[Home]>

Hacker-Angriff abgewehrt

Jobportrait: IT-Sicherheitsexperte Werner Metterhausen berät Firmen in Sachen IT-Sicherheit. Damit den Datenspionen und -zerstörern die Freude vergeht.

Ein Kongress in Bonn: Gerade noch erklärt ein Vermarkter von Firewalls, dem Schutzschild von Computernetzen vor der bösen Außenwelt, wortreich, warum gerade sein Produkt unangreifbar ist. Eine Minute später tritt Werner Metterhausen an das Rednerpult. "Was dahinter geschieht", kommentiert er, "bietet oft viel größere Einfallstore für Angriffe." Sein Job: Er berät für die Unternehmensberatung von zur Mühlen Firmen in Fragen der Netzwerksicherheit.

"Wenn es der Kunde wünscht, dann veranschauliche ich es ihm auch live, wie ich in sein Netzwerk eindringe", skizziert Metterhausen. In einem Fall hatte er hinterher mehr Rechte als der Systemadminstrator - ohne dass es aufgefallen wäre. Sein Trick ist dabei nur ein paar Klicks im Internet entfernt: Über einschlägige Sites gibt es professionell verfasste Software, die sich jeder herunterladen kann. Mit diesen "Tools" öffnen sich dann auch im sicherheitsrelevanten Bereich vieler mittlerer und großer Firmen Lücken, "groß wie Scheunentore", wie es Metterhausen skizziert. Darüber freut sich jeder Datenspion und -zerstörer.

"Der Verteidiger muss immer an alles denken, der Angreifer braucht nur eine Lücke finden", skizziert er den nie ganz erfüllbaren Anspruch seines Berufes. "Ich habe einen Sinn für abstruse Gedankengänge", sagt er. "Für diesen Job muss man schräg um die Ecke denken können." Das sei eine generelle Anforderung im Sicherheitsgewerbe, "Überflieger braucht man deshalb nicht zu sein." So möchte sich Metterhausen auch nur ungern mit Hackern messen. "Die machen eine hochprofessionelle Arbeit, meistens auch nicht zum Schaden von Firmen", skizziert er. "Da kann ich als einfacher Programmierer nicht mithalten." Seine Aufgabe ist die Wachsamkeit, den Finger am Puls der Zeit halten. "Den überwiegenden Teil meiner Information ziehe ich aus dem Internet", erklärt der 46-jährige. "Ich lese etwa in einem speziellen Newsletter von heise.de von einer Sicherheitslücke." Dann testet er es meist an ein paar eigenen Testrechnern aus. Etwa, dass in einer speziellen Version eines Nameservers, mit dem eine Internetsite gesteuert wird, Hacker einen Zugriff haben. "Dann schaue ich erst einmal, ob ich bei meinen Kunden mit Hilfe von Standardhacksoftware die Version ihres Nameservers herausfinde." Das ist meistens schon schlecht. Eine E-Mail an die Verantwortlichen, fertig. "Das ist dann mehr Kundenpflege", beschreibt Metterhausen.

Soweit die Technikseite: "Viel größeren Raum nimmt allerdings die generelle Beschäftigung mit der Unternehmensstruktur ein", erklärt Metterhausen. Das fängt an mit der ständig geöffneten Tür des Rechenzentrums und der fehlerhaften Dokumentation des verwendeten Systems, frei nach dem Motto: Störe niemals ein laufendes System. Da gibt es dann Wartungsleitungen externer Dienstleister, bei denen niemand weiß, wofür sie eigentlich gut sind. "Das ist weitaus spannender als die rein technische Betrachtung", erläutert Metterhausen. "Außerdem: In einer 20.000-Einwohner-Stadt gibt es auch 200 Verbrecher und Idioten", skizziert er. "Warum geht man deshalb davon aus, dass es bei einem ähnlich großen Unternehmen anders sein sollte." Sein Arbeitsschwerpunkt liegt deshalb schon lange in der Analyse von Unternehmensabläufen, in der Beratung, wie es sicherer geht.

Der 46-jährige Unternehmensberater ist dabei eher zufällig zu seiner Profession gekommen. Nach einem klassischen Informatikstudium in Bonn - das ist nun schon 20 Jahre her - arbeitete er zunächst in verschiedenen Softwarehäusern, vor seiner jetzigen Anstellung auch schon mal im Bereich E-Commerce. Zu einer Zeit, wo noch keiner dran dachte - etwa 1996/97 - entwickelte er Tools für Onlineversicherungsabschlüsse. "Da spielte dann das erste Mal das Thema Sicherheit eine Rolle", skizziert Metterhausen. Erst das Angebot der alteingesessenen Sicherheitsberatung von zur Mühlen brachte ihn vollends auf den Internetsicherheitszug. In seinem Job hat Metterhausen viel mit Menschen zu tun: "Vom Systemadminstrator muss ich ernst genommen werden und den Vorstand muss ich davon überzeugen, für das Thema Sicherheit ein ausreichendes Budget zur Verfügung zu stellen", beschreibt er auch den Alltag von Sicherheitsexperten großer Firmen. Das sei nicht immer ganz leicht, aber lohnend. Metterhausen hat sich viel über eigene Projekte, Buchlektüre und Internetrecherche im Bereich Sicherheit fit gemacht. IT-Sicherheit ist also ein Feld, dem sich Informatiker und Computerexperten mit dem nötigen schrägen Blick und einer guten Umgangsform gut zuwenden können.

(Artikel von: 03.06.2003, Jörg Stroisch)