Читать книгу #pwned - Holger Junker - Страница 5

Dienstag, 16:12 Uhr, Essen

Оглавление

»Vielen Dank für die gute Arbeit. Ich bin wirklich sehr beeindruckt über die Risiken, die Sie uns aufgezeigt haben.«

Der IT-Leiter versuchte, gute Miene zum bösen Spiel zu machen. Schließlich hatte der Bericht, der im gerade vorgelegt worden war, die Sicherheit der von ihm verantworteten Infrastruktur in keinem guten Licht dastehen lassen.

»Einige der Lücken sind wirklich sehr kritisch und sollten möglichst zeitnah geschlossen werden. Ich habe ihren Administratoren schon einige Hinweise gegeben, wie dies am einfachsten umzusetzen ist.«

Für Hubert war eine solche Sicherheitsanalyse nicht einfach ein Auftrag, den er zu erfüllen hatte, um anschließend die Rechnung stellen zu können. Vielmehr war es eine Herzensangelegenheit, dass seine Kunden den von ihm aufgezeigten Handlungsbedarf auch ernst nahmen.

»Herr Jansen, wir wissen doch beide, dass es hundertprozentige Sicherheit nicht gibt. Das Niveau zu erhöhen kostet Geld und wird vom Kunden nicht honoriert«, erwiderte der IT-Leiter.

Hubert war fassungslos über die Reaktion seines Auftraggebers. Er wusste nicht was ihn mehr ärgerte – die Ignoranz seines Kunden oder einmal mehr eine solche Binsenweisheit zu hören. Von hundertprozentiger Sicherheit konnte keine Rede sein. So ziemlich jede typische Schwachstelle, die man sich nur vorstellen kann, hatte Hubert in seinen Untersuchungen vorgefunden. Egal ob über manipulierte E-Mails, infizierte Webseiten, Schwachstellen im Webauftritt und dem Mailserver des Unternehmens oder den unkontrollierten Einsatz von Wechseldatenträgern – die Einfallstore in das Unternehmen waren weit offen. Viel schlimmer war aber, dass ein Angreifer – wenn er es einmal in das Unternehmen hinein geschafft hatte – sich praktisch unbeschränkt entfalten konnte. Es gab beispielsweise weder Zugriffsregelungen eines Rollen- und Rechtemanagements noch wurden überhaupt Verbindungsdaten oder Sonstiges protokolliert. Eine Segmentierung der internen Netze zur Begrenzung der Auswirkungen möglicher Kompromittierungen war ebenfalls faktisch nicht vorhanden.

»Hochsicherheit ist hochpreisig. Das ist richtig. Das Erreichen eines Basisschutzes kostet eine gewisse Summe. Eine gegebenenfalls überschaubare Erweiterung der durch diesen Basisschutz gegebenen Sicherheit kostet dann häufig noch einmal die gleiche Summe. Es gibt immer einen Punkt, wo sich mehr Sicherheit nicht mehr lohnt und stattdessen das verbleibende Risiko zu akzeptieren ist. Aber die bei Ihnen erforderlichen Maßnahmen sind kostengünstig und einfach umzusetzen. Ja, Ihre Kunden werden dies nicht honorieren, aber sie werden sie abstrafen, wenn es erst einmal einen nennenswerten Vorfall gegeben hat.«, appellierte Hubert an die Vernunft des IT-Leiters.

Doch der Blick seines Gegenübers ließ Hubert erkennen, dass weitere Argumente hoffnungslos waren. Der Bericht würde vermutlich in der Schublade des IT-Leiters verschwinden und niemals mehr das Licht der Welt erblicken.

»Ich danke Ihnen für die gute Zusammenarbeit und würde mich freuen, sie wieder als Kunden begrüßen zu dürfen.«

Hubert spulte die typischen Floskeln zur Verabschiedung beim Kunden ab. In Gedanken war er schon längst aus dem Büro heraus und auf der Autobahn.

Er stieg in seinen Passat, nahm die Krawatte ab und fuhr los. Eigentlich konnte Hubert sehr zufrieden sein. Bei der beauftragten Sicherheitsprüfung, dem Security Audit, hatte er eine Vielzahl kritischer Schwachstellen in der Infrastruktur des Kunden aufgedeckt, bewertet und Maßnahmen zur Behebung aufgezeigt. Er hatte gute Arbeit abgeliefert und würde dafür auch gutes Geld verdienen. Alles Weitere konnte ihm eigentlich egal sein. Aber es war einfach unbefriedigend, wenn Unternehmen ihr kostbarstes Knowhow ungeschützt jedem halbwegs qualifizierten Angreifer auf dem Silbertablett servierten. Ganz zu schweigen von der geringen Wertschätzung Huberts Arbeit gegenüber – denn alle seine Warnungen würden vermutlich ungehört bleiben.

Doch das war nicht wirklich sein Problem. Es war halb fünf am Nachmittag – eigentlich Zeit für einen entspannten Feierabend. Doch entspannt würde es nicht werden. Mit Grauen dachte Hubert daran, dass er den Abend vermutlich allein verbringen würde. Die vergangene Nacht hatte er im Hotel geschlafen, weil er zwei aufeinanderfolgende Tage bei seinem Kunden gearbeitet hatte. Sein Beruf brachte es mit sich, dass er häufiger in Hotels übernachtete. Dort allein zu sein war er gewohnt. Aber allein im eigenen Haus – mit diesem Gedanken konnte sich Hubert nicht anfreunden.

