Philipp Kalweit ist als Hacker im Auftrag „der Guten" unterwegs. Mit gerade einmal 18 Jahren will er mit seinem Unternehmen Kalweit ITS frischen Wind in die Informationssicherheit bringen.

Wenn Philipp Kalweit zu Kundenterminen fährt, sorgt das manchmal für Verwirrung. „Ich hatte schon öfter Probleme am Empfang", erzählt der 18-Jährige. „Manche halten mich eher für ­einen Praktikanten als für den Geschäftsführer." Bei einem seiner ersten Aufträge - im jungen Alter von 14 Jahren - dachte der Kunde sogar, ihm würde ein Streich gespielt. Mittlerweile weiß Kalweit aber nur zu gut, wie er auftreten muss: Er setzt auf ­Anzüge, legt Wert auf eine ordentliche Präsentation. Das zeigt sich auch in seinem Büro, das mitten in der Hamburger Innenstadt liegt: Mit Glaswänden, Marmorböden und Blick auf die Alster ist die Wahl des Gebäudes ein klares Statement.

Einbrüche im Auftrag des Kunden

Kalweit und sein Team bieten Sicherheitsüberprüfungen - sogenannte „Penetrationstests" - und Beratungsleistungen für Unternehmen. Sie versuchen auf Auftrag von Kunden, in IT-Systeme ­einzudringen. Je nach Resultat empfiehlt Kalweit dann Maßnahmen, um die Sicherheit zu erhöhen. Automatisierte Tests vermeidet Kalweit eher. „Ein echter Angreifer geht nicht standardisiert vor", meint er. Dieses Bewusstsein will Kalweit in die gesamte Branche bringen - viel zu oft würden Sicherheitsdienstleister auf Routineüberprüfungen setzen.

„Die Informationstechnologie verändert sich ständig", erklärt er. „Security-Unternehmen müssen sich anpassen und viel flexibler werden." Das sei in einem kleinen Start-up wie bei Kalweit ITS wesentlich einfacher als in großen Organisa­tionen mit mehreren Hundert Mitarbeitern. Im Moment beschäftigt Kalweit vier ständige Mitarbeiter im Kernteam, 20 weitere (vorrangig freie) im erweiterten Kernteam. Sein Unternehmen ist damit kleiner als die ­meisten Konkurrenten. Zu diesen zählen neben klassi­schen Sicherheitsdienstleistern wie Secunet ­Security Networks auch Beratungsriesen wie Accenture. ­Konkrete Kunden kann Kalweit zum Zeitpunkt des Interviews aufgrund von ­Geheimhaltungsvereinbarungen nicht nennen. Was er aber verrät: Banken, Finanzdienstleister und Unternehmen aus dem Gesundheitsbereich ­seien keine Seltenheit.

Philipp Kalweit Im Alter von erst neun Jahren entdeckte Philipp Kalweit seine Leidenschaft fürs Hacken, mit 14 Jahren erhielt er seinen ersten Auftrag. Zwei Jahre später erfolgte - mit Ausnahmegenehmigung des Gerichts - die Gründung seines Unternehmens Kalweit ITS. Es umfasst heute vier ständige sowie 20 weitere Mitarbeiter und widmet sich Sicherheitsprüfungen, sogenannten „Penetrationtests". Kalweit lebt und arbeitet in Hamburg.

Trotz der guten Auftragslage sieht ­Kalweit ein großes Problem: das öffent­liche Image. Das Stereotyp „Hacker", der im Hoodie in einem dunklen Raum vor ­einem Computerbildschirm sitzt, sei immer noch in vielen Köpfen verankert. „Vielen fehlt das Verständnis für die Thematik", meint der 18-Jährige. Deshalb hätte Informationssicherheit in vielen Unternehmen immer noch einen zu geringen Stellenwert. Kalweit vergleicht die Situation mit dem Klimawandel: Da die Auswirkungen nicht unmittelbar greifbar seien, seien die Maßnahmen eher rudimentär als zweckmäßig. „Speziell der Mittelstand vertraut noch auf Antivirensoftware als Sicherheitslösung", sagt Kalweit. „Das ist eine völlig veraltete Maßnahme."

Vermehrt Cyberattacken

Alleine in den vergangenen fünf Jahren stieg die Zahl der Cyberangriffe um 67 ­Prozent, heißt es im „Cost of ­Cybercrime Report 2019", der von Accenture und dem US-amerikanischen Forschungs­­insti­tut Ponemon Institute publiziert wird. Die Studie beschäftigt sich seit Jahren mit dem ­Thema ­Datensicherheit, ­Führungskräfte in 355 Unternehmen werden dafür ­befragt. Die besagten ­Unternehmen verzeichneten im Jahr 2018 im Schnitt 145 Cyberattacken. Dadurch hatten ­betroffene Unternehmen eine Kostensteigerung von durchschnittlich 13 Millionen US-$. Den größten Schaden verursachten dabei Malware, also Schadprogramme, und Angriffe über das Internet. Die Studie warnt auch vor „­Malicious ­Insiders", sprich Personen, die Informationen aus dem Unternehmen nach außen tragen, sowie ­Ransomware, also schädliche Programme, die die Daten auf einem Rechner verschlüsseln. Ohne gezielte Sicherheitsmaßnahmen würden über die kommenden fünf Jahre 5,2 Billionen US-$ verloren gehen. Dass dieses Bewusstsein zunehmend auch Deutschland erreicht, zeigen Berechnungen des Marktforschungsunternehmens IDC für den Digitalverband Bitkom. Laut diesen liegt der Umsatz mit Hardware, Software und ­Services für IT-Sicherheit in Deutschland heuer bei 4,4 ­Milliarden €. Das entspricht einem Plus von neun Prozent gegenüber dem Jahr 2018, in dem es 4,1 Milliarden € waren.

