»Wer bei sich selbst einbricht, weiß welche Möglichkeiten Hacker haben«

PC Professionell: 90 Prozent seiner Arbeit verbringt der Hacker mit dem Sammeln von Informationen. Kann ein Administrator dagegen überhaupt etwas unternehmen?
Carus: Definitiv. Die meisten Administratoren haben ein falsches Bewusstsein darüber, wie Hacker arbeiten. Es ist nämlich äußerst selten, dass eine Firma gezielt angegriffen wird. Vielmehr suchen Hacker wochen- und monatelang nach einem Bug in einer Software. Haben sie einen gefunden, stellt sich für sie die Frage: Wen kann ich damit überrumpeln? Jetzt fangen die Hacker an, das Internet abzuscannen und finden per Zufall jemanden, bei dem man über diese Sicherheitslücke eindringen kann. Das heißt für Administratoren, dass sie den Aufwand für einen Einbruch einfach nur so weit erhöhen müssen, dass der Hacker sich ein anderes Opfer sucht. Aber das machen die meisten nicht. Admins schützen sich eher gegen konkrete Angriffe wie eine DDoS-Attacke mit Sicherheits-Programmen, weil sie glauben, Hacker gingen gezielt auf sie zu und eine Software reiche als Verteidigung.

PC Professionell: Firmen versuchen also, sich nur gegen die 10 Prozent dessen, was ein Hacker tut, abzusichern. Aber was können Admins konkret tun?
Carus: Sich selbst hacken statt Verantwortung bloß an die Hersteller von Security-Produkten abzugeben. Sicherheits-Software ist zwar die Grundlage, aber Hacker kennen die Schwachstellen dieser Programme. Wenn ich aber bei mir selber einbreche, sehe ich auch, welche Möglichkeiten Hacker haben, das zu tun. Wenn ich mich auf deren Seite stelle, bekomme ich ein ganz anderes Bild von mir selbst und weiß, wo die Schwachpunkte sind.

PC Professionell: Geraten Sie nie in Versuchung, Ihr Wissen anders einzusetzen?
Carus: Klar hat man eine gewisse Macht, wenn man über das entsprechende Wissen verfügt. Aber als ethischer Hacker habe ich einen Ruf zu verlieren und mit dem Vertrauen, das in mich gesetzt wird, gehe ich sorgsam um. Ich habe nichts davon, wenn irgendwann herauskommt, dass ich Informationen über meine Kunden missbraucht habe.

PC Professionell: Was tun Sie, um Vertrauen zu gewinnen?
Carus: Ich arbeite eng mit den Administratoren vor Ort zusammen. Ich spreche alles, was ich tue, vorher ab. Wenn es dann konkret um das Eindringen in ein Netzwerk geht, sprechen wir im Detail ab, was da geschieht und was dadurch angerichtet werden kann. Und wenn es passieren kann, dass das Produktionssystem zu stark belastet wird, machen wir uns tatsächlich die Mühe, ein Parallelsystem aufzusetzen. Letztendlich gehen die Firmen auf jemanden wie mich zu, den sie vielleicht nicht ganz einschätzen können. Da hilft es nur, mit offenen Karten zu spielen. Außerdem verpflichte ich mich schriftlich, keinerlei Informationen nach außen zu geben. Aber ganz zum Schluss basiert immer alles auf Vertrauen.