 21. Jahrhundert definieren. Darum brauchen wir Gesetze, um die Voraussetzungen dafür zu schaffen.

Dennoch: Wie soll man mit den Tech-Giganten umgehen?
Wir geben unsere Daten an diese amerikanischen Unternehmen ab und haben ab diesem Zeitpunkt keinerlei Rechte mehr an ihnen. Es gibt einen Grund, warum Google und Facebook ihre Dienstleistungen gratis anbieten. Du bist das Produkt. Sie monetarisieren den Content. Das ist eines der enttäuschendsten Dinge für mich im Rahmen der IT-Revolution. Wir nutzen die klügsten Köpfe unserer Generation, die die besten Technologien hervorbringen, die wir jemals hatten – um Werbung zu pushen …

Haben Sie nie daran gedacht, die Seite zu wechseln?
Ich bin in die größten Banken Europas eingestiegen und bin in ihre Datencenter eingebrochen. Beim baulichen Part und jenem des Netzwerks haben wir eine 100-prozentige Trefferquote. Unser Team ist in der privilegierten Position, dies auf legale Weise tun zu dürfen und dafür bezahlt zu werden. Könnten wir das auf illegale Weise machen? Ja. Aber dafür gibt es absolut keinen Grund, und wir würden unseren Job verlieren und ins Gefängnis gehen.

Dieser Artikel ist in unserer Februar-Ausgabe 2018 „Künstliche Intelligenz“ erschienen.