Herr Kalweit, Ihr Unternehmen ist auf Penetration-Testing und IT-Security-Consulting-Dienstleistungen spezialisiert. Warum genau auf diese Bereiche?
Wir sind ein unabhängiges Unternehmen und daraus resultiert, dass wir keine Produktlandschaften verkaufen. Wir leben davon, dass wir den Bedarf des jeweiligen Kunden decken. Der Markt der IT-Sicherheit geht eher in den englischsprachigen Sektor – das ist quasi komplett konträr zum deutschsprachigen IT-Markt. Deswegen haben wir uns darauf spezialisiert, dass wir den Bedarf, der durch interne Ressourcen nicht gedeckt werden kann, durch externe Expertise – also uns – decken können. Dafür bietet sich die Unternehmensberatung an, um proaktiv Impulse zu setzen und vor allem Hilfe zur Selbsthilfe zu leisten. Wir wollen keine Angst schüren, sondern stellen kompromisslos fest, wie die aktuelle IT-Sicherheitslage eines Unternehmens oder einer Lösung im Bereich der IT-Sicherheit ist.
Auf welche Branchen sind Sie spezialisiert?
Da das ein Themenfeld ist, das nicht von der Branche, sondern vom Bedarf des jeweiligen Unternehmens im Kontext der IT abhängig ist, sind wir grundsätzlich in allen Branchen tätig. Wir haben uns eher auf größere, also mittelständische Unternehmen bis Konzernstruktur, fokussiert. Unsere Kernkompetenzen liegen vor allem im Bereich des Banken- und des Versicherungswesens und wir sind aktuell bei Energieversorgern und in der Logistik präsent. Wir haben aber auch eine Vielzahl an kleineren Kunden (fünf bis 40 Mitarbeiter).
Wie viele Mitarbeiter beschäftigen Sie?
Wir sind ein Team aus 24 Beratern, vorzugsweise feste Freie. Das liegt vor allem an der Branche: Wir sind in einer Kernkompetenz unterwegs, die in Deutschland wenig vertreten ist. Auftragshacker – also Penetrationstester – gibt es nur wenige. Und die meisten wirklich guten wollen sich nicht an ein Unternehmen binden, die sind dynamisch.
Sie sagen: Die Cloud kann per se sicher sein, der Mensch ist der unsichere Part. Warum?
Ich gebe ein Beispiel: Wir haben bei einem Energieversorger aus technischer Sicht eine Revision durchgeführt. Dabei haben wir keine technologischen Angriffsvektoren gefunden, was selten vorkommt. Daher sind wir über den Angriffsvektor „Mensch“ hineingekommen. Uns ist wichtig, dass die Maßnahmen nicht Compliance-gerecht sind, sondern sicher. Das sehen wir auch an der Password-Policy: Wenn Sie das Compliance-gerecht haben, ändern Sie die Passwort-Abfrage häufig. Es zeigt sich aber – und da kommt wieder der Mensch ins Spiel –, dass die Passwörter dann schlechter zu merken sind.
Wir versuchen generell, uns authentisch in einen Angreifer hineinzuversetzen. Darum geht es in der IT-Sicherheit. Dort, wo Risiken sind, gibt es Sicherheiten. Und derjenige, der Sicherheiten schaffen möchte, müsste eigentlich wissen, wie Risiken entstehen. Das ist nicht ausschließlich der Mensch, das kann auch Technik sein, das können Prozesse sein, das kann die Unternehmenskultur sein oder eben auch Compliance-Vorgaben, die Lücken bieten.
Wenn Sie beim Thema Social Engineering nicht fündig würden, wie weit dürfen Sie als White-Hat-Hacker technologisch gehen?
Ein Großteil der Zeit unserer Aufträge widmet sich den technologischen Herausforderungen, also technische Angriffsvektoren zu finden. Der Grad der Intensität ist davon abhängig, wie der Kunde verfährt. Bei einem Pen-Test geht es vor allem um Privilegien-Eskalation. Wir versuchen wenig mit Tools zu arbeiten, sondern den höchstmöglichen Standard eines potenziellen Angreifers nachzustellen. Denn wenn wir versuchen, den höchstmöglichen Standard durchzuführen, können wir auch alle darunter möglichen Standards präventiv berücksichtigen.
