Cyber-Forensiker sind die digitale Feuerwehr

Bis der Spion im System enttarnt war, waren schon jede Menge Daten nach außen geflossen. Ein ehemaliger IT-Mitarbeiter, so erzählt der Cyber-Forensiker Alexander Geschonneck von der Beratungsgesellschaft KPMG, hatte sich noch während er in dem Unternehmen arbeitete eine Hintertür ins System gebaut. "So konnte er nach Belieben auf das System zugreifen und seine ehemaligen Kollegen ausspionieren", sagt er. Bis er von Geschonneck und seinem Team enttarnt wurde.

Für das Unternehmen war der Angriff ein Schock. Doch Hacker-Angriffe, Datendiebstähle aller Art oder Datenmanipulationen sind in deutschen Firmen keine Seltenheit. "Fast täglich kommt so etwas vor", sagt der Forensiker von der KPMG. Und das sind natürlich nur die Anfragen, die er bekommt. Dass sich ein Wettbewerber am Markt Zugriff auf Forschungsdaten, Angebotsdaten, Personalstrukturen oder Kalkulationen verschaffe, geschehe sehr häufig. "Da werden Hacker beauftragt - und schon ist der Konkurrent im System", erzählt Geschonneck. Solche Angriffe treffen auch Behörden, erzählt die Referatsleiterin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Isabel Münch.

Die Ghost-Busters unter den ITlern

Zeit, die Cyber-Forensiker zu rufen - die Ghost-Busters unter den ITlern. "Wir sind die digitale Feuerwehr", sagt Geschonneck. "Wir werden gerufen, wenn einem Unternehmen bereits ein Schaden entstanden ist, oder es vermutet, dass es angegriffen wurde", sagt er. Die Aufgabe des Forensikers ist das Spurensichern und Auswerten selbst - nicht das Schließen von Sicherheitslücken. "Wir sehen uns die Daten an und schauen, ob das Unternehmen tatsächlich angegriffen wurde. Dann identifizieren wir den Täter und die Schwachstelle, über die er ins System gelangt ist, damit das Unternehmen sie schließen kann", erzählt Geschonneck. Das geschehe mit technologischen Mitteln, aber auch mit klassischen Methoden wie Interviews und gründlichen Dokumentenrecherchen.

Anomalien jagen gehen

Im Fall des spionierenden Mitarbeiters war das Entdecken mühsam: "Das Unternehmen hatte eine Anomalie-Erkennung durchgeführt. Dabei war aufgefallen, das Accounts aktiv waren, die nicht hätten aktiv sein sollen", sagt Geschonneck. Er und seine Kollegen machten sich an die Arbeit. Mit dem analytischen Forensischen Rechenzentrum, das speziell dafür entworfen wurde, werteten sie Terabytes an Logfiles aus, die aus dem kompromittierten System stammten, und versuchten herauszufinden, was im System passierte. "Das ist ein sehr spezielles Vorgehen, das einige Zeit dauert", sagt Geschonneck.

In diesem Fall kamen sie dem Ex-Mitarbeiter auf die Schliche. Doch das gelingt nicht immer. "Viele Angriffe werden gar nicht erst gesehen, oder die Hacker verwischen Spuren", sagt er. "Der Täter kommt nicht durch die Haustür oder übers Kellerfenster, sondern durch das angelehnte Toilettenfenster - und macht dann das Fenster wieder hinter sich zu", vergleicht Münch. Mit Standardsystemen sei so ein Angriff kaum zu identifizieren. Das macht das Entdecken von Einbrüchen umso schwerer. Auch sei es möglich, dass das Unternehmen aus Versehen selbst die Spuren des Täters verwische, während es eigentlich die Daten sichern wollte, fügt Geschonneck hinzu. "Aber wir haben eine gute Quote", lacht er.

