So kämpfen die Hacker vom Tüv Nord gegen Cyberkriminelle

Essen. Kampf gegen Cyber-Kriminalität: IT-Ingenieure beschießen Chips von Bankkarten mit Protonen, um ihre Schwachstellen damit aufzudecken.

Cyber-Kriminalität wird zu einer immer größeren Belastung für die Wirtschaft. In einer aktuellen Umfrage gaben knapp 70 Prozent der Unternehmen an, 2016 und 2017 Opfer von Hacker-Angriffen geworden zu sein. Datensicherheit gehört zum Kerngeschäft des Tüv Nord, der am Montag in Essen erstmals seine Labore für einige Journalisten öffnete.

Keine zehn Minuten braucht der IT-Ingenieur, um im Live-Versuch einen 16-stelligen Zahlencode, den ein Teilnehmer zuvor verdeckt auf dem Sicherheitschip einer Bankkarte gespeichert hat, zu knacken. Dirk Kretzschmar, Geschäftsführer der Tüv Informationstechnik GmbH (TüvIT), beruhigt die Zuschauer: „Der Chip ist zehn Jahre alt und wird heute nicht mehr auf Bankkarten verwendet.“ Die Technik sei allenfalls noch in Karten für den Zugang zu Hotelzimmern oder Kantinen verbaut.

Der TüvIT zertifiziert die Chip-Sicherheit

Die TüvIT in Essen, der auch eine Außenstelle in Siegen betreibt, gehört zu den wenigen Prüfdienstleistern, die Chiphersteller bei der Entwicklung begleiten und das fertige Produkt am Ende zertifizieren. Nach Kretzschmars Angaben gibt es in Deutschland „zwei bis drei“ und weltweit „sechs bis sieben“ Anbieter, die die Voraussetzungen für Zertifizierungen mitbringen. „Alle fünf bis acht Jahre“, heißt es in Essen, bringen die Hersteller eine neue Generation von Chips auf den Markt. Entscheiden sich die Produzenten für die TüvIT, begleiten mehr als 50 Prüfer die Entwicklung. „Das dauert in der Regel sechs bis zwölf Monate“, sagt Kretzschmar.

In ihren Labors betätigen sich die Ingenieure dann als legale Hacker. Sie setzen die winzigen, in der Regel nur zwei mal zwei Millimeter großen Sicherheitschips unzähligen Tests aus. „Wir erforschen, was der Chip von allein von sich verrät, wenn er arbeitet“, so Kretzschmar. Die Experten messen in unzähligen Testreihen, wie hoch die elektromagnetische Abstrahlung ist, in welchen Situationen die Chips wie viel Strom verbrauchen.

Sie beschießen das winzige Plättchen, in dem sage und schreibe fünf Kilometer Leitungen verbaut sind, mit Protonen, schleusen bewusst Fehler ein, um zu untersuchen, ob der Speicher durch Manipulation von außen Informationen preisgibt, die er eigentlich für sich behalten sollte. Dass die Tüv-Hacker deshalb in einem Hochsicherheitstrakt des Gebäudes inmitten eines Essener Gewerbegebiets arbeiten, versteht sich von selbst.

Aktuelle Chips in Personalausweis und Bankkarten seien sicher

Geschäftsführer Kretzschmar zeigt sich zuversichtlich, dass vor allem Chips, die in Personalausweisen, Reisepässen und Bankkarten stecken, vor Spähangriffen gefeit seien. Für die darauf gespeicherten persönlichen Daten seien Zertifikate nötig. Sorge bereiten dem Chef von TüvIT die Importe etwa aus China, die oft hiesige Qualitätsanforderungen nicht erfüllten. Kretzschmar: „Die neuen Hersteller kommen aus Asien. In der westlichen Welt werden es immer weniger.“

Eindringlich warnt der IT-Experte vor den Gefahren, die nach seiner Einschätzung im Internet der Dinge lauerten. Milliarden von Maschinen, Fahrzeugen und Geräten sollen über schnelle Online-Verbindungen miteinander vernetzt werden. Wer per Smartphone überprüfen will, wie viel Milch im heimischen Kühlschrank vorrätig ist, wer seine Rollladen und Heizkörper aus der Ferne regeln will und seinen Stromzähler drahtlos ablesen lässt, müsse mit Schwachstellen bei der Sicherheit rechnen.

„Aus Kostengründen verwenden die Hersteller preisgünstige Chips, die nicht über Sicherheitszertifikate verfügen“, betont Kretzschmar. Hier sei die Politik gefragt, Standards zu schaffen.

Es gibt viel Arbeit, doch Fachkräfte fehlen

Den TüvIT-Chef treibt aber noch ein weiteres Problem um. „Wir suchen dringend Spezialisten für IT-Sicherheit“, sagt Kretzschmar, der aktuell ein Team von rund 135 Mitarbeitern führt, die zuletzt einen Umsatz von 17 Millionen Euro erwirtschafteten. „Wir haben jedes Jahr einen Bedarf von 20 bis 25 neuen Leuten, finden sie aber nicht.“ Dabei sei sein Unternehmen „auf Wachstum ausgerichtet“. Denn die TüvIT beschäftigt sich nicht nur mit Datenchips.

Zum Leistungskatalog gehören auch die Sicherheit von Computer-Betriebssystemen, Routern, Bezahlsystemen und die Zertifizierung von Rechenzentren. Auch Mitarbeiter-Trainings und Beratung gehören zum Portfolio. Ein anderes Standbein ist die Software-Sicherheit, für die es ein weiteres Labor gibt. Angesichts der weltweit wachsenden Cyber-Kriminalität sieht Kretzschmar die Zukunft für die TüvIT „relativ entspannt“, wie er mit einem Augenzwinkern sagt. Das von der Bundesregierung in Aussicht gestellte „IT-Gütesiegel“ reicht ihm nicht aus. „Wir müssen die Sicherheitsstandards über den gesamten Lebenszyklus eines Produkts hinweg überprüfen“, fordert er.

Die jüngste Umfrage des Bundesamtes für Sicherheit in der Informationstechnik gibt ihm recht. 92 Prozent der Unternehmen befürchten, dass sie im Falle eines Hacker-Angriffs ihre Produktion nicht aufrechterhalten können.