“Nicht jeder Hacker ist kriminell” vom Hacker zum Mitgründer und Geschäftsführer eines Startups für Cybersicherheit

Sven Weizenegger ist Mitgründer, Geschäftsführer und Perseus Spezialist für Cybersicherheit. Er war der erste angestellte Hacker der Geschäftssparte der Telekom und besitzt mit über 15 Jahren Berufserfahrung ein umfassendes Wissen zum Gefährdungspotential von Cyberangriffen.

1. Wie wird man Hacker?

Ich war jung, voller Wissensdurst und Neugier für das Thema Technologie. Wie das so ist, hatte ich einen Klassenkameraden, der sich mit dem Thema intensiver beschäftigte. Er hat mir die Welt des Hackens gezeigt und ich habe sofort Feuer gefangen: Ich wollte mehr über Technologien lernen und mich mit anderen messen, das fand ich wahnsinnig spannend.

Bei Hackern muss man aber ganz klar differenzieren. Nicht jeder Hacker ist kriminell. Der Hacker möchte forschen, Möglichkeiten austesten, Schwachstellen finden und die Verantwortlichen darauf aufmerksam machen, damit Sicherheitsprobleme behoben werden – solche werden auch als ethische Hacker bezeichnet oder als White Hat. Der Böse ist der Cyberkriminelle, der solche Fehler für seine eigenen Zwecke ausnutzt.

Mit 20 Jahren bin ich über Umwege zur Telekom gelangt und konnte mein Hobby zum Beruf machen. Ich habe die Abteilung für Penetrationstests aufgebaut – in dieser versuchen angestellte Angreifer (Hacker) in die Computersysteme der Kunden einzudringen, um Sicherheitsprobleme frühzeitig zu erkennen und zu beheben. Damit war ich der erste offizielle Hacker der Telekom.

2. Ist das Leben eines Hackers wirklich so aufregend wie es in Film und Fernsehen dargestellt wird?

(Lacht)

Nein, es ist wesentlich nüchterner. Was an dieser Branche vor allem aufregend ist, ist ihre Schnelllebigkeit. Ich würde fast sagen, dass sich IT-Sicherheit schneller entwickelt als die allgemeine Digitalisierung. Die gesamte Cybersicherheits-Landschaft ist hoch fragmentiert: Anti-Virenprogramme, Firewall, Verschlüsselung, Identitäten-Management, Einsatz von künstlicher Intelligenz oder Blockchain. Hier muss man permanent den Überblick behalten, sich Fachwissen aneignen und im Notfall den richtigen Experten kennen. Würde ich jemals auf die Idee kommen sechs Monate Urlaub zu machen, könnte ich danach vieles erneut lernen.

 

3. Wie wurdest du dann Mitgründer und Geschäftsführer eines Startups für Cybersicherheit?

Irgendwann wollte ich mehr als die reine Technologie: Mir hat es Spaß gemacht mit Menschen zu interagieren. Mein Interesse an der wirtschaftlichen Perspektive und Strategie wurde geweckt. In der Telekom habe ich begonnen Workshops für die Führungsebene namhafter Unternehmen zu geben, Vorträge zu halten und den Geschäftsbereich “Cybersecurity” bei der T-Systems mit aufgebaut. Ich galt als Querdenker, war derjenige, der im Startup-Bereich vernetzt ist, sein eigenes Gewürz-Unternehmen gestartet hatte, der Agilität lebt, Projekte eher unkonventionell betreibt und diese im Unternehmen durchboxt.

Nach 13 Jahren Konzern hatte ich schließlich Lust auf etwas Neues und wurde von dem damals größten Unternehmen im Bereich Finanztechnologie angeworben. Kurz bevor ich anfing, gab es dort einen Sicherheitsvorfall. Durch diesen Umstand konnte ich das Thema IT-Sicherheit größer ausrollen. Ich habe eine umfassende Strategie entwickelt, neue Strukturen geschaffen und Mitarbeiter gefördert. Ich habe Sicherheitsprobleme und deren Lösungen auf allen Unternehmensebenen begleitet – vom Hacker bis zum Management. Danach war der logische Schritt ein Unternehmen im Bereich Cybersicherheit mitzugründen. Ich wollte Unternehmen helfen, die sich keine eigenen Cybersicherheits- und Datenschutzexperten leisten können – so kam ich schließlich zu Perseus.

4. Was sind deiner Erfahrung nach die größten Gefahren im Bereich Datensicherheit für kleine und mittelständische Unternehmen?

Das sind die typischen Themen wie ein Mangel an Bewusstsein, Organisation und der richtige Einsatz von Technik.

Alles beginnt mit der Wahrnehmung: Erkenne ich ein Problem? Wenn ich es nicht kenne, kann ich es auch nicht beheben. Das ist gerade im Bereich Cybersicherheit oft gar nicht so einfach, umso wichtiger ist es, dass alle Mitarbeiter sich permanent weiterbilden – jeder Einzelne trägt zur Datensicherheit in seinem Unternehmen bei.