Hände aus der Keksdose

Nicht immer hat der Forensikexperte so viel Zeit, wie er benötigt. "Im schlimmsten Fall müssen wir den Zugang des betroffenen Netzwerks sofort sperren", sagt er. Dann legt das Unternehmen den Schalter um. "Wenn wir den Täter mit den Händen in der Keksdose erwischen, müssen wir ihn da oft schnell rausbringen - aber wenn nur noch Krümel da sind, müssen wir diese einsammeln und untersuchen." Und die Lücken seien oft groß. Häufig es kennen Unternehmen ihre eigenen Kronjuwelen gar nicht, meint Geschonneck. Wichtige Daten werden nicht geschützt, und der Diebstahl wird dann auch nicht bemerkt.

Die größte Schwachstelle bleibe aber der Mitarbeiter: "Da werden Daten auf USB-Sticks und mobilen Endgeräten einfach aus dem Unternehmen getragen", sagt er. Und warnt: "Es kann jeden treffen - und es wird jeden treffen." Kein Wunder, dass die Nachfrage nach Cyber-Forensikern sehr groß ist. Nicht nur der KPMG-Experte sucht ständig neue Mitarbeiter. "Cyber-Forensiker sind so wertvoll wie ein Goldnugget", sagt die Sicherheitsexpertin Münch.

Unter Personalmangel leidet auch das BSI, das derzeit ein Fünf-Mann-Forensikteam beschäftigt, neben weiteren Mitarbeitern für Penetrationstests und ähnlichem. "Zwar können wir nicht die Gehälter der freien Wirtschaft zahlen", sagt Münch. "Dafür sind wir aber unabhängiger und können mehr in die Tiefe der Systeme gehen. Zudem ist unsere Arbeit sehr abwechslungsreich."

Die Master-Forensiker

Die IT-Sicherheit steht nicht erst seit der NSA-Affäre auf dem Plan. Inzwischen gibt es bereits eine Ausbildung zum Cyber-Forensiker: An der Hochschule Albstadt-Sigmaringen können sich seit 2010 jährlich etwa 30 Studenten in den Online-Master-Studiengang "Digitale Forensik" einschreiben. "Der Studiengang ist ein Querschnitt aus Informatik, Methodik und Jura", erklärt Professor Martin Rieger, der den Studiengang mit Kollegen der Ludwig-Maximilians-Universität und der Friedrich-Alexander-Universität Erlangen-Nürnberg begründete.

Ein IT-Studium, im Haupt-oder Nebenfach, sei die Voraussetzung, um den berufsbegleitenden Master zu studieren, sagt Rieger. Nicht nur Unternehmen interessiert die digitale Forensik brennend: "Die Hälfte der Studenten sind Strafermittler, etwa im Bereich Urheberrechtsverletzungen, Rauschmitteldelikte oder Kinderpornografie", sagt er. Die Absolventen sollen später in der Lage sein, zum Beispiel gelöschte Kontakt-Listen wieder herstellen zu können oder Container zu öffnen, erklärt Rieger.

Vor Gericht verwertbar

Das wichtigste, was sie im Master lernen: "Vor allem geht es um die gerichtsverwertbare Erhebung und Aufbereitung von Beweismaterial", erklärt Rieger. Gerichtsfest bedeutet in diesem Fall, dass die Daten selbst nicht verändert werden dürfen, sondern nur mit einer Bit-genauen Kopie. "Das Verfahren muss bestimmten rechtlichen Linien folgen", sagt der Professor. Deshalb sei die juristische Ausbildung der Experten so wichtig. Diesen Aspekt kennt auch Forensiker Geschonneck: Die Analyse von digitalen Daten muss rechtlich erlaubt sein - würden die Cyber-Forensiker etwa Persönlichkeitsrechte verletzen, hätten die Beweise vor Gericht keine Aussagekraft, betont er. Kommt es zum Gerichtsprozess, muss der Forensiker auch als Gutachter auftreten können. "Zudem muss er sein Vorgehen allgemein verständlich vermitteln können", sagt Rieger.

Nicht immer muss es zum Prozess kommen: Wenn Unternehmen Hilfe suchten, werde meist gar nicht die Justiz eingeschaltet, sondern zunächst Konsequenzen für die IT gezogen, meint Rieger. "Ein IT-Sicherheitsstudiengang ist das aber nicht", betont er. Erst dieses Jahr werden die ersten Master-Forensiker fertig. "Unternehmen fragen uns schon nach den Absolventen", sagt Rieger. "Der Bedarf an Cyber-Forensikern ist sehr groß."