Was ist der höchstmögliche Standard?
Wir nutzen keine vorgefertigten Tools, sondern schauen auch in welcher Branche das Unternehmen tätig ist. Ist es eine Industriefirma, die bevorzugt bestimmte Anlagen nutzt, in denen die Industriestandards im Bereich der Protokolle vorhanden sind, würden wir den Fokus darauf richten. Ist es ein Unternehmen, das vor allem Werke besitzt in denen Schlüsseltechnologie vorhanden ist, die dort umgesetzt wird, geht es auch um physische Sicherheit. Es geht nie um 100 %-ige Sicherheit, die gibt es nicht. Uns geht es darum, den angemessenen Sicherheitsstandard für die vorhandenen tatsächlichen Risiken bereitzustellen.
Nehmen Cyberangriffe zu oder sichern sich Unternehmen nur zu wenig ab?
Sowohl als auch. Sicherheit basiert auf Vertrauen. Vertrauen entsteht über einen längeren Zeitraum und Dynamik ist da ungünstig. Denn verändert sich etwas, muss ich neues Vertrauen aufbauen. Das heißt für mich: Die Natur des Menschen ist sehr ungünstig, wenn es um die Dynamik der IT-Sicherheit geht. Denn ich bin der Auffassung, dass IT-Sicherheit in Unternehmen viel zu langsam und zu wenig agil berücksichtigt wird und vor allem Trends gar nicht aufgegriffen werden. Währenddessen bewegen sich Angreifer dynamisch fort. Wir sehen eine zunehmende Tendenz im Bereich der Angriffe (gemäß BSI-Studien). Zwar werden auch mehr Maßnahmen im Bereich der IT-Sicherheit getroffen, aber die reichen nicht aus. Denn zunehmende Digitalisierung bedeutet auch zunehmende Angriffsvektoren, die potenziell ausgenutzt werden können.
Wenn ich als Beispiel eine Garage nehme mit einer normalen Fernbedienung. Ein Angriffsvektor wäre: Ich kann die Fernbedienung über die Funkfrequenz hacken, oder das Modul, das da eingebaut ist. Habe ich eine Fernbedienung, die Cloud-basiert ist mit einer App, habe ich schon viel mehr Möglichkeiten: Dann kann es der Server sein, die Apps selbst, das mobile Endgerät oder die Funkverbindung. Das sollte man berücksichtigen. Je mehr Technologie inkludiert wird, die IT-behaftet ist, desto mehr Angriffsvektoren im Bereich der IT sind vorhanden.
Wie schaffen Sie es als Unternehmen, agil zu sein?
Also ich persönlich bin deutlich jünger. Das Unternehmen ist auch nicht in dem Kontext gewachsen, dass wir Gewinn-Maximum betreiben wollen, sondern es ist aus einem Hobby beziehungsweise aus einer Passion heraus entsprungen. Und das macht glaube ich den Unterschied.
Inwiefern?
Jeden Schritt, den wir gehen, den machen wir nicht zum ersten Mal, aber auch nicht routiniert, weil wir noch nicht 20 Jahre auf dem Markt sind. Das heißt: Wir müssen auch selbst alles mal aus einem anderen Blickwinkel betrachten, es selbst ausprobieren, einen Schritt zurückgehen und prüfen. So macht es ein Angreifer auch. Es gibt keinen Plan nach Schemata F, wie man IT-Sicherheit schafft. Und je länger ein Unternehmen beständig ist und umso weniger Dynamik da ist, umso wahrscheinlicher ist es, dass es irgendwann nicht mehr up to date ist. Andere Unternehmen in unserer Branche haben 17 Jahre Berufserfahrung. Diese Expertise haben wir nicht, das geben wir offen zu. Aber die bedarf es auch nicht. Es geht um die Aktualität der Angriffsvektoren. Und ich glaube, dass wir sie deswegen am besten abdecken, weil wir vor allem jünger und agiler als Unternehmensstruktur sind. Und wir haben Know-how, das dadurch lebt, dass wir alle diese Passion leben.
