Schlupflöcher und Sicherheitslücken gibt es zuhauf im Internet. Cyber-Security-Experten versuchen, sie zu stopfen. Dabei ist der Job kreativer als gedacht – und sehr gut bezahlt.

Über ihren Browser schafften es Tim Philipp Schäfers und sein Hackerkollege Sebastian Neef 2016, in die Schaltzentrale von Wasserwerken, Heizkraftwerken und Biogasanlagen einzudringen. „Es war erstaunlich einfach", erinnert sich Schäfers. „Ein paar Klicks hätten gereicht, und aus dem Wasserhahn von Zehntausenden Menschen wäre kein Wasser mehr gekommen." Vorher hatten sie das gesamte Internet nach gewissen Schnittstellen abgesucht. Bei insgesamt 100 Anlagen weltweit konnten die Hacker auf Schnittstellen zugreifen, die eigentlich gar nicht mit dem Internet verbunden sein sollten. Auch die Störungsmeldungen ließen sich beliebig abschalten.

Schäfers und Neef betreiben das Portal internetwache.org - sie hacken nicht, um etwas kaputtzumachen oder Geld zu erpressen, sondern um der Öffentlichkeit zu zeigen, dass Internetsicherheitslücken in einer digitalisierten Welt omnipräsent sind. So wollen sie einen Anstoß dafür geben, dass die Unternehmen und die Daten von Nutzern - von Paypal bis zur Wahlleitersoftware - ein bisschen sicherer werden. Und der Bedarf dafür ist riesig, wie eine Studie von Kaspersky aus dem vergangenen Jahr zeigt: Mehr als 90 Prozent der industriellen Kontrollsysteme nutzen demnach unsichere Protokolle. Zwischen 2011 und 2016 sei die Anzahl von Schwachstellen gar um das Zehnfache gestiegen. Jedes dritte mittelständische Unternehmen in Deutschland, schätzt eine andere Kaspersky-Studie, hat dabei Schwachstellen im Netz.

Alexander Thiel ist einer derjenigen, die diese Lücken stopfen. Er ist ein Cyber-Security-Fachmann und noch recht frisch im Geschäft. Dabei lief der Berufseinstieg für ihn blendend. Seit Anfang des Jahres ist er Junior Consultant für IT-Sicherheit. Sein Arbeitgeber: Seven Prin­ciples, ein Unternehmen, das mit neun Standorten in Deutschland sowie in Österreich, Dänemark, Estland und Großbritannien vertreten ist und unter anderem den Bereich Cyber-Security abdeckt. Thiel ist selbst erst 27 und interessiert sich schon von Kindesbeinen an für Computer. Als er sechs war, bekam er einen 286er-PC geschenkt. Dessen Hardware und Software nahm er gemeinsam mit seiner Schwester auseinander. Nachdem er die Systemdatei gelöscht hatte, musste der Nachbar helfen. „Als das aber immer wieder geschah, quittierte der Nachbar den Dienst", erinnert sich Thiel. Sein Vater kaufte ihm daraufhin einen Commodore 64 mit einem Haufen Spiele auf Diskette. „Um den überhaupt zu betreiben, musste ich erst einmal lernen, wie das Command-Line-Interface funktioniert, und das hat mich deutlich näher ans Computing gebracht als Windows 3.11."

Viren auf den Computern von Freunden testen

Mit zehn Jahren baute Thiel mit Freunden die ersten Netzwerke, um gemeinsam Computerspiele zu spielen. „Mindestens die Hälfte der Zeit ging dafür drauf, das Netzwerk einzurichten", sagt Thiel, „also versuchte ich, besser zu verstehen, was dort technisch passiert." Ein weiteres Schlüsselmoment war eine Warnung seines Vaters: „Pass auf, wo du dich im Internet aufhältst, und deaktiviere Java Script. Sonst kann theoretisch jeder deinen Rechner übernehmen." Thiel fiel es schwer, sich das vorzustellen. Und so fing er an, herauszufinden, was sein Vater gemeint hatte. Er baute erste Testviren zum Spaß und schleuste sie über ICQ auf die Rechner seiner Freunde. Sie ließen beispielsweise das CD-Laufwerk auf- und zugehen oder den Rechner beim nächsten Mausklick herunterfahren.