Gespür für die Gefahren der digitalen Welt entwickeln

Aug 14, 2019.

Je mehr wir uns auf die digitale Welt verlassen, desto angreifbarer werden wir und desto eher können wir einem Identitätsdiebstahl zum Opfer fallen. Im Interview erklärt IT-Sicherheitsfachmann Harald Reisinger, warum auch Sicherheitsexperten Opfer von Cyberattacken werden können.

Ihr Unternehmen beschäftigt «gute» sogenannte White Hat Hacker, um im Kundenauftrag IT-Schwachstellen zu finden. Wie gehen sie vor?

Harald Reisinger: Unsere Penetration-Tester simulieren einen wirklichen Hacker-Angriff, also den Einbruch in die IT eines Unternehmens. Dabei gibt es drei Ansatzpunkte: Wir versuchen, von aussen in das System einzudringen, wir schauen, wie ein Gast oder Mitarbeiter des Unternehmens intern Schäden anrichten kann und wir beschäftigen uns mit dem Menschen als Angriffsvektor.

 

Wie gelangen die Hacker von aussen in eine Unternehmens-IT und wie lange brauchen sie dafür?

Harald Reisinger: Sie versuchen, mögliche Lücken auszunutzen, etwa in der Applikation, beim Server oder in der Datenbank, die dahintersteht. Eine bekannte Angriffsmethode ist die SQL-Einschleusung. Dabei versucht der Angreifer durch die Eingabe bestimmter Befehle den Server zu überlisten, sodass er zum Beispiel Datenbankinhalte einsehen kann, die ein normaler Nutzer niemals sehen sollte. Im Unterschied zu unseren White Hat Hackern haben die «bösen Jungs», also die Black Hat Hacker, allerdings sehr viel Zeit für ihre Angriffe. Wir hingegen haben nur ein bestimmtes Zeitfenster. Für kleine Audits brauchen wir zwei bis vier Tage, grössere Analysen können bis zu 30 Tage dauern.

 

Welche Analysen stellen Sie im Kundenunternehmen an?

Harald Reisinger: Im Unternehmen selbst befinden wir uns schon hinter der Firewall. Intern testen wir ebenfalls, welche Systeme verwundbar sind, zum Beispiel, welchen Schaden ein Besucher anrichten könnte, der sich mit seinem Laptop im Besprechungsraum an die Netzwerkdose anschliesst.

 

Wie sensibilisieren Sie die Mitarbeiter für die Problematik?

Harald Reisinger: Wir prüfen, wie stark die Passwörter sind, die die Mitarbeiter verwenden. Es ist wichtig, die Mitarbeiterinnen und Mitarbeiter zu schulen und auf Gefahren aufmerksam zu machen –, dass man eben nicht auf jeden Mail-Anhang klickt, sondern erst mal schaut, woher diese E-Mail kommt. Oder wir «verlieren» auf dem Firmenparkplatz einen USB-Stick mit der Beschriftung «Kündigungsliste 2018». Die Wahrscheinlichkeit ist sehr hoch, dass ein Mitarbeiter diesen Stick mitnimmt und an sein Firmenlaptop anschliesst. Ist der USB-Stick mit einem Schadprogramm präpariert, trägt man so ein Virenprogramm ins Unternehmen.

 

Nehmen Mitarbeiter die IT-Sicherheit auf die leichte Schulter?

Harald Reisinger: Viele denken tatsächlich: «Die IT-Abteilung wird schon alles im Griff haben» und sehen nicht ihre eigene Verantwortung. Das Gute an unternehmensinternen Sicherheitsschulungen ist aber, dass die Beschäftigten dieses Wissen auch mit nach Hause nehmen und privat anwenden. Im Idealfall bringen sie das auch ihrer Tochter oder ihrem Sohn bei. Heute kann jeder Dreijährige ein Tablet bedienen – wir müssen auf breiter Basis dafür sorgen, dass schon die Jüngsten ein Gespür für mögliche Gefahren der digitalen Welt bekommen.

 

Welche Unternehmen sind bevorzugte Ziele von Hacker-Angriffen und Identitätsdiebstahl?

Harald Reisinger: Vor zehn, fünfzehn Jahren waren das klar die Finanzdienstleister. Sie sind immer noch ein attraktives Ziel für professionelle Hacker, aber inzwischen berührt das Thema jede Branche. Die Unternehmen sind durch grosse Datendiebstähle oder Erpressungsversuche sensibler für die Gefahren geworden.