Wir wollen individuelle IT-Sicherheit haben, weil Angriffe auch individuell sind. Ein Angreifer versucht nicht immer das Gleiche, sondern schaut sich an wo eine Verwundbarkeit ist und nutzt diese aus. Und das wollen wir versuchen, zu verhindern. Dafür haben wir auch Psychologen und Sozialwissenschaftler an Bord, die das Themenfeld bei Bedarf gemeinsam mit unseren IT-lern beleuchten. IT-Sicherheit muss nämlich vor allem angenommen werden. Eine Sicherheitsmaßnahme, die nicht umgesetzt wird, ist per se nicht existent.
Heißt für uns: Sie muss nicht nur vorhanden sein und sicher, sondern sie muss auch attraktiv gestaltet werden.
Unser Motto lautet: IT-Sicherheit für den Menschen und nicht für die Compliance-Vorgabe oder für die IT selbst.
Wie halten Sie sich denn aktuell auf diesem schnelllebigen Markt?
Das geht vor allem dadurch, dass wir alles outgesourct haben, was nicht mit dem Themenfeld der IT-Sicherheit zu tun hat. Wir als Unternehmen sind ausschließlich Leute, die sich mit IT-Security befassen. Und das ermöglicht uns auch, sich innerhalb des Unternehmens über IT-Security auszutauschen, weil das jeder versteht und jeder sich dafür interessiert.
Und wo finden Sie diese Leute?
Größtenteils ist es so, dass wir über ein gutes Netzwerk verfügen. Auch dadurch, dass einer unserer Partner einer der größten Personalvermittler Europas ist, börsennotiert in London. So haben wir es leicht, an neues Know-how zu kommen, das nicht auf den deutschsprachigen Raum begrenzt ist. Da können wir auch auf Ressourcen beispielsweise in Japan zugreifen.
Und wie picken Sie die Leute mit der Passion heraus, die Ihnen wichtig ist?
Es gibt wenig Leute, die das können. Diese Szene ist auch sehr klein. Wir haben beispielsweise jemanden aus London, der ist glaube ich 18 oder 19 und einer der wenigen Whitepaper und Bücher zu dem Themenfeld des AMD Exploitings geschrieben hat. Er hat eine fachlich technische Dokumentation geschrieben und macht jetzt noch die Schullaufbahn. Die Vernetzung kam über das Internet, weil man sich fachlich darüber ausgetauscht hat, wo Know-how ist.
Sie haben selbst jung angefangen. Warum hat Sie die IT-Sicherheit interessiert?
Es ist ein Themenbereich, bei dem man – wenn man einen Angriffsvektor findet und den ausnutzen kann – ein sehr privilegiertes Gefühl hat. Man hat etwas getan, was eigentlich niemand vorgesehen hat und was jeder verhindern wollte. Und zum anderen ist man einer der wenigen, die das überhaupt können. Außerdem gibt es immer etwas Neues zu entdecken und dadurch kann man nie alles wissen. Dann entsteht wahrscheinlich keine Trägheit oder Müdigkeit à la: Oh das habe ich vor 20 Jahren schon so gemacht. Sondern da gibt es immer eine Dynamik. Das macht es faszinierend.
Haben Sie nicht Angst – wenn Sie das 20 Jahre weiter betreiben –, dass diese Dynamik doch verloren geht?
Das würde ich nicht behaupten. Weil wir mittlerweile in einer viel agileren Welt unterwegs sind. Der Großteil unserer Mitarbeiter sind feste Freie. Also grundsätzlich besteht jede Möglichkeit für die Mitarbeiter, zu kommen und zu gehen. Und ich weiß, dass sie wiederkommen oder bleiben, weil sie die Mission die wir haben, teilen.
