Stefan Krebs ist zu lange im Geschäft, um nicht zu wissen, dass Gesprächigkeit immer Gefahr bedeutet. Dass es ein großer Fehler sein kann, den Mund zu voll zu nehmen, weil man damit erst recht zu einem Angriffsziel werden kann. "Nichts", sagt Krebs, "lieben einige Hacker mehr als die Herausforderung". Und nichts fordere sie mehr heraus, als ein unvorsichtiger Sicherheitschef, der behauptet, der eigene Laden sei absolut sicher.

Krebs, 54 Jahre, hatte bis zu diesem Sommer einen der wohl verantwortungsvollsten Jobs im Land: Er hat das Geld der Deutschen bewacht. Nicht ihr Bargeld, sondern ihr virtuelles Geld, gelagert auf den Konten der Sparkassen in Deutschland. Rund 124 Millionen Konten sind das bis heute. Etwa jede zweite Buchung, die in Deutschland abgewickelt wird, stand unter seiner Obhut, jeder zweite Geldautomat unter seiner Kontrolle.

Dass dennoch niemand in Deutschland Stefan Krebs kennt, ist auch sein Verdienst: Bisher ist eben alles gut gegangen. Jetzt, da der Sicherheitschef der deutschen Sparkassen im Sommer den Arbeitgeber wechselt, hat er zum Interview geladen, um darüber zu reden, was es bedeutet, die Konten eines halben Landes zu beschützen. Und darüber, wie gefährlich es ist, wenn sich die Finanzwelt immer weiter digitalisiert und das Bargeld verschwindet.

Wie ein gestrandeter Wal liegt der Glasbau in den wüsten Vorstadt von Hannover. Hier, zwischen Fabrikhallen und Feldern, hat die Firma ihren Sitz, für die Krebs mehr als ein Jahrzehnt gearbeitet hat: die Finanzinformatik, der zentrale IT-Dienstleister der Sparkassen. 415 Sparkassen sind hier angeschlossen, 25.000 Geldautomaten, 12 Milliarden Buchungen werden hier jedes Jahr abgewickelt. "Neuralgisch" nennen Fachleute solche Knotenpunkte. Hier lagert ein Großteil der Finanzdaten der deutschen Bankkunden. 

Krebs empfängt in einem verglasten Konferenzraum: ein großgewachsener Mann mit lauter Stimme und starkem schwäbischen Akzent. In den rund zwei Stunden Gespräch wird er zwei Botschaften aussenden: Nein, das Geld auf den Konten der Deutschen ist trotz Cyberkriminalität und Terror nicht in Gefahr. Aber auch: Das Hackergeschäft globalisiert sich und die Gefahren werden zunehmend schwerer zu kontrollieren.

Als Krebs Ende der neunziger Jahre als Sicherheitschef der Sparkassen anfing, waren Hackerangriffe noch selten. Die Netze der Banken waren geschlossen und von außen kaum zugänglich. Onlinebanking hieß oft, einen Überweisungsauftrag in einen Computer einzugeben und anschließend auszudrucken.

Vielen geht es nur ums Geld

Krebs hat in den siebziger Jahren eigentlich Standesbeamter gelernt. Er interessierte sich früh für Computer, doch in seiner Familie glaubte damals niemand, dass man mit IT-Sicherheit Geld verdienen könnte. Er heuerte dennoch bei einem Softwarehaus an, trieb sich auf Hackerkonferenzen herum und sammelte erste Erfahrungen in der Szene. Hat er selbst gehackt? "Ich weiß auch heute noch ganz gut, wie es geht." Schließlich kam Krebs als Sicherheitschef zu den Sparkassen und stieg zu einem der wichtigsten Experten im Land auf. Er war dabei, als sich in den vergangenen Jahren der Wettlauf zwischen Hackern und Sicherheitsleuten beschleunigte. Er kennt die Geschichten von digitalen Bankeinbrüchen, die sich seither vor allem in den USA ereignet haben. Er sagt: "Wir spielen heute längst nicht mehr nur gegen Niedersachsen. Wir spielen gegen die ganze Welt."

Aber wer sind seine Feinde? Wer hat Interesse an Angriffen auf die Konten der Deutschen? Und: Wer greift tatsächlich an?

"Das ist gar nicht so leicht zu beantworten", sagt Krebs. Grob gesprochen gebe es zwei Trends. Erstens: Viele Angreifer seien heute keine gutmeinenden White-Hats mehr, also Hacker mit ehrbaren Motiven, die auf Sicherheitslücken hinweisen wollen. Stattdessen handele es sich oft um Mitglieder von kriminellen Gruppen, denen es um nichts anderes als Geld geht. Diese Banden sind oft international organisiert und suchen die Sicherheitssysteme auf der Welt nach Schwachstellen ab. Sie erschleichen sich über das sogenannte Phishing Passwörter von Bankkunden, um in deren Accounts einzudringen. Sie manipulieren Geldautomaten, damit diese per Knopfdruck Geld ausspucken. "Diese Leute gehen meistens dorthin, wo die Früchte niedrig hängen", sagt Krebs. "Die würden tendenziell nicht ein im Vergleich gut gesichertes Rechenzentrum angreifen". Der Schaden durch diese Phishing-Angriffe ist in den vergangenen Jahren stark gewachsen – genauso wie der Aufwand von Krebs' Team, die Angriffe zu verhindern.