Organisatorisch ist es schließlich wichtig, Verantwortlichkeiten festzulegen. Diese Person muss mit den notwendigen Ressourcen ausgestattet werden. Dazu gehören finanzielle Mittel aber auch Entscheidungsbefugnisse und Einflussmöglichkeiten. Jeder Unternehmensbereich wird durch das Thema Datensicherheit berührt, von der Personalabteilung bis zum Management. Der Verantwortliche muss beispielsweise dafür sorgen, dass ordentliche Passwörter gesetzt, Daten ordnungsgemäß vernichtet oder beim mobilen Arbeiten feste Regeln befolgt werden. Außerdem braucht jedes Unternehmen einen Notfallplan: Ein Cybervorfall kann passieren, das ist keine Schande. Das Unternehmen muss jedoch wissen, wie es richtig reagiert, damit negative Folgen für alle Betroffenen minimiert werden.

Technisch betrachtet sind es die üblichen Probleme: veraltete oder unpassende Programme, unregelmäßige Sicherheitsaktualisierungen, fehlende Firewall und Antiviren-Programme.

5.  Welche Verantwortung sollte die Politik im Bereich Informationssicherheit übernehmen?

Die Politik muss die richtigen Rahmenbedingungen schaffen. Mit der Datenschutzgrundverordnung hat sie einen ersten Schritt in die richtige Richtung gemacht. Allerdings ergeben sich in der täglichen Umsetzung gerade für kleine und mittelständische Unternehmen viele Fragen. Um diese zu beantworten haben wir unseren Cyber Security Club entsprechend angepasst und bieten Schulungen zum Thema Datenschutz als auch den externen Datenschutzbeauftragten als Service an.

Darüber hinaus ist es wichtig, dass die Politik ihr Wissen mit der Gesellschaft teilt. Das Bundesamt für Sicherheit in der Informationstechnik macht als Partner für die deutsche Wirtschaft im Bereich Cybersicherheit eine sehr gute Arbeit, aber diese sollter weiter ausgebaut und mit zusätzlichen Ressourcen gestärkt werden werden. Vorbild können Staaten wie Israel sein. Dort findet ein reger Wissenstransfer im Bereich Cybersicherheit zwischen Politik, Wissenschaft, Wirtschaft und Gesellschaft statt.

Um solch einen Wissenstransfer zu fördern, engagiere ich mich beispielsweise als Sprecher bei der Plattform für Cybersicherheit im Bundesverband deutscher Startups.

 

6. Du giltst auch als Experte für digitale Trends – wovon lässt du dich inspirieren?

Ich lese sehr viel – vor allem Blogs und Fachartikel zum Thema Management. Ich besuche relevante Veranstaltungen und ich beobachte aufmerksam alle Entwicklungen in Ländern, die zu den digitalen Führungsnationen gehören wie etwa Israel oder die USA. Darüber hinaus inspirieren mich auch Begegnungen mit begeisterten Persönlichkeiten. In der Telekom habe ich mitgeholfen, den Cyber Security Summit im Rahmen der Münchener Sicherheitskonferenz aufzubauen – eine Konferenz auf der sich Experten aus der ganzen Welt zum Thema IT-Sicherheit austauschen. Dabei hatte ich die Gelegenheit Howard Schmidt, den Cybersicherheitsexperten der Obama-Regierung, kennenzulernen. Das war sehr inspirierend: Ein guter Zuhörer, sehr ruhig und ehrlich – ein tolles Vorbild in der Mitarbeiterführung. Hatten sogar noch eine Gemeinsamkeit: Wir haben beide keinen Salat gegessen.

 

7. Was kommt in den nächsten Jahren in den Bereichen Cybersicherheit und Digitalisierung auf die deutsche Wirtschaft zu?

Ich glaube, dass das Thema künstliche Intelligenz (KI) unsere Zukunft sein wird. Ich sehe viele Potential in künstlicher Intelligenz, um den Bereich Cybersicherheit und unsere Gesellschaft nachhaltig zu verändern. So könnte sie genutzt werden, um Cyberbedrohungen zu erkennen und Computersysteme zu verteidigen. Natürlich befürchten Kritiker, dass KI auch im Bereich IT-Sicherheit Arbeitsplätze abbauen wird. So weit ist die aktuelle Entwicklung jedoch nicht. KI dient vielmehr als Hilfsmittel, um die Arbeit von Sixcherheitsexperten zu unterstützen. Generell lassen sich solche Entwicklungen nicht aufhalten, daher gestalte ich lieber mit, als mich gestalten zu lassen. 

Auch das Management von Identitäten wird noch eine gewichtige Rolle spielen. Biometrie hat sich als Sicherheitslösung nicht bewährt: Wird eines deiner Online-Konten gehackt und dein Passwort veröffentlicht, dann kannst du es ändern. Deinen Fingerabdruck kannst du nicht ändern. Eventuell könnte hier Blockchain eine Lösung sein, das wird sich zeigen.

All diese Entwicklungen werden Einfluss auf die gesamte deutsche Wirtschaft haben – von kleinen und mittelständischen Unternehmen bis zum Großkonzern. Allerdings werden sie sich nicht auf Deutschland beschränken – sondern müssen global betrachtet werden.

 

8. Perseus in drei Worten

einfach – kundenorientiert – freundlich

 

9. Sven in drei Worten

querdenkend – anpackend – kreativ

Teilen:

Schluss mit lustig - Hackern die rote Karte zeigen!

Investieren Sie Ihre Gewinne in Ihr Unternehmen, anstatt in Bußgelder – schützen Sie sich jetzt mit Perseus!

Für Perseus Basis anmelden