Quereinsteiger und Künstler

Aber schon heute arbeiten einige Informatiker in dem Beruf. "Die heutige Chef-Forensiker sind meist auf Umwegen dazu gekommen", sagt Münch vom BSI. "Klassischerweise sind es bei uns Quereinsteiger", erzählt sie. Geschonnecks Lebenslauf bestätigt das: Er ist studierter Wirtschaftsinformatiker und befasst sich schon seit knapp 20 Jahren mit digitaler Spurensicherung. "Ich habe schon 1995 an einem Rechenzentrum an der Uni Hacker gejagt", erzählt er. "Seitdem hat mich das Thema nicht mehr losgelassen."

Um ein guter Cyber-Forensiker zu werden, bedarf es vor allem einer Eigenschaft: Alle drei sind sich einig, dass sie um die Ecke denken können müssen. "Mit einem festen Rezeptbuch kommt man beim Spurensuchen eben nur bis zu einer gewissen Ecke", sagt Münch. "Ich brauche Leute, die in den riesigen Codemengen, die sie vor sich haben, Muster entdecken oder Ideen haben, wie solche Muster aussehen könnten. Wir brauchen Künstler. "

Das setzt natürlich beste IT-Kenntnisse voraus. Aber der Experte müsse sich nicht in jeder Software perfekt auskennen, sagt die BSI-Referatsleiterin. "Bei uns arbeiten die Experten im Team. Schließlich kann sich nicht einer allein mit allem auskennen", sagt sie. Einer kenne sich mit SAP aus, ein anderer mit Oracle-Datenbanken, ein weiterer mit Webbrowsern. Daher sei es auch wichtig, dass Soft Skills vorhanden seien: Weiß einer nicht weiter, muss er mit anderen kommunizieren können. Nur so kann man den Verbrechern auf die Spur kommen.

Ohne Soft Skills geht gar nichts
Auch in der IT-Abteilung sind die so genannten "weichen" Eigenschaften heute wichtiger denn je. Welche Soft Skills IT-Profis neben ihrer fachlichen Qualifikation mitbringen sollten, haben wir neun CIOs gefragt.

Christian Ley, CIO von Brose:
"Für das erfolgreiche Umsetzen unserer immer komplexer werdenden IT-Projekte – gerade auch vor dem Hintergrund einer zunehmenden Internationalisierung – sind eine vertrauensvolle Zusammenarbeit, die Verfolgung gemeinsamer Ziele und eine offene Kommunikation das Maß aller Dinge ...

Kommunikationsfähigkeit
... Deshalb spielen Team- und Kommunikationsfähigkeit, strukturiertes Denken, ein hohes Qualitätsbewusstsein, Konfliktfähigkeit, soziale und teilweise auch interkulturelle Kompetenz eine große Rolle. Natürlich erwarte ich nicht von jedem meiner Mitarbeiter eine gleich starke Ausprägung dieser Soft Skills, das ist letztlich auch abhängig von der Aufgabe des Einzelnen ...

Kundenorientierung
... Von einem Mitarbeiter im ServiceDesk erwarte ich eher eine hohe Kundenorientierung, von einem Softwareentwickler strukturiertes Denken. Alle Mitglieder unserer Mannschaft sollten allerdings mit einem gesunden Maß an Pragmatismus ausgestattet sein."

Klaus Neumann, Bereichsleiter der KfW Bankengruppe:
"Welche Soft Skills IT-Profis heute brauchen – das kommt natürlich immer auch auf die Funktion, in der sie eingesetzt werden, an. An der Schnittstelle zum Kunden, also zum Anwender in unserem Fall, brauchen wir Leute, die offen und kommunikativ sind ...

Konfliktfähigkeit
... Wichtig sind für uns zudem Konfliktfähigkeit und eine lösungsorientierte Sicht. Kann jemand nicht mit Konflikten umgehen - und die gibt es immer - oder denkt einer nur in Problemen, dann ist er nicht der Richtige für die IT-Abteilung."

