Einfach nur aus Spaß hacken Mitarbeiter der IT-Abteilung das Netzwerk ihres Unternehmens. Das beichteten Administratoren und Sicherheitsbeauftragte auf der Hacker-Messe Defcon in Las Vegas gegenüber Tufin Technologies, einem Hersteller von Sicherheitslösungen. Die Geständigen bestätigen damit auch durch ihr Tun die fast schon Allgemeingut gewordene These, dass Angriffe auf Firmennetze fast immer von innen kommen.
Hintergrund der Umfrage unter hundert Besuchern der Messe war die Frage, wie sicher sie die Netzwerke ihrer Unternehmen einschätzen. Auf absolut einbruchssichere Netzwerke stoßen die IT-Experten bei ihrer Arbeit nach eigenen Angaben nur in seltenen Fällen. Drei von vier Befragten halten höchstens ein Viertel der Netze für umfassend geschützt. Gleichzeitig sagten 92 Prozent, ein korrekt konfiguriertes Netzwerk sei tatsächlich einbruchssicher. Fehlen die richtigen Einstellungen, ist es dagegen für 76 Prozent der Administratoren kein Problem, einzudringen.
Sicherheitslücken bleiben unentdeckt
Hauptgrund für fehlende Sicherheitseinstellungen ist aus Sicht der Befragten offenbar die Komplexität der heutigen Firmen-Netzwerke. Falsche Konfigurationen würden oft übersehen, weil die für die Sicherheit Zuständigen ja gar nicht wüssten, wonach sie suchen sollten. Zu wenig Zeit oder Geld für Sicherheitstests gehört dagegen laut Umfrage zu den weniger häufigen Problemen.
IT-Sicherheit an einen externen Dienstleister auszulagern ist den Besuchern der Hacker-Konferenz zufolge nicht grundsätzlich ein Sicherheitsrisiko. Dass dadurch die Gefahr von Hacker-Angriffen, Gesetzesverstößen oder Datenverlusten steige, lässt sich nicht eindeutig sagen. Befürworter und Gegner dieser Aussage hielten sich in der Umfrage die Waage.
Eindeutig lässt sich hingegen sagen, dass in vielen IT-Abteilungen potenzielle Hacker arbeiten. Drei Viertel der Befragten sehen sich selbst als Hacker. Freilich dürfte ihr Anteil unter den Besuchern der Defcon etwas höher sein als unter den Beschäftigten in einer durchschnittlichen IT-Abteilung.
Black Hat versus White Hat
Der Großteil betonte zudem, mit dem Hacken nicht vorwiegend kriminelle Interessen zu verfolgen. Nur jeder Zehnte sagt von sich, er sei ein sogenannter "Black Hat", also ein Hacker mit verbrecherischen Absichten. Die große Mehrzahl sieht sich dagegen je zur Hälfte als "White Hat", die im Rahmen des Erlaubten handeln, und "Gray Hats", deren Handeln sich nicht eindeutig als erlaubt oder verboten einordnen lässt.
Neben Spaß, den zwei Drittel der Befragten als Hauptgrund fürs Hacken angaben, beteuerten 27 Prozent der Befragten, sie hackten, um bisher unentdeckte Sicherheitslücken zu finden. Nur zwei der 100 Teilnehmer gaben zu, in Netzwerke einzudringen, um sich geldwerte Vorteile zu verschaffen.
Fast die Hälfte der Befragten arbeitet in der IT-Abteilung, acht Prozent in einem anderen Bereich eines Unternehmens. Eine Gruppe von 14 Prozent arbeitet als externer Sicherheitsberater - bei ihnen gehört das Eindringen in Firmennetze zum Auftrag, um herauszufinden, wie gut geschützt Netze sind. Mehr als jeder dritte Befragte hat schon von seinem festen Arbeitsplatz oder vom Büro eines Auftraggebers aus gehackt.