Thomas Fischer hat einen Auftrag. Er soll die Computer eines der größten Unternehmen in Europa hacken und auf diese Weise bis zu dessen innersten Geschäftsgeheimnissen vordringen. Einer gegen einen Konzern, Fischer macht diesen Job schon eine ganze Weile. Inzwischen ist er 50 Jahre alt – und hat häufiger gewonnen als verloren.

Fischer, hipper grauer Vollbart, Brille, arbeitet für eine Firma namens CodeWhite in Ulm, und wer deren großzügige Büros betritt, könnte den Eindruck gewinnen, er sei in einem Grafikdesign-Studio gelandet. Große Bildschirme auf allen Tischen, ein Regal mit Riegeln aus getrocknetem Rindfleisch an der Wand, eine edle Kaffeemaschine mit allen erdenklichen Kaffeesorten in der Küche, und in der Besprechungsecke leuchten grüne Polsterwürfel.

Aber auf den zweiten Blick fällt eine Tür auf, durch die ein geheimnisvolles blaues Licht dringt, auf dem Türschild steht "Finest Hacking". Dazu zeigen Fischers Bildschirme schier endlose Folgen aus Buchstaben, Zahlen, Sonderzeichen – ein Durcheinander in sehr kleiner Schrift, mit dem Außenstehende rein gar nichts anfangen können.

CodeWhite bietet eine vergleichsweise neue Art der IT-Sicherheit an: Die gut 20 Mitarbeiter greifen Unternehmen an wie echte Hacker – aber im Auftrag der Unternehmenschefs.

Inzwischen haben viele Konzernleitungen nämlich begriffen, dass es nicht reicht, einen Zaun ums Firmengelände zu ziehen und einen Pförtner ans Tor zu setzen. Das geistige Eigentum, die Existenzgrundlage eines Unternehmens, wird meist gestohlen, indem Hacker eine Schwachstelle in den Computersystemen ausmachen und auf diese Weise in eine Firma eindringen, um Patente, Baupläne und Kalkulationen zu kopieren. Derzeit arbeitet CodeWhite unter anderem für sieben Dax-30-Konzerne sowie für einige amerikanische Unternehmen.

Laut dem Bundesamt für Sicherheit in der Informationstechnik sind 2016 und 2017 knapp 70 Prozent der Unternehmen und Institutionen in Deutschland Opfer von Hacker-Angriffen geworden, jeder zweite erfolgreiche Angriff habe dabei zu Produktionsausfällen geführt. Das ist peinlich, meist verschweigen es die betroffenen Firmen, und deshalb dürfen auch IT-Firmen, die Unternehmen dabei helfen, sich besser zu schützen, in der Regel nicht über ihre Arbeit sprechen. Aber CodeWhite hat für die ZEIT unter strengen Auflagen eine Ausnahme gemacht.

Jenes Unternehmen, dem sich Fischer gerade nähert, sorgt sich um seine IT-Sicherheit. Sein Name muss ungenannt bleiben. "Das fordert sonst nur heraus", sagt Andreas Melzner. Es gibt ja auch kriminelle Hacker, die sich dann vielleicht mit CodeWhite messen und testen wollen, ob das Unternehmen wirklich gut geschützt ist.

Melzner, um die 40, gegelte dunkle Haare, ist seit 16 Jahren in verschiedenen Positionen in der IT-Sicherheit tätig, die längste Zeit davon war er bei Daimler, bis er 2014 zusammen mit seinem Kollegen David Elze CodeWhite gründete.

Die Website eines Online-Shops bietet sich regelrecht an für den Angriff

Selbst intern nennen sie bei CodeWhite nicht den Namen ihrer Kunden. Die bekommen aus dem Star Wars-Imperium entlehnte Code-Namen. Fischer greift etwa gerade "Bookie" an. So werden auch zufällige Mithörer – beispielsweise beim Mittagessen im Restaurant – nicht schlau aus den Gesprächen.