19/02 - Vorkämpfer für mehr Internet-Sicherheit werden Hacker:

Trierer Telematik-"Tiger" greifen Kunden-Systeme an

Trier. Deutschlands Spitzenforscher für mehr

Internet-Sicherheit, die jungen Wissenschaftler des Trierer

Instituts für Telematik, wechseln die Fronten: Als Hacker

werden sie künftig versuchen, durch Schlupflöcher in

Computer-Netzwerke von Firmen einzudringen - allerdings nur, wenn

die Unternehmen sie dazu beauftragen. Ein sogenanntes "Tiger

Team" soll mit den gleichen Werkzeugen und Tricks, wie Hacker sie

anwenden, Schwachstellen in der elektronischen Abwehr der

Auftraggeber aufdecken. Dadurch können die Unternehmen ihre

Schutzmaßnahmen verbessern. Derzeit tüftelt ein Trierer

Tiger-Team an elektronischen Attacken auf eine renommierte

Bank.

"Unser Tiger-Team kann beim Kunden unabhängig und

zuverlässig ermitteln, wie sicher dessen eigene Abwehr

wirklich ist. Zudem sind wir nicht betriebsblind, sondern gehen

sehr unbefangen an unsere Aufgaben heran", beschreibt der Direktor

von Deutschlands Spitzenforschungs- und Entwicklungs-Zentrum

fürs Internet, Professor Christoph Meinel (48), die Vorteile

der Vorgehensweise in seinem Institut für Telematik. Mit

gängigen Routinen, aber auch mit selbst entwickelten Verfahren

klopfen die Trierer Wissenschaftler EDV-Systeme auf

Schlupflöcher ab.

Manche Auftraggeber favorisieren nach Meinels Worten

kostengünstige Basis-Prüfungen. Mit Sicherheitsscannern

lassen die Trierer "Anti-Hacker" dann automatisierte Tests ablaufen

und prüfen mit rund 1000 Einzelattacken, ob das IT-System

einer Firma gegenüber Angriffen aus dem Internet anfällig

ist. "Manchmal wird ein Angriff konkret durchgespielt. In anderen

Fällen wird lediglich nach bestimmten Softwarepaketen und

deren Versionen gesucht, von denen man weiß, dass sie

Sicherheitslücken aufweisen", verrät der Trierer

Institutsleiter. Seine Telematik-"Tiger" sind aber auch für

das "Social Engineering" gerüstet, bei dem man versucht,

über die Schwachstelle Mensch in das System einzudringen.

"Nicht immer kommt man mit automatisierten

Basis-Checks genügend weit", betont Meinel, der auch

Lehrstuhlinhaber (C4) für Informatik an der Uni Trier ist.

Sein gemeinnützig, unabhängig und wirtschaftsnah

arbeitendes Institut für Telematik stellt sich deshalb auch

auf die außergewöhnlich hohen Sicherheits-Ansprüche

von Firmen und Behörden mit komplexeren IT-Infrastrukturen und

-Anwendungen ein: "Hier sind sehr spezifische Tests erforderlich,

die jeweils den Gegebenheiten angepasst werden müssen". Alle

Aktivitäten der angeheuerten Trierer Eindringlinge werden

protokolliert und in einer Präsentation den zuständigen

Fachabteilungen der Kunden vorgelegt. Nach einer Analyse der

Sicherheits-Mängelliste schlägt das Institut für

Telematik dann Konzepte zur Behebung der Schwachstellen vor. "Mit

Hilfe von Schulungsmaßnahmen fördern wir zudem

vorsorglich das Sicherheitsbewusstsein der Abteilungen - vom

Vorgesetzten bis zu den Anwendern", ergänzt Prof. Meinel. Sein

Institut hat übrigens Anfang des Jahres einen Erfinderpreis

bekommen für ein patentiertes Sicherheitsschleusen-System, das

Online-Hackern wirksam das Handwerk legt.