Pfefferminzia
Anmelden
 
IT-Sicherheit

„Die aufgedeckten Schwachstellen sorgen bei Entwicklern oft für einen Aha-Effekt“

Cyber-Angriffe auf Unternehmen und Privatpersonen häufen sich. Darum sind „gute“ Hacker als IT-Sicherheitsberater unterwegs und suchen Schwachstellen in den Systemen ihrer Kunden. Ein Gespräch.
© Carsten Cordes
Carsten Cordes ist IT-Sicherheitsberater und „guter Hacker“

Pfefferminzia: Warum hat es Sie in die IT-Branche gezogen?

Carsten Cordes: Schon als Kind habe ich mich dafür interessiert. Mit 13 Jahren schrieb ich die ersten Programme. Doch dann ging ich mit einer Ausbildung zum Bankkaufmann zunächst in eine andere berufliche Richtung. Dabei stellte ich fest, dass das nicht das Richtige für mich ist. So absolvierte ich in Oldenburg den Bachelor-Abschluss in Informatik und schloss daran den Master an. Jetzt reizen mich vor allem die unterschiedlichen Probleme, die ich als IT-Sicherheitsberater und Penetrationstester lösen kann. Dazu gehört es, neben den eigentlichen Sicherheitslücken der Systeme, zunächst die Welt der Kunden kennenzulernen.

Warum haben Sie sich auf das Thema Sicherheit und Qualität konzentriert?

Besonders spannend ist für mich, ein System dazu zu bewegen, etwas zu tun, wofür es nicht gedacht war. Irgendeinen Fehler, den der Entwickler gemacht hat, aufzuspüren und zu nutzen. Denn ein Fehler muss vorher im IT-System oder von dessen Nutzer gemacht worden sein, damit ich dort ansetzen kann. Mir fällt es umso leichter diesen zu finden, je mehr Informationen ich habe. Das ist kreativ, aufregend und lehrreich.

Was ist das Spannende daran, wenn Sie auf die Suche nach Sicherheitslücken gehen?

Man weiß nie, was einen erwartet. Sind es die Standardfehler oder ist es etwas Besonderes? Standardfehler sind beispielsweise falsches Konfigurieren bei der Homepage. Etwas spannender ist es bei Datei-Uploads. Ein weiteres Einfallstor ist oft auch das Kontaktformular. Wenn man Kunden hier auf die Lücken aufmerksam macht, fallen sie oft aus allen Wolken.

Sind Internet-Seiten mit einem Contentmanagementsystem (CMS) anfälliger für Hackerangriffe als Seiten, die eigens programmiert wurden?

Das ist so nicht eindeutig zu beantworten. Bei einem CMS wie Wordpress oder Typo3, gehen Hacker gezielt auf die Suche nach Lücken. Dann suchen sie Internet-Seiten, die damit erstellt wurden und greifen sie an. Darum sollten unbedingt immer alle Updates eingepflegt werden. Bei programmierten Seiten kann der Entwickler eher einen Fehler machen und eine Einstellung vergessen. Dort könnte ein Hacker ins System eindringen. Um dem vorzubeugen, kann jeder seine Webseite selbst testen. So ist für die Überprüfung des SSL-Zertifikates die Seite www.ssllabs.com sinnvoll. Wer testen möchte, ob die Security-Header richtig gesetzt sind, kann auf www.securityheaders.io gehen. Und wer „sich selbst hacken“ möchte, findet unter www.owasp.org jede Menge Informationen und Empfehlungen zur Verbesserung der eigenen Webseite.

Welches war bisher Ihr einfachster Auftrag?

Da wurde die Homepage eines Kunden gehackt. Für ihn war das unerklärlich. Er nutzte das CMS Wordpress für seine eher statischen Inhalte. Als Passwort verwendete er Admin123. Und das war genau das Problem. Denn das zählt zu den zehn unsichersten Passwörtern überhaupt. Wie eben schon erwähnt suchen Hacker zunächst über Suchmaschinen Internetseiten, die beispielsweise mit Wordpress installiert wurden. Danach laufen automatische Programme, die unsichere Passwörter bei jeder Seite testen. Ist das erfolgreich, kommt die Seite auf eine Liste. In diesem Beispiel war der entstandene Schaden glücklicherweise nicht ganz so groß. Es wurden vom Server etwa zwei Tage lang Spam-Mails verschickt.

Wie gehen Ihre Auftraggeber damit um, wenn Sie solche simplen Fehler finden?

Grundsätzlich ist es schwierig, die Kunden überhaupt davon zu überzeugen, dass sie in ihre IT-Sicherheit investieren sollten. Allerdings führen wir in unseren Live-Hackings vor, wie schnell zum Beispiel eine E-Mail oder eine SMS gefälscht werden kann. Danach erkennen viele Unternehmen, wie wichtig es ist, ihre Systeme zu checken. Die Tests, die wir durchführen und mit denen wir die Schwachstellen aufdecken, sorgen bei den Entwicklern jedes Mal für einen Aha-Effekt. Oft sind es Dinge, die im Alltag schlicht und ergreifend vergessen wurden. Sie profitieren daher vom Vier-Augen-Prinzip. Wir wissen ganz einfach, wo wir zuerst hinschauen müssen, wo am ehesten Fehler gemacht werden.

Haben Sie Verständnis für diejenigen, die aus Spaß oder Geldgier Unternehmen aber auch beispielsweise Krankenhäuser hacken?

Für die kriminelle Energie dahinter habe ich gar kein Verständnis. Für die technische Herausforderung, Systeme zu durchforsten, schon eher. Denn deshalb bin ich in diesem Beruf tätig. Jedoch gibt es andere Möglichkeiten, etwa auch in Wettbewerben, sich auszuprobieren, und gegen andere anzutreten. Dafür muss man nicht kriminell werden. Leider machen es manche Einrichtungen ihren Angreifern jedoch sehr leicht. Krankenhäuser zum Beispiel bieten aufgrund ihrer Größe viele Angriffsmöglichkeiten.

Autorin

Manila Klafack war bis März 2024 Redakteurin bei Pfefferminzia. Nach Studium und redaktioneller Ausbildung verantwortete sie zuvor in verschiedenen mittelständischen Unternehmen den Bereich der Öffentlichkeitsarbeit.

Teilen:
Nicht verpassen!

Pfefferminzia.pro

Eine Plattform, die liefert: aktuelle Informationen, praktische Services und einen einzigartigen Content-Creator für Ihre Kundenkommunikation. Alles, was Ihren Vertriebsalltag leichter macht. Mit nur einem Login.

Jetzt anmelden

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Pfefferminzia
Pfefferminzia