 

Wollen Black Hat Hacker alle dasselbe – Geld mit ihren Angriffen verdienen?

Harald Reisinger: Früher waren Hacker oft Nerds, die schlicht beweisen wollten, dass es möglich ist, Angriffe durchzuführen. Seit etwa fünf Jahren ist die "Branche" sehr kommerziell geworden. Die meisten Angreifer arbeiten professionell und organisiert wie Unternehmen. Wir erwarten, dass diese Professionalisierung weitergeht. Die Täter wollen möglichst viele Ziele mit wenig Aufwand attackieren und etwa durch den Verkauf von Datensätzen oder Erpressung Geld verdienen. Die Geldübergabe ist heute, in Zeiten digitaler Währung, kein Problem mehr. Es kommt auch vor, dass Hacker bestimmte Unternehmen öffentlich blossstellen wollen und deshalb deren System lahmlegen.

 

Welche Rolle spielt Identitätsdiebstahl in der Cyberkriminalität?

Harald Reisinger: Noch ist er ein Randproblem. Aktuell ist es so, dass Täter durch eine Phishing-Mail Schadsoftware auf einen Computer einschleusen. Und wenn ich von diesem Rechner aus alles regele – E-Mails schreibe, Waren bestelle, Bankgeschäfte tätige, Arzttermine vereinbare – ist der Täter tatsächlich in der Lage, unter Ausnutzung all dieser Daten meine Identität zu übernehmen. Ein wirklich massives Problem kann Identitätsdiebstahl aber werden, wenn die elektronische Identifizierung weiter fortschreitet, wir also elektronisch signieren oder biometrische Daten speichern, um uns zu identifizieren.

 

Wie kann man sich vor Cyberattacken wirksam schützen?

Harald Reisinger: Zum einen sollte man die üblichen Mindeststandards einhalten – nicht jeden E-Mail-Anhang anklicken, immer Updates durchführen und das System auf dem aktuellen Stand halten, eine Antivirus-Software benutzen, am besten eine, die lernfähig ist und Schutz vor neuen Angriffsformen bietet. Und man sollte vielleicht nicht jedem Trend folgen.

 

Das heisst, im Zweifel lieber weniger digitale Helfer als zu viele?

Harald Reisinger: Ja. Denn auch wenn es super praktisch ist, halte ich es für keine gute Idee, die Online-Banking-Software auf dem Handy zu haben, wo ich dann auch per SMS die TAN für meine Transaktionen erhalte. Heimautomatisierung, smarte Lautsprecher – muss man das alles mitmachen? Möchte ich, dass der Lautsprecher jedes Wort in meinem Wohnzimmer mithört? Viele Dinge klingen total toll und der Mensch ist – zum Glück- dem Fortschritt gegenüber aufgeschlossen. Aber er sollte auch die Folgen abschätzen und wissen, wann er Angreifern Tür und Tor öffnet.

 

Wie ist Ihr eigenes Nutzerverhalten?

Harald Reisinger: Paranoid trifft es vielleicht am besten. Grundsätzlich sind Leute unserer Branche besonders vorsichtig. Dabei ist es nicht ausgeschlossen, dass wir selbst Opfer von Cyberattacken werden. Manche Dinge sind so gut gemacht, dass sie auch für uns Spezialisten schwer zu erkennen sind.

 

Ein Blick in die Zukunft: Robotik, Internet der Dinge, selbstfahrende Autos – was kommt da im Hinblick auf Missbrauch von Daten auf uns zu?

Harald Reisinger: All diese Dinge machen unser Leben einfacher, wir geben aber auch immer mehr Kontrolle ab. Damit geht ein unglaubliches Risikopotenzial einher. Wir IT-Spezialisten glauben, das Monitoring von IT-Systemen wird eine essentielle Aufgabe werden, um die Widerstandsfähigkeit der Gesellschaft aufrecht zu erhalten. Dazu gehören drei Punkte: Das Grundprodukt muss sicher sein, es müssen Schutzmassnahmen etabliert werden, um Angriffe zu verhindern und es muss eine Überwachung stattfinden. Wir nennen es das "Überlebensdreieck".

Zur Person

Harald Reisinger ist Geschäftsführer des österreichischen Monitoring-Unternehmens RadarServices, das die IT-Sicherheit von Unternehmen überprüft. Nach einer technischen Grundausbildung studierte er Betriebswirtschaft und gründete 2001 sein erstes IT-Sicherheitsunternehmen.