Wie ist das bei Ihnen persönlich?
Ich bin unter gewissen Umständen persönlich haftbar als Geschäftsführer. Da kann man sich natürlich fragen, warum ich das mache. Oder wenn ich mein Hobby zum Beruf mache, warum ich dann Kollegen habe. Größere Projekte sind einfach spannender. Und größere Projekte bekommt man nicht als Freiberufler, sondern nur als Organisation. Das würde erklären, warum diese Freien mit uns arbeiten, weil sie wissen, wir sind eine Organisation, die die coolen Aufträge kriegt. Da geht es um Zukunftsprojekte, die wir gemeinsam mit Kunden umsetzen. Und sagen zu können: Ich habe partizipiert und ich habe IT-Sicherheit in einem Produkt geschaffen, weswegen wir es erst nutzen können oder dürfen. Das macht einen stolz, wenn man die Produkte ein bis zwei Jahre später auf dem Markt sieht.
Können Sie sich vorstellen in fünf Jahren etwas anderes zu machen?
Ich bin glücklich mit dem, was ich jetzt mache, aber das heißt noch lange nicht, dass ich das in zehn Jahren noch immer machen muss. Ich habe eine Verbindlichkeit gegenüber dem Unternehmen, das weiß ich und der werde ich auch gerecht. Ich spiele gerade mit dem Gedanken, irgendwann vielleicht als Nebentätigkeit was anderes, nicht IT-lastiges zu machen. Etwas, wobei es weniger um ernstere Themen wie Sicherheit oder Risiken geht, zum Beispiel Flugbegleiter. In diesem Beruf hat man nämlich einen Verantwortlichkeitsbereich, der genau im Gegensatz zu meiner jetzigen Funktion steht. Ich werde aktuell dann wichtig, wenn es bereits zu spät ist: Als Penetrationstester komme ich zum Einsatz, wenn die Relevanz bekannt ist und man das im Nachgang fixen möchte. Wenn ich dann präventiv sage, wir haben was gefunden, schauen Sie sich das an, es ist kostenfrei, fixen Sie es bitte, dann ist die Relevanz meistens nicht da. Bei einem Flugbegleiter ist es andersherum: Wenn es relevant wird, also wenn es wirklich einen Absturz gibt und ich meine Schwimmweste anziehe, dann achtet doch ohnehin jeder nur auf sein eigenes Leben und nicht auf die Anweisungen der Crew. Genauso bei der Sicherheitsbelehrung vor dem Start. Aber wenn der Flugbegleiter den Kaffee holt oder den Tomatensaft, dann möchte ich, dass er mir zuhört und dass ich ihm zuhöre. Deswegen finde ich es so reizvoll und spannend. Und unabhängig davon reist man viel, es ist eine Dynamik dabei, man hat viel mit Kunden zu tun.
Sind Sie überhaupt noch in Consulting-Projekten dabei oder legen Sie eher den Fokus auf die Live-Hacking-Vorträge?
Wir legen einen starken Fokus auf die Vorträge. Das liegt daran, dass wir einen gesellschaftlichen Mehrwert kommunizieren wollen. IT-Sicherheit ist ein Themenfeld, das jeden betrifft. Auch analoge Dinge, wie eine Tasse, sind digital, da sie einen Produktionshintergrund haben. Anlagen und Maschinen arbeiten grundsätzlich IT-gestützt und selbst die Logistik ist IT-belastet. Und wir haben die Verantwortung angenommen, uns darum zu kümmern, dass das auch jeden betrifft, indem wir durch Deutschland touren. Ich selbst übernehme vor allem Penetrationstests und Beratungstätigkeiten. Aktuell bin ich in einem Zukunftsprojekt bei einem sehr großen Konzernkonstrukt, das uns alle betrifft. Ich kümmere mich dabei um die App-Sicherheit.
Das heißt, der eigentliche Arbeitsfokus, das Testing, macht Ihnen noch Spaß?
