Peter Kestner war einmal selbst einer der „Bösen“: Als Black-Hat-Hacker verdiente er schnelles Geld mit Informationsklau, bis die Polizei ihm auf die Schliche kam und ihn vor die Wahl stellte entweder als Bundesagent zu arbeiten oder im Gefängnis zu sitzen. Er entschied sich für ersteres. Inzwischen wechselte er nochmals die Seite und zwar in die Wirtschaft. Jetzt ist er als Technology Director Database Security verantwortlich für die Sicherheit des Datenbanksystems Oracle. In der alten Szene ist er nach wie vor unterwegs, allerdings jetzt um sich selbst auf dem Laufenden über neue Angriffsmöglichkeiten und Hacking-Tools zu halten.

Am 4. Februar 2010 gab er 70 Zuhörern an der Dualen Hochschule Baden-Württemberg Mosbach exklusive Einblicke in die Arbeit und die Vorgehensweisen von Hackern. Internet Security sei, so Peter Kestner, ein Thema über das immer wieder gesprochen werde, über dessen Bedeutung sich die meisten jedoch wenig Gedanken machten. Ca. 80 Prozent aller Angriffe kommen von intern, was es noch schwerer mache, den Spion zu erwischen oder durch Firewalls oder andere Systeme am Datenklau zu hindern. „Hochrangige Firmenmitglieder haben genaue Kenntnisse über das Netzwerk und Sicherheitslücken und genießen viele Privilegien und Zugriffsrechte“, so Kestner weiter. Das mache es schwer, Datendiebstähle zurückzuverfolgen. Hinzu komme, dass der Austausch bzw. Verkauf von gestohlenen Daten inzwischen sehr viel einfacher ablaufe: Im „hacker’s ebay“ werden jegliche illegalen Informationen zum Kauf und Verkauf angeboten. Kreditkartendaten werden hier pro Stück für 7 Dollar gehandelt, Kontakt zu Internen sei dagegen 5.000 Dollar wert. Das Image eines Mitbewerbers zerstören zu lassen kostet laut Shopping List in etwa 100.000 Dollar.

Den typischen Hacker dürfe man sich nicht als asozialen Punk vorstellen, erklärte Kestner. Vielmehr seien die Black-Hats ebenso professionell organisiert wie ein Konzern: „Die Daten-Mafia ist strukturiert aufgestellt.“ Genau wie in einem Unternehmen gebe es unterschiedliche Geschäftssegmente, wie Programmierung, Logistik und Marketing. Die „Organized Computer Crime“  sei strikt organisiert, häufig würden sich die Leute im gleichen Projekt nicht einmal kennen. Dateneinbrüche werden über Monate hin trainiert und vorbereitet. Um sich gegenseitig über die Vorgehensweise auszutauschen, treffen sich die Hacker vor Ort zu einem persönlichen Gespräch, bei welchen bewusst keine elektronischen Hilfsmittel eingesetzt werden.

Dennoch, da ist sich Peter Kestner sicher, der größte Unsicherheitsfaktor bleibe der Mensch vor dem PC. Neben technischen Finessen habe sich deshalb inzwischen eine neue Hacking-Methode etabliert, das sogenannte „Social Engineering“. Bekannt wurde diese Methode durch den von den Medien als schlimmsten Hacker bezeichneten Kevin Mitnick. Dabei geht es weniger darum, technische Hürden zu knacken als vielmehr die Person vor dem Bildschirm durch Rhetorik und Manipulation zur  Herausgabe sensibler Daten oder den Zugriffsrechten zu bewegen.

Um sich vor Datenklau zu schützen, genüge es in 90 Prozent aller Fälle, bei den Basics anzufangen. Dennoch, so Kestner, müsse zunächst ein besseres Verständnis für IT-Security hergestellt werden: „Security ist kein Produkt, sondern ein Rennen.“ Wichtig sei es sich zu überlegen, welches die tatsächlich sensiblen Daten sind. Es nütze nichts, das gesamte System schwer zugänglich und damit unpraktikabel zu machen, wenn es letzten Endes nur um einige wenige schützenwerte Daten ginge. „Jeder muss den Level für sich selbst identifizieren, der zum Schutz der eigenen Daten notwendig ist“. Allerdings könne es einen 100 prozentigen Schutz nie geben.