Gastbeitrag der Industrie- und Handelskammer Aachen
Hingehen, wo es wehtut
Die RedTeam Pentesting GmbH stellt weltweit IT-Systeme auf den Prüfstand – und die Nachfrage ist groß
In dem Film „Sneakers – Die Lautlosen“ bilden Kino-Legenden wie Robert Redford und Sidney Poitier ein Profi-Team, das sich auf ganz legale Einbrüche spezialisiert hat. Im Auftrag von Unternehmen, etwa Banken, zeigen sie Schwachstellen im System auf. Und bereits in diesem Streifen von 1992 spielt das „Hacken“ eine wichtige Rolle. Rund 30 Jahre später haben Jens Liebchen und Patrick Hof mit ihren Mitarbeiter*innen sozusagen die non-fiktionale Nachfolge der Hollywood-Truppe angetreten. Die von den zwei Diplom-Informatikern geführte RedTeam Pentesting GmbH, 2004 als RWTH-Ausgründung gestartet und inzwischen mehrfach ausgezeichnet, bietet Unternehmen und Institutionen Penetrationstests an. „Wir machen nichts anderes“, betont Jens Liebchen. „Diese Spezialisierung zeichnet uns aus.“
Die Aachener können mit einigem Recht als Hidden Champions bezeichnet werden. Denn einerseits dringt von ihrer täglichen Arbeit kaum etwas an die Öffentlichkeit, obwohl fast jeder Systeme kennt und nutzt, die von den Experten getestet wurden. Andererseits waren sie einer der ersten auf dem Markt und „die Zahl der Mitbewerber ist auch auf internationaler Ebene überschaubar“, sagt Jens Liebchen. Man habe sich den Ruf erarbeitet, Fehler aufzudecken, die ansonsten unbemerkt bleiben. Entsprechend groß ist der Erfolg in der Nische. Auf sämtlichen Kontinenten, mit Ausnahme von Afrika, waren die IT-Profis schon im Einsatz.
Bei so mancher Auftragsvergabe setzen wir uns auch gegen US-Anbieter durch.
In Zeiten zahlloser Cyberattacken durch Kriminelle mit teils verheerenden Auswirkungen ist die Nachfrage nach den Fähigkeiten der versierten, aber letztlich ungefährlichen Angreifer enorm. „Schon als wir noch Teil der RWTH waren, wurden wir überrannt“, erinnert sich der Mitgründer. Daran hat sich bis heute nichts geändert. Im Gegenteil: „Wir sind auf Monate hin ausgebucht.“
Software, Waschmaschinen und Banken auf dem Sicherheits-Prüfstand
Das Geschäftsmodell besteht darin, weltweit IT-Systeme auf den Prüfstand zu stellen. Es liegt in der Natur der Sache, dass RedTeam Pentesting keinerlei konkrete Angaben zu Kund*innen macht. Doch so viel sei verraten: „Wir testen Software und Hardware, große Netzwerke und kleine Apps, Waschmaschinen und Fernseher, Online-Shops und Produktionsstraßen, Krankenhäuser und Verteidigungseinrichtungen, Kraftwerke, Labore und Banken“, erklärt Jens Liebchen.
In wechselnden Dreier-Teams versetzen sich die Fachleute in die Perspektive eines kriminellen Hackers und suchen nach Sicherheitslücken im System. Für jede*n Kund*in erarbeiten sie eine spezielle Angriffsstrategie. „Es gibt zwar ein paar Standards, die wir bei jedem Test abarbeiten, aber am wichtigsten ist unsere professionelle Kreativität“, meint der Geschäftsführer. Um die riskanten Löcher zu finden und zu dokumentieren, gibt es ein vorher festgelegtes Zeitlimit. Mit fünf sogenannten Team-Tagen beginnt das Portfolio. „Das Maximum sind in der Regel 15 Team-Tage pro Auftraggeber.“
Gezahlt wird nach Zeitaufwand. „Für die Kosten ist es nicht entscheidend, ob wir 20 oder 200 Lücken finden.“ Und gefunden werde „immer etwas“, wie Jens Liebchen betont. Dabei kann es durchaus vorkommen, dass dramatische Ergebnisse drastische Vorschläge nach sich ziehen: „Wir raten manchmal, ein System so schnell wie möglich abzuschalten.“ Zu groß sei in diesen Fällen die Gefahr, dass sich Übeltäter einschleichen.
In der anschließenden Präsentation können die oft fassungslosen Auftraggeber*innen dann beobachten, wie die vermeintlichen Sicherheitssysteme überwunden wurden – um Zugriff auf wertvolle, ja existenzielle Daten zu bekommen. Die Vermittlung solch brisanter Testergebnisse und ihrer Bedeutung – ob an Konzern-CEOs oder hochrangige Politiker*innen – gehört zu den Kernkompetenzen der Teammitglieder.
Vertrauen und Seriosität stehen im Unternehmen an erster Stelle
Nur allzu verständlich, dass das Verhältnis zwischen Kund*in und Dienstleister in besonderer Weise auf Vertrauen begründet sein muss. „Wir simulieren nicht, sondern dringen tatsächlich tief in die Unternehmen ein.“ Und das nicht bloß auf digitalen Pfaden, sondern mitunter auch durch echte Türen.
„Wir gehen manchmal physisch in die Unternehmen rein und schauen beispielsweise, ob uns der Zutritt zum Server-Raum gelingt.“ Und gelingt es? „Leider viel zu oft.“
Das Wachstum von RedTeam Pentesting sei im Moment nur durch die Anzahl der Mitarbeitenden beschränkt. „Personelle Verstärkung ist daher immer gerne gesehen.“ Vertrauen und Seriosität gelten im Unternehmen mehr als Uniabschluss und Zertifikate, weil die Mitarbeitenden mit hochsensiblen Daten zu tun haben. „Manchmal zeigen wir Banken, wie man ein paar Millionen Euro verschieben kann, um die Ausmaße einer Schwachstelle zu demonstrieren.“ Gute Deutsch- und Englischkenntnisse sind Voraussetzung für den Einstieg. Natürlich braucht es auch Vorkenntnisse, was die Materie betrifft. „Die speziellen Techniken lernt man dann bei uns“, sagt Jens Liebchen. Das Team besteht nicht nur aus Informatikern. Elektrotechniker und Physiker sind ebenfalls vertreten.
Was die Auftragslage angeht, könnten Jens Liebchen und Patrick Hof problemlos 10 oder 20 weitere Leute einstellen. Doch die muss man erst einmal finden. Die Branche ächzt unter dem Fachkräftemangel. Auch aus diesem Grund ist die RedTeam Pentesting GmbH kürzlich umgezogen. Die neuen Büros mit über 500 Quadratmetern Fläche befinden sich im denkmalgeschützten Kapuzinerkarree mit Blick auf den Innenhof. Eigens verlegte Glasfaserkabel liefern in Echtzeit Bilder an jeden beliebigen Arbeitsplatz. Für den Standortwechsel investierte man insgesamt eine siebenstellige Summe, die bisher größte Investition für das Unternehmen.
Zu den erforderlichen Arbeiten gehörte auch eine spezielle Absicherung von Räumen und Technik – um nicht selbst angegriffen zu werden. Denn: „Auf der Gegenseite sitzen bekanntlich ebenfalls Vollprofis.“
– Autor: Daniel Boss