sic[!]sec GmbH Information Security Services

sic[!]sec GmbH Information Security Services

Kontakt Icon Kontaktdaten

Hacken für die Sicherheit

Client-Sicherheit schön und gut, aber wie sieht es mit Ihren Kronjuwelen aus? Sind Ihre Betriebsgeheimnisse sicher? Damit beschäftigt sich die Disziplin der Information Security. Spezialisten auf diesem Gebiet sind die Mitarbeiter der sic[!]sec GmbH – langjährig erfahrene Security Consultants und gestandene Hacker.

Hacker waren für mich immer Verbrecher wie z.B. Mörder“, hörte Ralf Reinhardt von seiner Zahnärztin, nachdem sie ihn gefragt hatte, was er beruflich macht. Schmunzelnd erklärte er ihr, was es nun tatsächlich mit seiner Tätigkeit als Principal Information Security Consultant auf sich hat:

„Hacken gehört zum Handwerk. Wir sind die Guten, und wir dürfen kein bisschen schlechter sein als die Bösen. Wir nutzen dieselben Technologien, haben dieselben Skills, besuchen dieselben Konferenzen. Faktisch sind wir Hacker und nach unserem Selbstverständnis sind wir auch stolz darauf. Wir haben uns aber ganz klar für die weiße, die ethische Seite entschieden.“

Mit Penetrationstests, eben jenem ethischen Hacken, hat die sic[!]sec im Jahr 2010 begonnen. Die Firma wurde von Ralf Reinhardt zusammen mit Achim Hoffmann gegründet. Beide waren damals bereits ausgewiesene Spezialisten für Web Application Security, also speziell der Sicherheit von Webanwendungen. „Um eine Webanwendung vernünftig zu testen, müssen Sie selbst programmieren können und wissen, was alles schief gehen kann. Security-Verständnis auf System- und Netzwerkebene ist ein Muss, reicht aber eben nicht. Nur dann sind Sie auch in der Lage, gut versteckte oder schwierig ausnutzbare Schwachstellen zu finden, zu beschreiben und konkrete Lösungsvorschläge zu unterbreiten“ erklärt Achim Hoffmann.

Neben Tests, die nur von außen ansetzen (Blackbox-Verfahren), bietet die sic(!)sec auch Whitebox-Verfahren, die das Innen­leben unter die Lupe nehmen, darunter Code-Reviews und Source-Code-Analysen sowie z.B. Architektur-, Infrastruktur- oder Firewall-Reviews, Audits und Assessments an.

„Wir sind mit den Anforderungen unserer Kunden gewachsen“, berichtet Ralf Reinhardt. „Schnell kam auch IT-Forensik dazu, wenn beim Kunden das Kind schon in den Brunnen gefallen war. Social Engineering und Physical Security bieten wir seit einiger Zeit ebenso recht erfolgreich an.“ Auf diesem Weg ist das Ziel – nämlich die Demonstration eines Informationsabflusses – oft noch einfacher und schneller zu erreichen als durch Hacken selbst.“

Kniffeligere Geschichten wie Reverse Engineering von Firmware, Clients und Mobile Apps gehört ebenso dazu wie das Einrichten komplexer Web Application Firewalls, wenn die Probleme beim Kunden quasi über Nacht gelöst werden müssen. Nachhaltig wird die Latte der Sicherheit durch Guidelines und Policys für Secure Coding, Secure Deployment, Secure Infrastructure, usw. höher gelegt, speziell wenn dies durch begleitende Schulungen und Workshops unterstützt wird.

„Wenn wir kritische Schwachstellen finden, egal ob in der Technik, im Gebäude, in den Prozessen oder beim Verhalten der Menschen, dann können wir Lösungen dafür aufzeigen. Die Umsetzung allerdings obliegt dem Kunden. Sicherheit ist kein Produkt, das ich kaufen und einschalten kann, es ist ein Prozess, der gelebt werden muss.“ mahnt Ralf Reinhardt. „Wir verkaufen nichts, wir leisten. Wir bieten keine Produkte an, wir haben keinen Vertrieb, die Kunden kommen normalerweise auf uns zu.“ Namen nennt er freilich nicht, aber zu den Stammkunden gehören DAX-Konzerne, Firmen aus dem Banken- und Versicherungs- Umfeld, Landes- und Bundesbehörden, Softwarehersteller, Medienkonzerne, Portalbetreiber, Online-Händler und viele andere.

Speziell Mittelständler tun sich schwer, die eigenen Kronjuwelen zu bestimmen und überhaupt mal einen Anfang zu finden, wie man denn Information Security effizient aufsetzen kann. „Wir bieten jetzt einen eintägigen Kickoff-Workshop zum günstigen Festpreis vor Ort an. Der Kunde bekommt 8 Stunden und bestimmt weitgehend selbst, wie diese gestaltet werden. Wir können gerne führen oder dem Kunden folgen – am Ende sollte er aber wissen, wo er steht, wo welche Probleme liegen und wie es weitergehen kann.“

Branchenbucheintrag teilen
nach oben