Beruf: Hacker

Christian Rothländer hat die "Lizenz zum Hacken" – natürlich nur in abgesichertem Rahmen: Der 31-Jährige arbeitet seit dreieinhalb Jahren als "Penetrationstester" bei der Tübinger SySS GmbH, einem führenden Unternehmen auf dem Gebiet der IT-Sicherheit. "Penetrationstester", das ist der Fachausdruck für einen Sicherheitstester von Rechnern und Netzwerken. Ein spezialisierter IT-Experte wie Rothländer "penetriert", also "dringt" in einen Computer ein. Gezielt sucht er sich Schwachstellen, um sich in das System einzuhacken.

Als Rothländer sich nach seinem Studium der Bioinformatik in Tübingen bei der SySS GmbH beworben hat, habe er sich keine großen Chancen ausgerechnet, gesteht er: "Berufshacker – klar, das klang cool, aber auch irgendwie so, als würde man in einer anderen Sphäre schweben und müsse dafür hochspezialisiertes Wissen mitbringen." Muss man nicht, schüttelt Sebastian Schreiber (40), Geschäftsführer und Gründer der SySS GmbH, den Kopf. "Mir ist es sehr lieb, wenn Bewerber über ein ganz klassisches Informatikstudium verfügen. Sie müssen bei mir sowieso besondere Schulungen durchlaufen, die sie ins Thema 'Hacking' einführen. Da ist es ideal, wenn sie solides Grundwissen aus der Informatik mitbringen."

"Hacking", "WLAN-Hacking", "Web-Applikations-Hacking" – so heißen diese drei- bis viertägigen Schulungen bei der SySS GmbH. Penetrationstester lernen dort anhand simulierter Angriffe, wie man Schwachstellen findet und fremde Systeme übernimmt. Am wichtigsten jedoch: Sie lernen, wie die Gegenseite, ein Hacker, denkt und arbeitet. Um später selbst so zu denken und zu arbeiten, allerdings im offiziellen Auftrag.

Beispiel: Ein Modehaus hat einen neuen Online-Shop eingerichtet. Bevor es diesen an den Start gehen lässt, erteilt es der SySS GmbH den Auftrag, die Website auf deren Sicherheit zu überprüfen. "Wir suchen dann nach Lücken, die es uns erlauben, zum Beispiel an die Kundendaten zu kommen", erklärt Christian Rothländer. "Oder wir prüfen, ob es möglich ist, Passwörter, die mit dem Online-Shop verbunden sind, zu knacken." Gelingt es ihnen, an solch sensible Daten heranzukommen, "schreiben wir einen Dokumentationsbericht an den Kunden und geben ihm eine produktunabhängige Empfehlung, welcher Schritt als nächster zu tun ist."

SySS-Chef Schreiber und sein derzeit 36-köpfiges Team können sich vor Aufträgen kaum retten. Zu ihren Kunden zählen unter anderem die Bundeswehr, die Deutsche Bank und die Europäische Kommission. Auch für das "Nationale Cyber-Abwehrzentrum" des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn haben sie schon gearbeitet: Als das Zentrum im April 2011 eröffnet wurde, hat Sebastian Schreiber die Zeremonie mit einer "Live-Hacking"-Aktion fürs breite Publikum begleitet. "Live-Hacking"-Aktionen wie diese dauern rund 60 Minuten. "Ich demonstriere dann zum Beispiel, wie man einen verschlüsselten USB-Stick entschlüsselt, einen passwortgeschützten Laptop knackt, einen Sperrcode umgeht oder einen Trojaner auf ein Smartphone spielt", erklärt Sebastian Schreiber.

Wie in jedem anderen Job erwartet auch einen Penetrationstester nicht jeden Tag das große Abenteuer. "Es gibt auch Tage, da machen wir sture Fließbandarbeit", sagt Christian Rothländer. "Meistens sind wir jedoch gefordert, kreativ zu sein, neue Wege zu suchen, ohne die üblichen Vorschriften zu arbeiten und quasi wie Sherlock Holmes zu kombinieren, zu knobeln, wo die Schwachstelle in einem System lauert und wie man sie durch einen Angriff ausnutzen könnte. Viel stärker als in anderen Jobs ist da Entdeckerdrang gefordert." Und: "Man darf ruhig ein bisschen verrückt sein." Am besten nach Computern.