Karina, seine Frau, war vor einer Woche mitsamt ihrem gemeinsamen Sohn Janus ausgezogen. Die letzten Monate waren schwierig gewesen. Immer wieder waren Hubert und Karina aneinandergeraten. Einige der Szenen spielten sich fortlaufend in Huberts Kopf ab. Am Ende hatten sie sich nur noch angeschrien. Sie alle hatten darunter gelitten, vor allem Janus. Der Umgang mit dem Kleinen war für Hubert zunehmend schwieriger geworden. Es war ja auch verständlich. Sobald Hubert nach Hause gekommen war, war der nächste Streit schon zum Greifen nahe gewesen. Ein Zweijähriger assoziierte dann natürlich die schlechte Stimmung mit der Anwesenheit des Vaters. Kurz vor dem Auszug hatte Hubert seinen Sohn nicht mal mehr auf den Arm nehmen können, ohne dass dieser zu weinen begann.

Sicherlich wäre es nach der Trennung von Karina besser gewesen, erst einmal etwas auf Distanz zu gehen. Doch das konnte Hubert nicht. Egal wie schwierig die letzten Wochen und Monate gewesen waren – selbst aus dem Haus auszuziehen wäre für ihn einer Bankrotterklärung für seine Ehe gleichgekommen.

Er wählte die Nummer von Karina und hoffte, dass sie diesmal imstande wären, ein halbwegs normales Gespräch zu führen, ohne gleich wieder in gegenseitige Anschuldigungen zu verfallen.

»Was gibt’s?«, meldete sich Karina und machte keinen Hehl daraus, dass sie von Hubert genervt war.

»Hi. Ich wollte mal hören, wie es Euch geht und kurz mit Janus sprechen, damit er meine Stimme hört.«

»Hubert, was glaubst Du wohl, wie es uns geht. Weißt Du, wie stressig es ist, wenn man plötzlich alleinerziehend ist!«

»Du hast es Dir doch selbst ausgesucht!«, hätte Hubert ihr am liebsten entgegnet. Aber er wollte nicht gleich wieder das Gespräch eskalieren lassen.

»Kann ich bitte noch kurz Janus sprechen, Karina?«, bat Hubert stattdessen.

»Der spielt gerade. Ich will nicht, dass er sich wieder aufregt. Dann habe ich den ganzen Abend nur noch Ärger.«, wiegelte Karina mit patziger Stimme ab. »Du, ich hab jetzt keine Zeit, Hubert. Mach's gut.«

Karina hatte aufgelegt. Hubert konnte mit solchen Situationen nicht gut umgehen. Selbst hätte er sich wohl nicht als Kontrollfreak eingeschätzt, auch wenn seine Frau das sicherlich anders bewerten würde. Aber gar keinen Einfluss mehr auf seine familiäre Situation zu haben und sich einzig und allein den Launen von Karina aussetzen zu müssen, machte ihn zornig. Zorn und Hass waren in den letzten Wochen die beherrschenden Gefühle in Huberts Leben gewesen. Er hasste Karina dafür, was sie ihm angetan hatte. Doch auch auf sich selbst war er zornig, denn er hatte völlig die Kontrolle über die Situation und in einigen Momenten auch die Kontrolle über sich selbst verloren.

Im Radio liefen gerade die Nachrichten. Das typische Weltgeschehen mit seinen politischen und wirtschaftlichen Wirrungen wurde diesmal um eine Nachricht aus der Cyber-Welt angereichert.

»Wie heute bekannt wurde, haben Unbekannte über mehrere Monate hinweg mehrere Tageszeitungen und gemeinnützige Institutionen in den Vereinigten Staaten von Amerika ausspioniert. Betroffen sind unter anderem die New York Times und verschiedene Menschenrechtsorganisationen, bei denen über einen längeren Zeitraum Mitarbeiter ausspioniert wurden. Der US-amerikanische Sicherheitsexperte Mandiant vermutet chinesische Hacker mit staatlichem Hintergrund als Urheber des Angriffs.«

Für Hubert war interessant, dass Unternehmen zunehmend mit solchen Vorfällen an die Öffentlichkeit gingen. Während noch vor einigen Jahren angesichts eines drohenden Imageverlusts kein Wort darüber verloren worden wäre, war diesbezüglich doch ein Wandel zu verzeichnen. Vor vier Jahren, als Hubert gerade sein Studium absolviert hatte, hätte er eine solche Nachricht noch als gute Sensibilisierungsmaßnahme gewertet, die zur Vorsicht – neudeutsch der Awareness – in den Unternehmen beitragen würde. Diese Nachricht würde aber vermutlich in keinem Unternehmen in Deutschland irgendeine Veränderung bewirken. Sicherheit war als Thema einfach nicht „sexy“ und kostete unnötig Geld. Schließlich herrschte die Meinung vor, dass man sich als Unternehmen gegen die Übermacht der chinesischen Hacker und anderer staatlicher Akteure ohnehin nicht wehren könne.

#pwned

Подняться наверх