Datensicherheit

Die Hacker vom Essener TÜV kämpfen gegen Cybercrime

Daehyun Strobel vom TÜVIT in Essen misst die elektromagnetische Strahlung eines Chips.

Foto: Udo Geisler

Daehyun Strobel vom TÜVIT in Essen misst die elektromagnetische Strahlung eines Chips. Foto: Udo Geisler

Essen.   Die IT-Experten des TÜV in Essen prüfen die Sicherheit von Chips, bevor sie in Personalausweise und Bankkarten gebaut werden.

Computer-Kriminalität wird zu einer immer größeren Belastung für die Wirtschaft. In einer aktuellen Umfrage gaben knapp 70 Prozent der Unternehmen an, 2016 und 2017 Opfer von Hacker-Angriffen geworden sein. Datensicherheit gehört zum Kerngeschäft des Tüv Nord, der nun in Essen erstmals seine Labore für einige Journalisten öffnete.

Keine zehn Minuten braucht der IT-Ingenieur, um im Live-Versuch einen 16-stelligen Zahlencode, den ein Teilnehmer zuvor verdeckt auf dem Sicherheitschip einer Bankkarte gespeichert hat, zu knacken. Dirk Kretzschmar, Geschäftsführer der Tüv Informationstechnik GmbH (TüvIT), beruhigt die Zuschauer: „Der Chip ist zehn Jahre alt und wird heute nicht mehr auf Bankkarten verwendet.“ Die Technik sei allenfalls noch in Karten für den Zugang zu Hotelzimmern oder Kantinen verbaut.

Speicherchips mit Protonen beschossen

Der TüvIT in Essen, der auch eine Außenstelle in Siegen betreibt, gehört zu den wenigen Prüfdienstleistern, die Chiphersteller bei der Entwicklung begleiten und das fertige Produkt am Ende zertifizieren. Nach Kretzschmars Angaben gibt es in Deutschland „zwei bis drei“ und weltweit „sechs bis sieben“ Anbieter, die die Voraussetzungen für Zertifizierungen mitbringen. „Alle fünf bis acht Jahre“, heißt es in Essen, bringen die Hersteller eine neue Generation von Chips auf den Markt. Entscheiden sich die Produzenten für den TüvIT, begleiten mehr als 50 Prüfer die Entwicklung. „Das dauert in der Regel sechs bis zwölf Monate“, sagt der Geschäftsführer.

In ihren Labors betätigen sich die Ingenieure dann als legale Hacker. Sie setzen die winzigen, in der Regel nur zwei mal zwei Millimeter großen Sicherheitschips unzähligen Tests aus. „Wir erforschen, was der Chip von allein von sich verrät, wenn er arbeitet“, so Kretzschmar. Die Experten messen in unzähligen Testreihen, wie hoch die elektromagnetische Abstrahlung ist, in welchen Situationen die Chips wieviel Strom verbrauchen. Sie beschießen das winzige Plättchen, in dem sage und schreibe fünf Kilometer Leitungen verbaut sind, mit Protonen, schleusen bewusst Fehler ein, um zu untersuchen, ob der Speicher durch Manipulation von außen Informationen preis gibt, die er eigentlich für sich behalten sollte. Dass die Tüv-Hacker deshalb in einem Hochsicherheitstrakt eines Gebäudes in Essen-Stoppenberg arbeiten, versteht sich von selbst.

Schwachstellen im Internet der Dinge

Geschäftsführer Kretzschmar zeigt sich zuversichtlich, dass vor allem Chips, die in Personalausweisen, Reisepässen und Bankkarten verbaut sind, vor Spähangriffen gefeit seien. Für die darauf gespeicherten persönlichen Daten seien Zertifikate nötig. Sorge bereiten dem Chef von TüvIT die Importe etwa aus China, die oft hiesige Qualitätsanforderungen nicht erfüllten. Kretzschmar: „Die neuen Hersteller kommen aus Asien. In der westlichen Welt werden es immer weniger.“

Eindringlich warnt der IT-Experte vor den Gefahren, die nach seiner Einschätzung im „Internet der Dinge“ lauerten. Milliarden von Maschinen, Fahrzeugen und Geräten sollen über schnelle Online-Verbindungen miteinander vernetzt werden. Wer per Smartphone überprüfen will, wieviel Milch im heimischen Kühlschrank vorrätig sind, wer seine Rolladen und Heizkörper aus der Ferne regeln will und seinen Stromzähler drahtlos ablesen lässt, müsse mit Schwachstellen bei der Sicherheit rechnen.

Fachkräfte dringend gesucht

„Aus Kostengründen verwenden die Hersteller preisgünstige Chips, die nicht über Sicherheitszertifikate verfügen“, betont Kretzschmar. Hier sei die Politik gefragt, Standards zu schaffen.

Den TüvIT-Chef treibt aber noch ein weiteres Problem um. „Wir suchen dringend Spezialisten für IT-Sicherheit“, sagt Kretzschmar, der aktuell ein Team von rund 135 Mitarbeitern führt, die zuletzt einen Umsatz von 17 Millionen Euro erwirtschafteten. „Wir haben jedes Jahr einen Bedarf von 20 bis 25 neuen Leuten, finden sie aber nicht.“ Dabei sei sein Unternehmen „auf Wachstum ausgerichtet“. Denn der TüvIT beschäftigt sich nicht nur mit Datenchips. Zu Leistungskatalog gehören auch die Sicherheit von Computer-Betriebssystemen, Routerrn, Bezahlsystemen und und die Zertifizierung von Rechenzentren. Auch Mitarbeiter-Trainings und Beratung gehören zum Portfolio. Ein weiteres Standbein ist die Software-Sicherheit, für die es ein weiteres Labor gibt.

Sicherheitsstandards über den gesamten Lebenszyklus

Angesichts der weltweit wachsenden Cyber-Kriminalität sieht Kretzschmar die Zukunft für den TüvIT „relativ entspannt“, wie er mit einem Augenzwinkern sagt. Das von der Bundesregierung in Aussicht gestellte „IT-Gütesiegel“ reicht ihm nicht aus. „Wir müssen die Sicherheitsstandards über den gesamten Lebenszyklus eines Produkts hinweg überprüfen“, fordert er. Die jüngste Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt ihm recht. 92 Prozent der Unternehmen befürchten, dass sie im Falle eines Hacker-Angriffs ihre Produktion nicht aufrecht erhalten können.

Mehr zum Thema
Leserkommentare (0) Kommentar schreiben
    Aus der Rubrik