Wirtschaft

Neue Technologien, neue Risiken Philipp Kalweit ist 18 Jahre - und Auftragshacker

88972295.jpg

In den vergangenen beiden Jahren sind laut einer aktuellen Studie des Digitalverbandes Bitkom sieben von zehn deutsche Industriebetriebe Opfer von Cyberangriffen geworden.

(Foto: picture alliance / Silas Stein/d)

Noch während Philipp Kalweit zur Schule geht, gründet er seine eigene Cyber-Security-Firma. Als Auftragshacker testet er, wie sicher die IT von Unternehmen ist und versucht an sensible Daten zu kommen. Dass der 18-Jährige Geschäftsführer und nicht etwa Azubi ist, sorgt oft für Verwirrung.

Wenn Philipp Kalweit seine Kunden besucht, kann es schon mal vorkommen, dass der 18-Jährige am Empfang abgewiesen wird oder ein Kollege ihm nach einem Gespräch sagt, der Auftraggeber habe Zweifel an seinem Können geäußert. Dabei ist Kalweit nicht irgendein Azubi, sondern Geschäftsführer seiner eigenen IT-Sicherheitsfirma.

Als Auftragshacker prüft er mit sogenannten Penetrationstests, ob es Lücken in IT-Systemen gibt, die potentielle Hacker ausnutzen können, um einem Unternehmen wirtschaftlich zu schaden. Wenn Kalweit erklärt, was seine Firma tut, klingt das so: "Ein Penetrationstest ist nichts anderes als eine offensive IT-Revision. Wir zeigen auf, wie Hacker in ein System kommen, indem wir wie potenzielle Angreifer in Systeme eindringen, geben Risikoeinschätzungen darüber, wie relevant die Bedrohung für das Unternehmen ist, welche Geschäftsbereiche betroffen sind und wie die Lücken geschlossen werden können", sagt er n-tv.de. Zu seinen Kunden zählen etwa Unternehmen aus dem Versicherungs- oder Finanzwesenbereich und IT-Dienstleister. Namen will Kalweit nicht nennen. Nur so viel: Umsätze von zwölf Milliarden Euro und 8000 Angestellte sind keine Seltenheit.

Seine Faszination für Computer und IT-Systeme entdeckte Kalweit schon sehr früh. Mit neun Jahren baute er aus Langeweile zum ersten Mal einen alten Computer auseinander und brachte sich selbst das Programmieren bei. Nur kurze Zeit später hackte er ein Online-Spiel. Seine philippinische Mutter war alleinerziehend und kam oft erst spät von der Arbeit wieder nach Hause. Computer und Handy hatte Kalweit auch deswegen schon in so jungen Jahren, damit seine Mutter immer wusste wo er war und ob es ihm gut ging.

PhilippKalweit-KalweitITS4-732x1024.jpg

Als Teenager hielt er mit 14 Jahren auf einer Konferenz seinen ersten Vortrag vor 500 Menschen, zwei Jahre später beriet er das Bundesamt für Sicherheit in der Informationstechnik. "Das Schöne an der IT ist, dass sie schlüssig und bündig ist und aufeinander aufbaut", sagt Kalweit, der in der ersten Klasse nicht verstanden hat, warum der Buchstabe B auf das A folgte und irgendwann frustriert feststellte, dass man das Alphabet einfach auswendig lernen muss.

"IT-Sicherheit ist eine Verantwortung"

Weil Kalweit als freiberuflicher IT-Security Consultant mit seinem persönlichen Vermögen haftete, entschied er sich mit 16 Jahren eine GmbH zu gründen. Das Problem: Um in Deutschland als geschäftsfähig zu gelten, muss man mindestens volljährig sein. Kalweit zog deswegen vor ein Amtsgericht und erkämpfte sich seine Geschäftsfähigkeit. In Deutschland eine absolute Ausnahme.

Seine Mitschüler hatten immer Verständnis dafür, wenn er regelmäßig im Unterricht fehlte oder von Klausuren befreit wurde. "Ich war nie ein Außenseiter", sagt Kalweit. Ganz im Gegenteil: Seine Mitschüler wählten ihn sogar zum Klassensprecher. Auch das klassische Klischee eines Hackers, der per se als ein unzuverlässiges, introvertiertes Muttersöhnchen im Hoodie dargestellt wird, entspricht so gar nicht dem Selbstverständnis von Kalweit.

"Ich habe mein Unternehmen gegründet, weil ich mein Hobby zum Beruf machen wollte. Als Hobby-ITler hätte ich meine Auftraggeber schlecht um Infrastruktur bitten können, die in der Stunde mehr als 200.000 Euro im Ausfall kostet", sagt Kalweit. Sein Unternehmen wurde bis zu seiner Volljährigkeit kommissarisch von einem Bekannten geleitet. Erst vor kurzem hat sich Kalweit 60 Prozent Anteile gesichert und ist somit jetzt auch offiziell mehrheitsberechtigter Gesellschafter.

"IT-Sicherheit ist kein Wille und keine Mission, sondern eine Verantwortung, die wir haben", sagt Kalweit. Heute würden neue Technologien sofort auf den Markt geworfen. "Das bedeutet oftmals auch, dass wir Technik nutzen, die wir vielleicht noch gar nicht richtig verstanden haben." Damit wachse auch die gesellschaftliche Relevanz, die IT-Sicherheit hat. "IT-Sicherheit ist in unserem digitalen Zeitalter so relevant, dass ich es erschreckend finde, wie veraltet die Geschäftsmodelle und Arbeitsweisen vieler unser Auftraggeber sind", sagt Kalweit.

Softwarelösungen sind längst selbstverständlich

In den vergangenen beiden Jahren sind laut einer aktuellen Studie des Digitalverbandes Bitkom sieben von zehn deutsche Industriebetriebe Opfer von Cyberangriffen geworden. Insgesamt ist dadurch ein Schaden von 43 Milliarden Euro entstanden. Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen", sagt auch Verbands-Präsident Achim Berg. Viele Unternehmen würden das Thema Sicherheit noch zu sehr auf die leichte Schulter nehmen, auch weil ihnen das entsprechende Know-how fehle.

Das Geschäft mit der Sicherheit lohnt sich: Marktübliche Preise für Penetrationstests liegen in Deutschland bei ungefähr 1000 Euro pro Tag. Nach oben sind keine Grenzen gesetzt. Mit 65 bis 300 Euro pro Stunde liegt Kalweit im Mittelfeld. Der 18-Jährige will nicht um jeden Preis günstiger als die Konkurrenz sein, sondern mit moderaten Preisen jedem Unternehmen IT-Sicherheit grundsätzlich zugänglich machen. Dabei hat es eigentlich genau diese Branche besonders leicht hohe Preise zu verlangen, denn es gibt kaum qualifizierte Fachkräfte. Auf ungefähr 400 offenen Stellen, kommen gerade mal zwei Pentester, die auf Xing und LinkedIn nach einem Job suchen.

Im digitalen Zeitalter kann sich kaum noch jemand aussuchen, ob er IT nutzen möchte oder nicht. Inzwischen verstecken sich hinter den selbstverständlichsten Alltagssituation Softwarelösungen. "Durch neue Technologien werden neue Risiken geschaffen. Das stimmt. Aber oft entsteht natürlich auch ein Mehrwert für die Gesellschaft." Letztendlich berge alles Gefahren, eine hundertprozentige Sicherheit gebe es nicht. Das Risiko liege aber sowieso nicht bei der Technologie. "Die Menschen, folglich auch ich, sind schlichtweg oftmals noch nicht gescheit genug, neue Technologien richtig zu nutzen."

Quelle: n-tv.de