„Einmal gingen wir als TÜV-Prüfer getarnt in ein Unternehmen, um den Aufzug zu „warten“. Im Aufzug suchten wir dann in aller Ruhe nach einer Lücke im System.
Und fanden sie auch. Niemand wurde dabei misstrauisch. Beinahe hätten uns die „Gastgeber“ noch einen Kaffee angeboten.“
Tim Schughart
Wir hatten mal einen Jugendsender bei uns im Firmensitz zu Gast“, erzählt Immanuel Bär. „Das erste, was die gesagt haben: Mensch, ist das hell hier.“ Schughart und Bär gehören zu den „Guten“ in der Szene. Sie hacken, im Auftrag von Unternehmen, um Sicherheitslücken offen zu legen und Firmen, Konzerne und Prominente damit vor den „Bösen“ der Szene zu schützen. Sie tun dies so erfolgreich, dass ihr Unternehmen mit Hauptsitz in Polch und Büros in München und Berlin schon heute in Deutschland zu den Top Fünf gehört im Bereich „Penetration Testing“. Was das ist? Etwas Gutes, so viel sei vorweg verraten.
Treffen sich zwei Hacker im 11. Stock eines Bürogebäudes. Schughart und Bär arbeiten für eine in Koblenz ansässige Versicherungsgruppe, sitzen nur ein paar Schreibtische voneinander entfernt in einem Großraumbüro. Dass beide IT-affin sind, hat sie einst in das gleiche Office verschlagen. Es kommt der Tag, an dem Tim seinen Kollegen Immanuel zu einem Frischkäse-Bagel beim Bäcker um die Ecke einlädt. Schughart hatte ProSec im Nebengewerbe bereits im Jahr 2012 gegründet. Nun wollte er Bär mit ins Team holen und das Thema IT-Sicherheit auf die Straße bringen. „Ich habe kurz in meinen Bagle gebissen, für einen Moment den Blick schweifen lassen und dann zugesagt“, erinnert sich Bär. Der steigt kurz darauf in das Unternehmen ein, seit 2016 arbeiten die beiden in Vollzeit für ihr Unternehmen – mit heute knapp 30 Mitarbeitern in ganz Deutschland.
„Ein Grund, warum wir zu Hackern geworden sind, war der Ansporn, sich mit Sicherheitstechnologien und Sicherheitsmechanismen zu messen“, sagt Tim Schughart. „Und natürlich ist da immer auch ein Tick Spieltrieb mit dabei“, gibt Immanuel Bär zu. Das Duo ergänzt sich ideal: Schughart ist das technologische Brain der Firma, ist hochspezialisiert im Bereich Anwendungsentwicklung und Verschlüsselungstechnologien. Bär treibt die Herausforderung an, immer besser zu werden und dabei an den Faktor Mensch zu denken – Stichwort Social Engineering.
Du hast etwas Gutes für dein Karma-Konto getan und kannst lächelnd einschlafen. Wir haben uns immer damit beschäftigt, unser Wissen intelligent und nicht kriminell einzusetzen. So kann man auch ein viel besseres und schöneres Leben führen, sagt Bär.
Cyber-Kriminalität wird dabei – trotz aller medialer Präsenz – noch immer von vielen Unternehmen „extrem unterschätzt“, sagt Bär. „IT ist für viele Menschen schon abstrakt. IT-Sicherheit ist dann noch viel abstrakter. Und dafür nimmt ein Geschäftsführer in der Regel kein Geld in die Hand, nach dem Motto: Uns wird es schon nicht treffen. Das ist eben die Mentalität. Erst, wenn es so richtig gekracht hat, kommt Bewegung in die Sache und findet ein Umdenken statt.“
Und die Gefahren werden nicht kleiner im Zuge der Digitalisierung: „Die schafft neue Schnittstellen und damit auch neue Angriffsflächen“, sagt Schughart. „Die Unternehmen müssen lernen dies zu verstehen und sich entsprechend zu schützen. Und dabei auch den Faktor Mensch miteinbeziehen, denn natürlich machen nicht nur Systeme, sondern auch Menschen Fehler.“ Ist das Kind erst einmal in den Brunnen gefallen und haben kriminelle Hacker Zugriff auf sensible Firmendaten, dann müssen meist hohe Lösegeldforderungen beglichen werden, um sich aus den Fängen der Cyberkriminellen zu befreien.
„Die Unternehmer sind heute nicht mehr so geschockt wie noch vor zwei Jahren, als es gleich zwei, drei Wellen gab und auch große Institutionen wie die Humboldt-Universität gehackt wurden“, erläutert Bär. „Wenn sowas dann mal in den Tagesthemen kommt, dann erhöht sich auch die Sensibilität. Trotzdem glauben viele: Mich wird es schon nicht erwischen.“ Dabei sind die Angriffe immer ausgeklügelter, wie die beiden Hacker erläutern: „Früher wurden Trojaner ganz gezielt verschickt. Heute werden diese einfach ungezielt in die Welt hinaus geschickt und schlagen überall dort an, wo eine Tür offen ist. Das kann das kleine Modem daheim sein, aber auch der Server eines großen Unternehmens. Zu glauben, mich wird es schon nicht treffen, ist extrem leichtsinnig.“
Doch womit hilft ProSec den Unternehmen ganz konkret? Schughart und Bär sind sogenannte Penetration Tester. Sie werden von Firmen und Konzernen damit beauftragt, von außen in das System einzudringen und Schwachstellen zu finden, die kriminelle Hacker ausnutzen könnten. „Wir zeigen die Lücken auf und helfen dabei, diese nachhaltig zu schließen“, sagt Schughart. „Uns ist dabei ganz wichtig: Wir verkaufen keine Hard- oder Software. Das wäre ein Interessenskonflikt. Unsere Aufgabe ist es, die offenen Türen im System zu finden und unsere Kunden dabei zu schulen, diese zu schließen.“