„Viele Unternehmer glauben, ihre IT-Sicherheit sei ausreichend.“ Glaube allein jedoch genügt nicht, betont Philipp Kalweit. „Wenn Sie kugelsicheres Glas kaufen, wollen Sie auch, dass dies vorher getestet wurde.“ Und hier kommt der 20-Jährige mit seiner Kalweit ITS GmbH ins Spiel. „Im Grunde sind wir ein klassisches Beratungsunternehmen mit Spezialisierung auf IT-Sicherheit.“ Ganz so klassisch ist die Dienstleistung jedoch nicht. Kalweits Kunden bezahlen ihn dafür, dass er sie hackt. Und Philipp Kalweit ist auch nicht irgendein Hacker. Das Wirtschaftsmagazin Forbes zählte ihn 2019 zu den 30 wichtigsten Nachwuchstalenten in der DACH Region (Deutschland, Österreich und der Schweiz). Offiziell gegründet hat er, versehen mit einer Ausnahmegenehmigung, bereits im Alter von 17 Jahren. Und schon zuvor hatte er im Dienste der IT-Sicherheit – und im Auftrag – Unternehmen gehackt. Immer mit dem Ziel ganzheitlicher Cybersecurity.
Arbeiten im Homeoffice – seit Corona für viele Arbeitnehmer*innen Normalität. Laut einer Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich die Zahl der Home-Office Arbeitsplätze mehr als verdoppelt: Insgesamt 64% der Beschäftigten sind voll oder teilweise im Home-Office. Das Problem: Zusätzlich zu den IT-Lösungen im Unternehmen selbst, müssen auch die Systeme im Home-Office und die Verbindung der Systeme geschützt werden. Denn mangelnder Schutz ruft Cyber-Kriminelle auf den Plan. So verzeichnet das Bundeskriminalamt einen coronabedingten Anstieg von Attacken. Allein für 2020 wurden rund 108.000 Cybercrime-Delikte registriert. Die Dunkelziffer dürfte weit höher liegen, sind Experten überzeugt.
Ziel: Ganzheitliche Cybersecurity
Denkweise der Angreifer verstehen
„Unsere Kunden bezahlen uns dafür, Sicherheitslücken zu identifizieren und so weit wie möglich in ihr System einzudringen“, erklärt er. Wichtig dabei: Der ‚cyber incident‘ muss so authentisch wie möglich sein. „Es geht darum, die Denkweise der Angreifer zu verstehen, um wirksam schützen zu können.“ Das wiederum bedeutet, verschiedene kulturelle Denkweisen und -Muster einzubeziehen – denn Hacker kennen keine Grenzen. Auch deshalb ist Kalweit ITS, neben dem Stammhaus in Hamburg, in Wien, Kiew und Singapur vertreten.
Cyberkriminelle haben leichtes Spiel
Dabei hat es Kalweit keineswegs immer mit kriminellen Superhirnen zu tun. Als typische Pandemie-Attacke haben sich einfache Phishing-Mails mit Informationen zu Corona-Soforthilfen erwiesen. In den betrügerischen E-Mails werden die Empfänger aufgefordert, persönliche Daten sowie PINs oder TANs einzugeben. „Oft stecken hinter diesen Angriffen organisierte Banden, die automatisierte Massenangriffe starten. Selbst wenn der Großteil der Adressaten nicht reagiert – der Rest lohnt sich“, weiß der Experte. Tatsächlich ist in vielen Fällen für einen erfolgreichen Angriff gar kein Superhirn nötig.
Kalweit nennt drei Haupt-Einfallstore: Programmierfehler, veraltete Software und den menschlichen Faktor. „Entsprechend müssen Unternehmen oft gar keinen immensen Aufwand für ihre IT-Sicherheit betreiben. Aber ein Mindestmaß ist unerlässlich.“ Dazu gehöre auch die Sensibilisierung der Mitarbeiter*innen. Kalweit setzt dabei auf ‚Wissensmotivation‘. „Es geht um Wissen und Motivation. Die Mitarbeiter – natürlich auch die Führungskräfte – müssen wissen, warum sie sichere Passwörter benutzen und diese auch noch regelmäßig ändern sollen. Oder warum Skepsis gegenüber ‚fremden‘ E-Mails Sinn macht.“
Hacker-Farbenlehre
Kalweits Welt ist geprägt durch eine Farbenlehre. „Es gib die gesetzestreuen White Hat Hacker – also uns. Die Grey Hat Hacker, die sich einigermaßen an Gesetze halten und dabei mal mehr auf der dunklen, mal mehr auf der hellen Seite agieren. Und die Black Hat Hacker, also die Cyberkriminellen“, zählt Kalweit auf. Und dann gibt es noch die politisch motivierten Hacktivist*innen, zu denen etwa die Mitglieder des Chaos Computer Clubs gehören, und die durch ihre Hacks einen gesellschaftlichen Beitrag leisten wollen.
Cybersecurity ist kein Trend
Das will Kalweit auch und wirbt für eine generelle Sensibilisierung für das Thema. Gerade im hanseatischen Norden beobachtet er zwar einerseits eine große unternehmerische Verantwortung bei den oft inhabergeführten, kleinen und mittleren Betrieben, andererseits aber auch eine gewisse Zurückhaltung gegenüber vermeintlichen Trends. „Cybersecurity aber ist kein Trend, sondern eine unternehmerische Unabdingbarkeit“, so Kalweit. Schon weil der Schaden oft über den rein finanziellen Verlust hinausgeht. „Viele Unternehmen scheuen das öffentliche Bekenntnis: Ja, wir sind gehackt worden. Denn eine solche Nachricht ist immer mit einem Reputationsverlust verbunden“, weiß Kalweit.
Dabei sichere etwa der Verfassungsschutz Vertraulichkeit zu. „Im Gegensatz zu Polizei und Staatsanwaltschaft ist der Wirtschaftsschutz des Bundesamts für Verfassungsschutz nicht zur Strafverfolgung verpflichtet.“ Unternehmen können sich hier somit beraten lassen, ohne etwaige Folgen einer Strafverfolgung für sich selbst fürchten zu müssen. Wer hingegen einen Angriff meldet, trägt damit zur gesamtwirtschaftlichen Sicherheit bei. Denn: Je detaillierter das Wissen über cyberkriminelle Taktiken, desto besser können Kalweit und seine Kollegen Schutzmechanismen entwickeln.
ys/kk