Was ist „ethisches Hacken“?
„Die meisten Menschen verbinden mit dem Wort ‚Hacken‘ etwas Negatives, beispielsweise dass jemand in Ihr Gerät oder System einbricht. Beim ethischen Hacking sucht der Spezialist mit Absicht nach Schwachstellen in einer Anwendung oder einem System, ohne sie auszunutzen. Wir nennen das ‚Penetrationstest‘. Er informiert und berät dann den Auftraggeber, damit dieser Maßnahmen ergreifen und Abhilfe schaffen kann. Man kann das damit vergleichen, dass man einen Einbrecher bittet, zu prüfen, wie sicher Ihr Haus ist und wo die Schwachstellen liegen, damit Sie es sicherer machen können. Letztendlich helfen wir Unternehmen, die Sicherheit ihrer Systeme und Anwendungen auf ein möglichst hohes Niveau zu bringen.“
Sie sind ethischer Hacker bei Onvio. Wie sieht Ihre Arbeit aus?
„Bei einer Anwendung beginnen wir beispielsweise mit einer Übersicht über den Funktionsumfang. Begleitend dazu kann eine Demo-Sitzung mit dem Unternehmen stattfinden. Dann schauen wir uns den Datenverkehr an, der zwischen dem Browser des Anwenders – im Fall von Priva ist das der Produzent – und dem Server des Unternehmens (Priva) stattfindet. Wir fangen diesen Verkehr ab und prüfen, ob wir ihn beeinflussen können. Das ist der intensivste Teil des Pentests.“
Was passiert nach dem Pentest?
„Alle Ergebnisse des Tests werden protokolliert. Auf dieser Basis wird ein Pentest-Bericht erstellt – mit einem technischen Teil, einer Risikoanalyse und einer Zusammenfassung für die Geschäftsleitung. Er informiert das technische Personal detailliert darüber, was geändert werden muss, und die Geschäftsleitung erhält ein klares Bild der Situation. Der Auftraggeber geht den Bericht dann mit seiner eigenen Entwicklungsabteilung durch. Dann treffen wir uns zum Termin der Leistungserbringung, um den technischen Teil des Berichts zu besprechen. Nötigenfalls erläutern wir technische Elemente und geben unsere offiziellen Empfehlungen ab, aber die Umsetzung ist letztendlich Sache des Auftraggebers. Wir können abschließend auch noch einen neuen Test durchführen und auf der Grundlage des ersten Berichts und der vorgenommenen Verbesserungen neue Empfehlungen aussprechen.“
Bei Priva wurden unlängst mehrere Cloud-Anwendungen einem Pentest unterzogen. Für diese Anwendungen wurden Gutachten (Third Party Memorandum, TPM) erstellt, die belegen, dass die Dienste ausreichend sicher sind. Diese Tests werden in regelmäßigen Abständen wiederholt. Priva erwartet in Kürze weitere TPM-Gutachten für andere Produkte und Cloud-Dienste.
Die digitale Welt entwickelt sich in rasantem Tempo. Wie halten Sie Ihr Können als Hacker auf dem Laufenden?
„Heutzutage gibt es Schulungen und sogar diverse Masterstudiengänge für IT-Security und Hacking. Außerdem gibt es zahlreiche Zertifizierungsprogramme, die eine praktische Ausbildung in einer Art Laborumgebung vermitteln. Sowohl für uns selbst als auch für unsere Auftraggeber ist es wichtig, dass wir auch die immer wieder neuen Arten von Sicherheitslücken finden. Deshalb machen wir jedes Jahr so eine Fortbildung im Labor, um uns selbst zu testen, um uns weiterzubilden und um unsere Zertifizierung zu erneuern.
Jeden Tag werden neue Schwachstellen in Software und Anwendungen gefunden – eine Endlosschleife. Dran bleiben heißt vor allem, über die wichtigsten Weiterentwicklungen und Innovationen auf dem Laufenden zu bleiben, zum Beispiel bei neuen Technologien wie einem neuartiger Anmeldemechanismus. Damit gehen auch neue Sicherheitsrisiken einher.“
Welche Tipps können Sie unseren Kunden geben?
„Bei den meisten Kunden von Priva, den Produzenten, sind viele Prozesse automatisiert und generieren große Datenmengen. Manche tun sich schwer damit, mit ihren Systemen in die Cloud zu gehen und dort beispielsweise eine App zu nutzen. Denn was ist, wenn ein Unbefugter sich die Kulturdaten schnappt und missbraucht? Die Befürchtung mag sich berechtigt anhören, aber ich denke, dass die Kulturdaten sogar sicherer sind, wenn man mit der Cloud und mit digitalen Dienste arbeitet. Produzenten sind Spezialisten im Anbau ihrer Kulturen, kennen sich aber in den seltensten Fällen im Security-Bereich aus. Haben Priva-Kunden beispielsweise Einblick in eine Risikoanalyse, wissen Sie, welche Daten generiert werden, wo sie gespeichert werden und wer alles Zugriff darauf hat? Ein Tipp ist, in diesen Bereich zu investieren.
Es gibt auch Gartenbauunternehmer die zögern, ihre Daten in der Cloud zu speichern, weil sie dann nicht wissen, wo sich diese befinden. Priva kann diese Bedenken ausräumen. Zwischen Microsoft und Priva gibt es feste Vereinbarungen hinsichtlich der gespeicherten Daten und deren Absicherung. In den meisten Fällen ist das sicherer als die Speicherung vor Ort. Wie sieht es beispielsweise bei Ihrem lokalen Server mit der IT-Sicherheit und Backup-Strategie aus? Diese Aufgaben werden in der Cloud automatisch für Sie erledigt, weil dort immer die Standard-Sicherheitssysteme greifen. Und die sind sehr fortschrittlich. Meist gehen sie weit über die Sicherheitsmaßnahmen hinaus, die Sie selbst ergreifen können.“