Speziell der Mittelstand vertraut immer noch auf Antivirensoftware als Sicherheitslösung. Das ist eine völlig veraltete Maßnahme.

„Es sind meist ganz ­banale Dinge, die ein Netzwerk unsicher machen", so Kalweit - etwa unzureichende Recherchen der Verantwortlichen beim Softwareeinkauf. Auch die IT-­Sicherheit in ein anderes Land zu verlegen brächte nur wenig, denn Bedrohungen sind oftmals länderspezifisch. Am Ende bestimmen die Menschen. „Sicherheitsmaßnahmen funktionieren, wenn die ­Leute wissen, warum sie was tun", erklärt Kalweit. Wenn Mitarbeiter einen USB-Stick erst prüfen lassen müssen, bevor sie ihn im Unternehmen verwenden dürfen, empfinden das viele als Einschränkung. Ohne Verständnis für solche ­Regeln sei der Anreiz, sie zu ignorieren, groß.

„Der tägliche Geschäftsablauf hält nur, wenn jeder Einzelne Verantwortung trägt", so Kalweit. „Die einfachsten Lösungen sind oft die populärsten - aber die komplexeren funktio­nieren ­besser." Ähnlicher Meinung ist Kalweit beim Thema Standards: In der Sicherheitsbranche gibt es eine ganze Reihe davon - wie etwa die ISO-27001-Zertifizierung. „Standards helfen dabei, Dinge umzusetzen, die man ohnehin machen möchte", meint er.

Früh übt sich

Kalweits Dasein als Hacker begann im Alter von neun Jahren. Damals ­knackte er ein ­Rabattcodesystem für das Onlinespiel ­eines Chipsherstellers. Es war der Beginn ­einer ­Leidenschaft. Kalweit experimentierte viel, las ständig, lernte dazu. Mit 14 Jahren hielt er für das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals einen Fachvortrag zum Thema Cybersicherheit. Die erste Referenz brachte den Ball ins Rollen, es folgten ­weitere Vor- und Aufträge als Hacker. Nach zwei Jahren war klar: Kalweit braucht ein Team. Weil er damals allerdings erst 16 Jahre alt war, durfte er kein Unternehmen gründen. Denn bis zum Alter von 18 Jahren sind Menschen in Deutschland nicht voll geschäftsfähig. Warten kam jedoch nicht infrage: Kalweit zog vor das Amtsgericht in Neustadt. Er wurde voll geschäftsfähig gesprochen - eine absolute Ausnahme in Deutschland. Ende 2017 gründete er Kalweit ITS.

Durchschnittliche jährliche Kosten der Internetkriminalität nach Art des Angriffs (in US-$)

Was folgte, waren mehr Aufträge, mehr Kunden und erste Mitarbeiter. Kalweit arbeitet viel und gern - laut eigenen An­gaben bis zu 70 Stunden pro Woche. ­Freizeit bleibt nur wenig - und wenn, dann nutzt er sie zum Kanufahren oder Reisen. ­Wegen des schnellen Wachstums seines Unter­nehmens ist Kalweit ständig auf der Suche nach guten Mitarbeitern. Als junger ­Hacker weckt er das Interesse der ­Medien, hält Keynotes auf Kongressen. Mit seiner Start-up-­Attitüde zieht er außerdem einige der besten Hacker der Sicherheitsbranche an - obwohl der Sektor mit einem Fachkräftemangel kämpft.

„Wir bieten ein anderes Umfeld als unsere Mitbewerber - ein Start-up mit viel Freiraum und der Chance, von Gleichgesinnten zu lernen." Das Unternehmen reduziert Kalweit auf das Nötigste. Vertrieb, Marketing und ­alles, was nicht direkt mit dem Kerngeschäft zu tun hat, lagert er aus, es soll im Unternehmen rein um die IT gehen. Die Strategie scheint zu funktionieren. Doch die Positionierung in der Sicherheitsbranche selbst ist noch ausbaufähig. „Wir sind sehr plötzlich gekommen, wollten alles neu machen", sagt er. „Damit haben wir uns bei unseren Mitbewerbern nicht unbedingt beliebt gemacht."

Informationstechnologie im Wandel

Bei Sicherheit geht es immer auch um Wirtschaftlichkeit, Investitionen müssen sich lohnen. Bei kritischen Daten sei der Nutzen guter Cybersicherheit größer als die Kosten, so ­Kalweit. Diesen Schluss ziehen auch die Forscher des Ponemon Institute: Die Studie empfiehlt neben Abwehrmaßnahmen in ein verlässliches Back-up-System zu investieren. Um die zunehmenden Kosten für Informationssicherheit zu stemmen, könnten Unternehmen Geld in anderen Bereichen sparen - durch Automatisierung und Digitalisierung. Um diese Themen kommt auch Kalweit nicht herum. Denn die Informationstechnologie verändert sich ständig - und die Sicherheitskonzepte mit ihr. Kalweit: „Sicherheit reagiert auf Veränderungen. Niemand kann vor etwas schützen, das es noch nicht gibt."

Sie ist dort sinnvoll, wo Daten in Gefahr sind. Kalweit will neben unternehmerischem Erfolg Cybersicherheit für alle verständlich und umsetzbar machen - Unternehmen, Behörden, Privatpersonen. Denn das größte Risiko seien keine ­böswilligen Hacker, so Kalweit - sondern ein Mangel an Wissen.

Text: David Hanny

Dieser Artikel ist in unserer März-Ausgabe 2019 „KI" erschienen.