Penetrationtesting CRISEC IT Security
Schneider & Wulf stärkt IT-Security-Geschäft
Dreistigkeit gehört zum Job von Jens Regel, der als vermeintlicher Praktikant oder Putzmann in Firmen nach Sicherheitslücken fahnden. Beim Penetration-Testing hat der leidenschaftlich Security-Experte so machen Bug gefunden und sogar einen Weltkonzern vorgeführt.
Bitte nicht noch einmal die Sache mit Miele aufwärmen, sie hatte schon vor Jahren für viel Aufregung gesorgt und dem bekannten Konzern einen veritablen Shitstorm eingebracht, bittet Geschäftsführer Sven Wulf um Nachsicht. Sollte man zum Start des Markenauftritts von CRISEC IT Security, die neue Penetration-Sparte des Systemhauses Schneider & Wulf, diesen aufsehenerregenden Coup von 2017 nicht als „Referenz“ erwähnen? Es wäre in werbetechnischer Hinsicht geradezu fahrlässig, wenn man es nicht tut. Denn der Vorfall zeigt doch, dass ein mittelständisches Systemhaus so viel IT-Security-Kompetenz im Hause hat, um ein vulnerables Produkt eines Weltkonzerns zu identifizieren.
Ein vernetztes Großgeräte für Desinfektion von Miele Professional, PG 8528, stellte eine große Gefahr für Krankenhäuser dar. Jene zu KRITIS zählende Einrichtung, die sich aufgrund ihrer Bedeutung für die öffentliche Versorgung auf keinen Fall ein offenes Einfallstor für Cyberkriminelle leisten darf. Jens Regel hat bei einem Penetrationstest die Schwachstelle festgestellt, den Hersteller informiert und dann passierte, was bei vielen Herstellern passiert, die ihre Geräte mit IoT-Schnittstellen ausstatten: nichts.
Zunächst. Drei Monate später, das Responsible Disclosure verstrich, machte Sicherheitsforscher Regel die Entdeckung öffentlich. Dann ging alles sehr schnell. Miele reagierte, schloss die Lücke und bedankte sich sogar beim IT-Security-Experten Regel – freilich nicht für den Shitstorm im Netz, sondern für seinen Spürsinn.
Es ist nicht so, dass sich der 38-jährige Regel über so viel Aufsehen freut. Das offene Systemherz einer Miele-Maschine liegt beim Penetration-Tester nicht täglich auf dem Seziertisch. Und Versorger, die das BSI zu KRITIS zählt, gehören zwar auch zur Klientel von Systemhaus Schneider & Wulf, aber meist sind es doch mittelständische Unternehmen, die sich um ihre IT-Sicherheit sorgen und mit einem Penetrationstest den Status quo ihrer Netzwerksicherheit überprüfen wollen.
Security-Mitarbeiter gesucht
Den liefert Regel, der seine Ausbildung bei Schneider & Wulf vor 20 Jahren begann und sich schon immer für das Thema IT-Sicherheit interessierte. „IT-Security ist meine große Leidenschaft, für die ich Feuer und Flamme bin“, sagt er. Das spürt man bei jedem Vortrag, wenn White Hacker Regel aus der Praxis berichtet. Man kann bei ihm lernen, wie man als Praktikant oder Putzmann ungehindert an offene Ports in Bürorechnern ran kommt. Oder wie man mit Social Engineering im Vorfeld seine Opfer ausspäht oder nach Abluftschächten von Rechenzentren bei Google Maps fahndet. Natürlich kennt er auch den CEO Fraud: Das gute alte Telefon, an dessen anderem Ende in der Leitung der vermeintliche Chef die Buchhaltung schnell um eine Blitzüberweisung bittet. So brisant das Thema ist, so spannend sind die Aufgaben, in die Regel neue Mitarbeiter einführend wird.
CRISEC wird bei Schneider & Wulf von Jens Regel geführt. Systemhaus-Chef Sven Wulf geht fest davon aus, dass nun der richtige Zeitpunkt gekommen ist, um neben dem Geschäft mit Infrastruktur Penetration-Testing personell und eben unter eigenem Markenauftritt im Markt auszubauen. „CRISEC ist herstellerneutral, wir wollen keine Produkte durch die Hintertüre verkaufen“, sagt er. Auch sei es nicht sein Ziel, durch eine Schwachstellenanalyse Kunden hinterher in einen Managed Service-Vertrag zu nehmen. „Das MSSP-Modell ist für uns keine Strategie“.
Im Geschäft mit Penetration-Testing sei „ganz viel Luft nach oben“, sagt Wulf. Es sei zwar nicht leicht, hierfür geeignete und rare Fachkräfte zu finden. Aber seit Schneider & Wulf das Thema vor zwei Jahren stärker in den Mittelpunkt gerückt habe, „passiert mehr“. Mit der eigenen Webseite CRISEC dürfte das Systemhaus die Aufmerksamkeit bei anderen leidenschaftlichen Security-Experten und natürlich potenziellen Kunden wecken. Ebenso wie der Matchball gegen Miele schon noch ausgespielt werden sollte, zumal der Konzern Schneider & Wulf schließlich nicht beauftragt hatte und das Systemhaus, anders als bei seinen Kunden, in diesem Fall auch an keine Verschwiegenheit gebunden ist.
Lesen Sie mehr zum Thema