Für Christoph Böhm, bis 2015 CIO von Vodafone Deutschland, heute Senior Vice President bei SAP...
... ist ebenfalls die Kommunikationsfähigkeit wichtig: "Dies hilft den Mitarbeitern der IT einerseits dabei, die Anforderungen der Business Units als auch die Sprache der IT-Mitarbeiter zu verstehen und diese für die entsprechend andere Gruppe zu übersetzen. Dies ist eine Schlüsselkompetenz, da die Aufgaben einer modernen IT nicht nur darin bestehen, die Business Anforderungen in der IT abzubilden, sondern ebenfalls darin, mögliche Potenziale aus der IT an die Business Units zu kommunizieren, sodass sie nachvollziehen können, welche Auswirkungen und Chancen ein derartiger Schritt auf sie haben würde ...

Die Analytische Kompetenz ...
... ergänzt die Kommunikation, indem die Auswirkungen des Handelns transparent und nachvollziehbar werden ...

Teamfähigkeit
... Mitarbeiter in der IT arbeiten grundsätzlich in Teams, heute meist in gemischten internationalen Teams mit Beteiligung internationaler Partner oder Kollegen."

Günter Weinrauch, ehem. CIO des ADAC:
Zentrale Soft Skills sind für ihn neben Analyse- und Abstraktionsfähigkeiten sowie Kommunikations- und Überzeugungsfähigkeiten (weil auch die beste technische Lösung dem Anforderer "verkauft" werden muss) ...

... Engagement und Ownership:
... um perfekte Lösungen zu schaffen, muss man von seiner Arbeit begeistert sein. Reiner 'Dienst nach Vorschrift' ohne emotionales Engagement kann nie zu herausragenden Lösungen führen ...

Flexibilität
... weil Überraschungen doch immer wieder lauern, und Hindernisse am besten als Herausforderung gesehen werden sollten, nicht als Bremse."

Gilbert Riegel, Senior Project Manager M & A bei Siemens:
Für ihn ist die Fähigkeit zum Perspektivenwechsel (Einfühlungsvermögen) besonders wichtig: "Das heißt die Fähigkeit, den Ansprechpartner an dem Punkt abzuholen, wo er vom Wissen (Prozesse / Technik) her steht, und ein Verständnis für die Rahmenbedingungen aber auch für die Handlungsperspektiven der Ansprechpartner zu entwickeln. Die Fähigkeit zum Perspektivenwechsel reduziert Missverständnisse und potenzielle Widerstände ...

Vertrauen aufbauen
... Die Komplexität von IT-Projekten erfordert es, dass die unterschiedlichen Fachbereiche im Unternehmen Vertrauen in die Fähigkeiten der IT-Organisation und ihrer Mitarbeiter haben. Vertrauen entsteht nicht von alleine, sondern über persönliche Interaktion, das Einhalten von Zusagen und Terminen sowie durch die gemeinsame Durchführung erfolgreicher Projekte - also insgesamt positive Erfahrungen mit Personen und Prozessen ...

Selbstbewusstsein
... Die IT-Abteilung fühlt sich oftmals in der klassischen 'Underdog'-Rolle im Unternehmen wohl bzw. lässt sich dort hineindrängen. Um aber den Auftrag an eine moderne IT-Organisation erfüllen zu können, muss die IT aktiv und selbstbewusst mit den Business-Funktionen interagieren und darf sich nicht hinter Governance-Themen und technischer Komplexität verstecken. Das Bild der IT Organisation kann also nicht nur durch den IT Leiter / CIO und einige zentrale Führungskräfte vermittelt werden, sondern muss insbesondere durch die IT Mitarbeiter in Ihrer täglichen Arbeit transportiert werden ...

Analytische Fähigkeiten gepaart mit Neugierde
... Themen schnell erfassen und zu strukturieren ist eine wesentliche Fähigkeit, allerdings mit dem Fokus auf Lösungsorientierung statt Problemorientierung. Neugierde hilft neue Aspekte zu betrachten und so bei einem lösungsorientierten Vorgehen und damit auch Etabliertes zu hinterfragen."

