So geht IT-Sicherheit Hand in Hand mit Hackern und Hackerinnen.

Die Mauern sind virtuell, die Gefahren echt: Mit sogenannten Penetration-Tests erhöht EOS die Datensicherheit. Dabei greifen Hacker und Hackerinnen das Unternehmen an – unter Realbedingungen.

IT-Sicherheit bei EOS: Gunnar Woitack, Chief Information Security Officer bei EOS Technology Solutions.
Gunnar Woitack ist so etwas wie der Hüter der Kronjuwelen der EOS Gruppe: Als Chief Information Security Officer ist er hauptverantwortlich für die Informationssicherheit.

Wer mit Gunnar Woitack darüber spricht, wie sich Unternehmen wie die EOS Gruppe gegen Hackerangriffe schützen, landet irgendwann bei den Brüdern Grimm. „Es ist wie ein Wettlauf zwischen Hase und Igel“, sagt der IT-Sicherheitsexperte. „Wir ziehen Zäune hoch, um Angreifer auszusperren, und die Hacker entwickeln immer neue Techniken, um sie zu überwinden.“

Gunnar Woitack ist seit Januar 2015 Hauptverantwortlicher für die Informationssicherheit der EOS Gruppe. Als Chief Information Security Officer bei EOS Technology Solutions ist er so etwas wie der Hüter der Kronjuwelen der gesamten Gruppe. Während Konzerne wie VW beispielsweise ihre Fahrzeugtechnik-Patente nie aus den Augen lassen, zählen bei EOS vor allem die Daten säumiger Zahler und Zahlerinnen zu den wertvollsten Posten.

Daneben lagern, wie bei praktisch jedem Unternehmen, Daten von Kunden und Kundinnen sowie weiterer Stakeholder auf den Servern. Diese Angaben sowohl nach innen verantwortungsbewusst zu behandeln als auch nach außen gegen Angriffe und Missbrauch abzusichern – das ist für EOS oberstes Gebot. Auf dieser Sicherheit fußt nicht zuletzt das Vertrauen gegenüber EOS.

Hackerangriff liefert Informationen zur IT-Sicherheit.

Um die größtmögliche Datensicherheit bei den mehr als 60 EOS Gesellschaften in 26 Ländern zu gewährleisten, beauftragt Woitack regelmäßig Profis: Spezialisierte Hacker und Hackerinnen tasten die virtuellen Mauern von EOS auf Schlupflöcher ab. Auch in diesem Jahr werden diese White-Collar-Hacker – wie Woitack sie nennt – dafür einen sogenannten Black-Box-Penetration-Test durchführen. Dabei erhält die externe Partnerfirma einige Hundert IP-Adressen von EOS. „So ein Test dauert mehrere Stunden“, sagt Woitack. „Dabei läuft vieles automatisiert ab.“

Hundertprozentige Datensicherheit gibt es für Unternehmen nicht.

Zusätzlich veranlasst EOS periodisch sogenannte Grey- und White-Box-Tests. Bei diesen Cyberangriffen wird „mehr Licht in die Box gebracht“: Die Hacker und Hackerinnen erhalten darüber hinaus Zugangsdaten bzw. den Source-Code von Webanwendungen – also entweder den Schlüssel zum Haus oder sogar die Grundrisse der Zimmer und die Alarmanlagen-Details, um es in einer Analogie des Hackerangriffs zu einem Einbruch auszudrücken.Trotz dieser sehr gründlichen Penetration-Tests wähne sich EOS allerdings nicht in falscher Sicherheit, betont Woitack. Vor einem Angriff sei letztlich niemand vollends geschützt.
Receivables purchase by EOS in France: Nathalie Lameyre, Managing Director of EOS in France.
Es gibt keine hundertprozentige Sicherheit. Auch die CIA und das FBI werden gehackt.
Gunnar Woitack, Chief Information Security Officer bei EOS.

Hackerangriff zeigt: Die Fehlerquote ist rückläufig.

Grundsätzlich seien die mit dem Internet zusammenhängenden Systeme von EOS über die Jahre immer sicherer geworden: Die Fehlerquote bei den Penetration-Tests nehme ab, das Bewusstsein für Datensicherheit in der Belegschaft stetig zu, berichtet Woitack. „Die wiederkehrenden Tests lenken den Fokus in die richtige Richtung.“
Und in einem ist sich der Experte sicher: Simulierte Hackerangriffe werden auch in zehn Jahren noch ein probates Mittel sein, um Schwachstellen der IT-Sicherheit im Unternehmen freizulegen. Denn der Wettlauf von Hase und Igel geht weiter. „Aber wir kümmern uns sehr intensiv darum,“ erklärt Woitack. „Wir nehmen die Risiken sehr ernst und investieren natürlich auch viel Geld in die Sicherheit.“

Black-Box, Grey-Box und White-Box – alles böhmische Dörfer? Für den Einstieg in das Thema Cybersicherheit empfiehlt Gunnar Woitack u. a. diesen Beitrag.

Photo Credits: Sebastian Vollmert / EOS, Hack Capital / Unsplash