Definitiv. Dafür leben wir. Ich glaube die Unternehmensgröße ist noch nicht so groß, dass wir sagen können, die Geschäftsleitung kann andere Sachen machen. Unabhängig davon haben wir alle auch die gleiche Passion und wollen das Gleiche. Von daher ist eine Abgrenzung nicht besonders förderlich für das Unternehmensklima, zum anderen ist das nicht mein persönlicher Wille.
Gibt es einen Plan für Ihr Unternehmen für die nächsten Jahre?
Wir haben Strategien, aber Strategien verrät man ja nicht. Aber wir wollen uns als Unternehmen in der DACH-Region weiter präsent machen. Wir wollen eine gewisse Relevanz erfahren und uns vor allem um Themen kümmern, die einen gesamt-gesellschaftlichen Mehrwert haben. Wir haben zum Beispiel mit Microsoft gemeinsam eine Kampagne für Endnutzer, also für die Omas und Opas beispielsweise, die zuhause Windows 7 nutzen, gemacht. Daraus sind Imagevideos entstanden. Das sind Dinge, die machen wir sehr gerne, um sie dem gesellschaftlichen Mehrwert zugute kommen zu lassen. Das werden wir weiterhin machen, auch wenn sich das für uns nicht rentiert und auch gar nicht mal die Zielgruppe ist.
Eine Rückfrage: Bei Ihrer Erwähnung von Windows 7 musste ich schmunzeln. Windows 7 oder gar noch XP sind Betriebssysteme, die gerade in Produktionsanlagen häufig noch im Einsatz sind, teilweise auch oft ohne die zur Deckung bekannter Sicherheitslücken aufgespielten Sicherheitspatches. Verzweifeln Sie da nicht manchmal?
Oft höre ich die Frage: Wieso zeigen Sie uns so häufig Dinge, die den Endanwender betreffen? Das ist sehr wenig Industrielastig. Die größten Angriffsvektoren liegen nicht in spezifischen Exploits für Industrieanlagen oder für Geräte, die in irgendwelchen Werken herumstehen. Sondern das ist entweder die Verknüpfung durch den Menschen: Man kann sich ja fragen, wie kommt Schadsoftware, die Firmenrechner verschlüsselt, auf Werksmaschinen? Das hat unter anderem mit menschlichem Versagen zu tun, da fehlt die Security Awareness. Wenn man sich fragt, wie man sich, sein Werk oder sein Unternehmen besser schützen kann, dann fängt es bei jedem einzelnen Mitarbeitenden an. IT-Sicherheit bedeutet dort anzugreifen, wo das verwundbarste Glied ist. Und das ist jeder Einzelne in einer Organisation. Das ist nicht immer die komplette Organisation selbst. Wenn man diese Leute über Xing oder Linkedin filtern würde und eine authentische E-Mail mit Indikatoren schicken würde – etwa: Wir haben uns vor sechs Jahren mal getroffen und zusammen gearbeitet und hier ein schickes gemeinsames Foto aus der alten Zeit von damals, die würden alle darauf klicken. Und das sind die Verwundbarkeiten. IT ist gerade aufgrund des Menschen und der daraus resultierenden Kommunikation von IT und Menschen verwundbar. Und das muss verstanden werden. Von daher sind solche Rechner das große Übel, denn dafür ist der Mensch verantwortlich. Die größten Angriffsvektoren sind Mensch, Kommunikation, falsche Passphrasen sowie veraltete Software-Stände und Betriebssysteme. Nicht die Top-aktuellsten, sondern solche einfachen Basis-Standards. Das gilt sowohl für Bankinstitute als auch für Logistik und Privatpersonen oder die Industrie.
Dann haben Sie einen großen missionarischen Weg vor sich. Vielen Dank für das Gespräch, Herr Kalweit.
Kontakt:
Kalweit ITS GmbH
Esplanade 40
20354 Hamburg
Tel.: +49 40 52479018–0
(Mo-Fr 09–17 Uhr)
E-Mail: hello@kalwe.it