Fähigkeit zur Selbstreflexion
Auch diese findet Riegel wichtig, "um aus dem Feedback anderer und den eigenen Erfahrungen Optimierungsmöglichkeiten für sich selbst und für die verantworteten Themen abzuleiten." Dadurch sei ein kontinuierlicher Verbesserungsprozess möglich.

Dirk Müller, CIO von Franz Haniel & Cie. ...
findet die Bereitschaft, gelerntes Expertenwissen in Frage zu stellen und sich im Sinne von Innovation auf neue Themen einzulassen, wichtig. Sowie "Empathie und ...

Verhandlungsgeschick ...
... um mit Kunden und in zunehmenden Maße auch mit Lieferanten zielgerichtet, aber doch authentisch umgehen zu können. Beide Themen halte ich bei IT-Profis, die eher aus der Technikecke kommen, für die größte Herausforderung."

Christian Niederhagemann, CIO von KHS:
"Mehr und mehr entwickeln sich IT-Experten zum Sparringspartner für Fachabteilungen, für das Prozessmanagement und inzwischen vielfach auch für die Strategieabteilungen. Aus meiner Sicht sind es drei wesentliche Eigenschaften, die ein erfolgreicher Mitarbeiter in der IT hierzu insbesondere mitbringen muss: Moderationstalent, Empathie und die Bereitschaft, neue Wege gehen zu wollen."

Moderationstalent
Wenn beispielsweise zwischen Fachbereich, Prozessmanagement und den SAP-Profis eine intensive Diskussion entfacht, wie eine Businss-Anforderung elegant, schnell und ohne großen IT-Aufwand abgebildet werden kann, sind Moderatoren gefragt: "Mit Moderationstalent und dem Gespür für die Situation gelingt es in der Regel rasch, die Beteiligten wieder an den Tisch zurück zu holen und das Gespräch auf die Sache, nämlich das gemeinsame Unternehmensinteresse, zu lenken ...

Hochmut fehl am Platz
... In solchen Situationen ist kein Platz für Eitelkeiten und Eigeninteresse, es ist vielmehr Kreativität gefragt, auch einmal neue – eventuell sogar unkonventionelle – Wege zu gehen. Ich unterstütze meine Leute gezielt darin, im Rahmen definierter Leitplanken bewusst gegen den Strom zu denken. Wie häufig wurden nicht schon einfache und intelligente (IT-)Lösungen gefunden, sobald der Mut aufbracht wurde, die eingetretenen Pfade zu verlassen und gleichzeitig den Blickwinkel der beteiligten Parteien einzunehmen."

Hartmut Willebrand, CIO bei H. & J. Brueggen KG:
Er sagt, in der IT-Branche haben wer es überwiegend mit Persönlichkeitstypen zu tun, die in einer Welt der absoluten Abstraktion leben. "Daher neigen wir dazu, Wunschvorstellungen oder geradezu einen technischen Machbarkeitswahn zu haben, dass das, was wir theoretisch überlegt haben, auch genauso funktioniert. Oft fehlen die Anpassungsfähigkeit und das ausreichende Einkalkulieren der Realitäten. Denn das echte Leben ist und bleibt chaotisch, unvorhersehbar. Und die Menschen sowieso."

An Schwächen arbeiten
Willebrand plädiert dafür, die Fachkompetenzen um die "notwendigen humanen, sozialen Skills" zu vervollständigen. "Mit dem Mut, konstruktiv an unseren Schwächen zu arbeiten und unsere Stärken zu stärken, werden wir nachhaltig Erfolg haben."

Soft Skills im Gespräch abklopfen
Ob ein Bewerber die notwendigen Soft Skills mitbringt, erfährt man am besten im persönlichen Gespräch. Da sind sich die CIOs einig. Bewerbungsunterlagen wie Lebenslauf und Arbeitszeugnisse können zwar Hinweise liefern, aber reichen nicht aus.