Radarfallen Bltzen Freisteller

RedTeam Pentesting: Immer auf der Suche nach Schwachstellen

Von: Christina Handschuhmacher
Letzte Aktualisierung:
12124393.jpg
Von Beruf „Hacker“: Jens Liebchen (rechts) und Patrick Hof sind die Geschäftsführer der Aachener IT-Firma RedTeam Pentesting, die im Auftrag von Firmen gezielt deren IT-Systeme angreift. Foto: Andreas Herrmann

Aachen. Es dauert nur ein paar Minuten, dann hat Jens Liebchen erreicht, was er wollte: Er tippt ein paar Sonderzeichen in die Felder der Nutzerregistrierung des Onlineshops, manipuliert den Quellcode und einige Sekunden später erscheinen die Kreditkartendaten von Hunderttausenden Kunden auf seinem Bildschirm.

Sensible Daten, die für Cyberkriminelle extrem wertvoll sind, und in besagtem Onlineshop offensichtlich nicht ausreichend vor einem Zugriff von außen geschützt sind. Der Super-GAU für jedes Unternehmen. Denn die Kunden verlieren das Vertrauen in den Onlineshop und die Folgen sind weitreichend: ein massiver Imageschaden, eventuell Schadenersatzforderungen und enorme Umsatzeinbußen.

Gezielter Angriff von außen

Jens Liebchen und seine Kollegen beim Aachener IT-Dienstleister RedTeam Pentesting sorgen dafür, dass es gar nicht erst soweit kommt. Denn Liebchen ist kein Hacker mit krimineller Energie, sondern Diplom-Informatiker und IT-Sicherheitsexperte. Mit seinem ehemaligen Kommilitonen Patrick Hof ist er Geschäftsführer der Firma RedTeam Pentesting, die weltweit im Auftrag von Unternehmen deren IT-Systeme auf Schwachstellen überprüft. Vor kurzem wurden das Unternehmen vom NRW-Wirtschaftsministerium mit der Auszeichnung „Germany at its best“ (siehe Infobox) geehrt.

RedTeam Pentesting ist auf sogenannte Penetrationstests – kurz Pentests – spezialisiert. „Bei diesen Verfahren greifen wir als beauftragte Experten die IT-Systeme von Firmen gezielt an, zeigen so Sicherheitslücken auf und weisen in einem nächsten Schritt darauf hin, wie sich diese schließen lassen“, erklärt Liebchen. Die Pentester arbeiten in stets wechselnden Dreier-Teams und versetzen sich dabei in die Perspektive eines kriminellen Eindringlings. Sie suchen die Schwachstellen im System – immer getrieben davon, herauszufinden, wie ein Angreifer möglichst großen Schaden anrichten könnte. „Alles soll so realistisch wie möglich sein“, sagt Liebchen. „Es handelt sich nicht nur um eine bloße Simulation.“

Das Bewusstsein wächst

Seit ein Hackerangriff nach dem nächsten öffentlich wird – zuletzt traf es unter anderem mehrere Kliniken in NRW und die Dumont Mediengruppe genauso wie im Mai 2015 die IT-Systeme des Deutschen Bundestages – wächst in der Wirtschaft beständig das Bewusstsein für diese Problematik. „Unsere Kunden kommen aus allen Bereichen. Wir arbeiten für Kraftwerksbetreiber und Banken genauso wie große Bäckereiketten“, sagt Hof. Bäckereiketten? Auch dort könne ein Hacker großen Schaden anrichten, erklärt der 35-Jährige. Falls die Maschinen zur Teigzubereitung ans Netz angeschlossen seien und durch eine Hackerattacke die korrekt eingestellte Menge an Salz mal eben verzehnfacht werde etwa.

Nach eigenen Angaben ist RedTeam Pentesting im Bereich Penetrationstests ein weltweit führendes Unternehmen. „So ziemlich jedes Consultingunternehmen bietet Pentests an, aber wir sind darauf spezialisiert und nutzen dieses Tests nicht nur als Vorwand, um den Firmen im Anschluss auch IT-Lösungen zu verkaufen“, sagt Liebchen. Die Kunden legen großen Wert auf Diskretion. Liebchen und Hof verraten deshalb nur so viel: Sie sind nicht nur in Deutschland und Europa, sondern weltweit unterwegs und man kann davon ausgehen, dass jeder Systeme und Produkte kennt und nutzt, die ihre Firma bereits auf ihre IT-Sicherheit getestet hat.

„Noch sehr umstritten“

Ihren Anfang genommen hat diese Erfolgsgeschichte im Dezember 2004 in einer Forschungsgruppe am Lehrstuhl für Informatik 4 der RWTH Aachen. „Das Thema ‚Hacken‘ war damals an den Universitäten noch sehr umstritten“, erklärt Liebchen. Die Maxime der Befürworter sei gewesen: Nur wer angreifen kann, kann auch verteidigen. „Andere Professoren haben sich hingegen strikt geweigert, ihren Studenten beizubringen, wie sie Sicherheitscodes knacken und fremde Rechner ausspähen können“, sagt Hof. Schnell wird bekannt, was die Studenten in der Forschungsgruppe lernen und es gibt die ersten Anfragen von Unternehmen, die vom Know-how der angehenden Informatiker profitieren wollen. Kurze Zeit später folgt die Ausgliederung in ein eigenes Unternehmen – zuerst unter der Haftung einer befreundeten Firma, schließlich ab Dezember 2006 als unabhängiges Unternehmen.

Seither sitzt die RedTeam Pentesting GmbH im Technologiezentrum am Europaplatz und wächst stetig weiter. Über den Umsatz des Unternehmens wollen Hof und Liebchen nicht sprechen, sie sagen nur so viel: „Wir sind auftragsmäßig mehr als ausgebucht.“ Elf Mitarbeiter – die beiden Geschäftsführer eingeschlossen – hat die Firma mittlerweile. Tendenz steigend.

Doch das ist gar nicht so einfach neue Mitarbeiter zu finden, denn die Bewerber müssen nicht nur die erforderlichen Fachkenntnisse mitbringen. Fast genauso wichtig ist, dass die beiden Geschäftsführer und auch die Kunden den neuen Kollegen vertrauen können. „Unsere Mitarbeiter haben bei ihrem Job täglich mit hochsensiblen Daten zu tun und die müssen sie absolut vertraulich behandeln“, sagt Hof.

Im schlimmsten Fall könnte ein Mitarbeiter etwa internes Wissen über die Entwicklung eines bestimmten Produkts an konkurrierende Unternehmen verkaufen oder sein Wissen nutzen, um an der Börse zu spekulieren – Stichwort Insiderhandel. Bewerber werden deshalb mehrfach sehr genau überprüft: polizeiliche Führungszeugnisse, Verschwiegenheitserklärungen und Referenzen von vorhergehenden Arbeitgebern inklusive.

Bei RedTeam Pentesting gelten deshalb auch besondere Sicherheitsvorschriften: Betreten nicht zur Firma gehörende Menschen das Büro, leuchtet eine Alarmlampe als Signal für alle Mitarbeiter auf. Dienstlaptops werden nicht mit nach Hause genommen und auch Diensthandys gibt es nicht. Schließlich wollen sie Schwachstellen finden – und auf gar keinen Fall selbst eine sein.

Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert