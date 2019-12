Das US-Start-up HackerOne vermittelt Boni von Unternehmen an Hacker, wenn sie Sicherheitslücken in IT-Systemen finden. Ein lohnenswertes Geschäft: Allein deutsche Kunden haben schon eine Million Euro an Prämien gezahlt.

Mårten Mickos kam 2003 als Chef des Open-Source-Datenbankspezialisten MySQL aus Finnland ins Silicon Valley. Unter seiner Führung wurde MySQL für eine Milliarde Dollar an Sun Microsystems verkauft. Mickos wechselte zum Cloud-Spezialisten Eucalyptus, hat diesen später an Hewlett-Packard (HP) verkauft. Ende 2015 übernahm der heute 56-Jährige den Chef-Posten beim Start-up HackerOne. Dort organisiert er für Unternehmen und Behörden Wettbewerbe, bei denen Hacker Schwachstellen in fremden Computersystemen suchen und deren Herstellern die ungewollten Einfallstore melden.

WirtschaftsWoche: Herr Mickos, Sie organisieren Hacker-Angriffe auf Unternehmen, die hoffen, auf diese Weise Schwachstellen in ihren IT-Systemen zu entdecken. Wie sicher sind Sie, dass dabei keine Informationen in falsche Hände geraten?Mårten Mickos: Sehr sicher. Es ist ja nicht so, dass wir unsere Kunden einfach so ins Feuer stellen. Wir prüfen jeden einzelnen, der oder die bei einem unserer Sicherheits-Checks mitmacht. Wir kennen Adresse, Konten, je nach Kunden sogar das Führungszeugnis. Dazu kommt, dass die Unternehmen auch Vorgaben machen können, woher die "Angreifer" stammen. Das US-Verteidigungsministerium etwa wollte zunächst nur Leute aus den USA, inzwischen akzeptieren sie auch Teilnehmer aus ein paar weiteren Ländern.

Sie attackieren das US-Militär. Wie sicher sind denn die Atomraketen?Keiner der Angriffe richtete sich bisher gegen Waffensysteme. Die sind auch ganz anders geschützt als die klassische IT. Was aber nicht heißt, dass das Pentagon nicht angreifbar wäre. Die haben zum Beispiel erkannt, dass sie an anderen, vergleichsweise "weichen" Stellen verletzbar sein könnten. Also haben wir getestet, wie gut die Personaldaten der Militärbeschäftigten geschützt sind. Mit solchen Daten startest Du keine Rakete, aber Du kannst als Angreifer trotzdem eine Menge Schaden ausrichten, wenn Du die persönlichen Informationen hast - vom Erraten von Passwörtern bis zu gefälschten Nachrichten, die Du verschickst.

Wie sicher sind also die Personaldaten?Sorry, zu den konkreten Ergebnissen unserer Tests können wir keine Aussagen machen. Aber offenbar ist das Pentagon mit unserer Arbeit zufrieden. Wir haben mehrjährige Verträge ...

