Lizenz zum Hacken

Bei der Telekom gibt es Teams, die wie Cyberkriminelle Webseiten, Portale, Hardware und Systeme in Visier nehmen. Sie attackieren diese, suchen Lücken, um einzudringen. Aber nur, um mögliche Schwachstellen aufzudecken. Wir haben ein Team in Neuss besucht. Es nimmt neue Entwicklungen der Telekom unter die Lupe, bevor diese an Kunden und Öffentlichkeit gehen.   

Auf den ersten Blick sieht alles harmlos aus: Zwei Felder für Benutzerkennung und Passwort. Jan Stohner steht vorm Bildschirm und gibt nur im oberen Feld etwas ein. Also kein Passwort. Prompt kommt die Fehlermeldung, wie erwartet. Doch dass diese ausführlicher ausfällt, lässt sein Tester-Herz höher schlagen. „In dieser Meldung finde ich weitere Informationen, die ich für neue Eingaben gebrauchen kann, um damit meinen Angriff zu verfeinern.“ Aber vergeblich. „Die Entwickler haben ihr System gut geschützt“, resümiert er. Dennoch wird er ihnen den Rat geben, Fehlermeldungen sparsam zu programmieren: „Diese Meldungen dürfen generell nichts preisgeben, was gewiefte Hacker verleiten oder weiterbringen könnte.“

Was würde ein Angreifer machen?

Jan Stohner, 44, hat schon als Jugendlicher an der Arbeitsstelle seines Vaters IT-Sicherheitsfehler aufgespürt. Dann folgten das Informatikstudium und der Einstieg bei der Telekom. Jetzt arbeitet er bei Telekom Security in der Abteilung, die digitale Telekom-Entwicklungen unter die Lupe nimmt, bevor sie den Kunden angeboten werden. Die Kolleginnen und Kollegen prüfen, ob Innovationen wie Smart Home, neue Webseiten und Portale, Server und interne Systeme wie zur Kundenverwaltung möglichen Angriffen standhalten. „Wir fragen uns immer: Was würde ein Angreifer machen, um Grenzen eines Systems zu umgehen oder ein Passwort zu knacken“, so Jan Stohner.

Erfolgsfaktor Neugier

Das Team ist Teil des sogenannten Privacy Security Assessments (PSA, Datenschutz- und Sicherheits-Prüfung). Dabei stehen Telekom-Experten von Datenschutz und Datensicherheit den Entwicklern neuer Produkte von der Idee bis zur Auslieferung zur Seite - im Sinne der Kunden und ihrer Sicherheit. Jan Stohner: „Wichtiger als den Fehler zu finden, ist ihn zu beheben. Wenn wir etwas finden, arbeiten wir gemeinsam weiter daran, Schutz und Sicherheit zu verbessern.“

Fest steht auch: Neue Technologien bringen neue Angriffsmethoden mit sich. Die Kollegen halten sich mit Schulungen auf dem Laufenden und besuchen einschlägige Tagungen. Unisono bestätigen sie, dass sie extrem neugierig sind – anders würde es nicht gehen. „Wir wollen verstehen, wie die Dinge funktionieren“, sagt Nico Lippmann. Der 21-Jährige gehört zu den jüngeren Kollegen der Abteilung. Nach seiner Ausbildung zum Anwendungsentwickler nimmt er nun an einer zweijährigen Weiterbildung teil, die ihm den Titel „Cyber Security Professional“  bescheren wird.

Cyber Security-Fachleute gefragt

Mit dieser Zusatzqualifikation begegnet die Telekom seit 2014 dem Mangel an Fachleuten für IT-Sicherheit. „Cyber-Sicherheit ist kein Thema an den Berufsschulen“, bestätigt Nico Lippmann, der nach seinem Einstieg direkt begann, Telekom-Produkte zu untersuchen. Darüber hinaus unterstützt er bei der Programmierung einer Anwendung, mit der die Abteilung ihre Abschlussberichte einfacher aufbereiten kann.

Das Interesse an der Arbeit und dem Know-how des Teams ist groß. Kürzlich machte sich Thomas Kremer, Vorstand Datenschutz, Recht und Compliance, vor Ort ein Bild von den Leistungen. „Es gibt keine hundertprozentige Sicherheit“, sagt er. „Aber es ist sehr beruhigend und zugleich beeindruckend zu sehen, wie sehr sich die Kollegen für Sicherheit und damit für das Vertrauen der Kunden in die Telekom engagieren.“