Das macht eine ethische Hackerin

Pallavi Raja greift ERGO an. Jeden Tag. Die IT-Expertin attackiert Websites und Netzwerkumgebungen, verschafft sich illegal Zugriffsrechte und verändert Inhalte. Das alles unternimmt sie nicht aus eigenem Antrieb. Sondern im Auftrag von ERGO und ITERGO. Denn Pallavi Raja ist eine „ethische Hackerin“ – sie schützt das Unternehmen.

Dass sie mit etwas eigentlich Verbotenem ihren Lebensunterhalt verdient, sieht man ihr nicht an: Pallavi Raja ist eine freundliche, zurückhaltende, junge Frau. Sie stammt aus Indien, hat an der Hochschule Bremen den Master-Studiengang Elektronik („Electronics Engineering“) absolviert, kam im April 2017 als Referentin Informationsschutz zu ERGO und arbeitet seit April dieses Jahres bei ITERGO für die „Information Security“.

White Hat der vor Black Hats schützt

Und was genau tut sie dort? „Ich führe Tests der Netzwerksysteme durch, suche nach Sicherheitslücken und biete Proof-of-Concept (PoC) -Angriffe an, um zu zeigen, dass die Angriffe real sind.“, erklärt die 27-Jährige. Sie ist Teil eines Vierer-Teams und sucht gezielt nach Schwachstellen, die externe Hacker ausnutzen könnten. In diesem täglichen High-Tech-Krimi „Gut gegen Böse“ ist Pallavi Raja selbstverständlich die Gute: „Als ethische Hackerin bin ich ein so genannter White Hat, der ein Unternehmen vor den Angriffen der Black Hats schützt.“

Was wie ein putziges Computerspiel klingt, ist für Unternehmen wie ERGO ein ernstes Thema. Denn die Zahl der Hacker-Attacken steigt unaufhörlich. Ebenso wie die durch sie ausgelösten Schäden. Deshalb setzt ERGO eigene Spezialisten ein, die sich wie feindliche Eindringlinge verhalten und das Unternehmen gezielt auf Schwachstellen hinweisen: ethische Hacker wie Pallavi Raja.

IT-Spezialisten wie sie haben ihre eigene Sprache. Wie etwa „White Hat“ und „Black Hat“. Oder „Zero Day“. Das ist eine unbekannte Software-Sicherheitslücke, durch die Hacker schlüpfen und einen Virus oder Trojaner platzieren. Diese Lücke heißt „Zero Day“ („Tag Null“), weil der Nutzer der Software sie seit exakt null Tagen kennt – also gar nicht. Ethische Hacker sprechen auch vom „Penetration Testing“, wenn sie die Sicherheit aller Systembestandteile überprüfen.

Angreifen um zu beschützen

Pallavi Raja und ihre Kollegen bekommen ihre Aufträge von ITERGO-Projektmanagern. Eine typische Aufgabe: „Jetzt machen wir Penetrationstests für eine neue Website, bevor sie freigeschaltet wird.“ Und wie lange dauert es für einen solchen Test? „Es wird eine Woche dauern. Ich versuche, illegal auf die Seite zuzugreifen, Administratorrechte zu erlangen, Inhalte zu manipulieren, auf Fehlkonfigurationen zu prüfen und ähnliches. Bei kritischen Befunden informieren wir die Ansprechpartner, damit diese Fehler umgehend behoben werden. Am Ende der Tests senden wir einen Bericht mit den gefundenen Ergebnissen zusammen mit den Empfehlungen.“

Die Auftraggeber reagieren nicht sauer, sondern sind erleichtert. „Die Kollegen sind dankbar, wenn wir einen schwerwiegenden Fehler finden. Einer unserer Kollegen hat uns einen Kaffee angeboten, das ist dann besonders nett.“ Wenn die Sicherheitslücke gestopft ist, testen Pallavi Raja und ihre Kollegen die Website oder Netzwerk Systeme abermals. „Ist dann alles o.k., schreiben wir unseren Abschlussbericht.“

Wettlauf zwischen Gut und Böse

Wie schaffen es ethische Hacker, mindestens so gut informiert zu sein wie ihre Widersacher? Ganz einfach: Sie bilden sich weiter. „Wir absolvieren Online-Trainings und bekommen dafür Zertifikate. Außerdem besuchen wir europäische Hacker-Konferenzen, wie etwa das ´Black Hat Training´ im Dezember in London.“ Dort treffen Pallavi Raja und ihre Kollegen IT-Experten aus aller Welt, um sich auf den neuesten Stand zur Informations-Sicherheit zu bringen. „Dieser Austausch ist sehr wichtig für uns: Welche Sicherheitslücken haben andere White Hat Hacker bei Unternehmen gefunden, welche neuen Angriffsmöglichkeiten haben sie entdeckt?“

„Besser wir als andere“

Pallavi Raja liebt ihren ungewöhnlichen Job. Für sie ist es inzwischen völlig normal, dass ERGO sie dazu anstiftet, etwas eigentlich doch Verbotenes zu tun: „Besser wir machen das als ein externer Hacker.“ Und wie schützt sie sich privat vor Cyber-Attacken aller Art? Klassisch und konsequent. Das rät sie auch allen ERGO Kollegen. „Ich habe immer ein gutes, aktuelles Anti-Virus-Programm installiert, nutze stets die neuesten Software-Updates, bin vorsichtig beim Internet-Surfen und prüfe, ob die Website vertrauenswürdig ist.“

Von Uli Dönch