Das passt. Ich habe mein Unternehmen vor 27 Jahren gegründet. Damals waren wir Monopolist, keiner hat sich mit IT-Sicherheit beschäftigt. Wir haben Pionierarbeit geleistet. Insofern können Sie mich gerne so nennen. (Lacht)
Ja, kürzlich beim Handelsblatt zum Beispiel.
Oh, es hat mich immer schon fasziniert, IT-Systeme im Grenzbereich zu verstehen. Das waren damals unter anderem der Commodore 64, der Atari ST, so klassische Homecomputer. Jetzt müssen Sie wissen, mein Vater war Richter von Beruf und das prägt natürlich. Das heißt, ich habe mir Gedanken gemacht, wie ich mich auf der einen Seite intensiv mit Hacking beschäftigen kann und auf der anderen Seite auf keinen Fall mit dem Gesetz in Konflikt komme. Deswegen habe ich damals die Dienstleistung des Penetrationstests erfunden. Also sprich, wir hacken bei unseren Kunden, finden Schwachstellen, schreiben einen Bericht, unser Kunde behebt die Schwachstellen, die wir gefunden haben und hat ein sicheres Netzwerk.
Das war Show. Ich hatte gerade mal 20 Minuten Zeit und habe in diesen 20 Minuten acht verschiedene Angriffe auf technische Geräte gezeigt. Ich habe einen verschlüsselten USB-Stick per Tastatur geknackt und ein Android-Smartphone gehackt. Ich habe von fremden Handys aus Anrufe ausgelöst und SMS verschickt. Dann habe ich Industriegeräte angegriffen – konkret einen Thermostat –, einen Fingerabdrucksensor überlistet und Funktastaturen angegriffen. Wenn Mitarbeiter mit Funktastaturen arbeiten, habe ich immer die Möglichkeit, über diese Funkstrecke die PCs zu knacken.
Nein, wir knacken ja alles, von elektrischen Schließsystemen, Kreuzfahrtschiffen und Rasenmährobotern bis zu Banken. Es gibt keine Woche, wo es nicht irgendwas Spannendes gibt. Wir hatten eine große Versicherung als Kunden, der eigentlich nur bestätigt haben wollte, dass sein Netzwerk sehr sicher ist. Ich hab‘ einen Mitarbeiter hingeschickt, und der hat es in einer halben Stunde es geschafft, die zentralen Administratorrechte zu erlangen – der hätte also alles machen können.
Kann ich ganz sicher. Behörden sind immer etwas träge. Die haben nicht die neuesten Systeme – und unheimlich viele. Je mehr Systeme in einem Netzwerk sind, desto mehr Chancen habe ich, da reinzukommen. Und die bayerische Staatsregierung hat sehr viele Liegenschaften, das ist sehr schwer abzusichern.
Ob Bayern oder Bremen, Frankreich oder USA, das sind die gleichen Risiken. Riskant ist vor allem die hohe Attraktivität für Angriffe. Das heißt, es lohnt sich, Unternehmen anzugreifen, dort Daten zu stehlen, die Daten auf dem Schwarzmarkt zu verkaufen, die Unternehmen zu erpressen und Dateisysteme zu verschlüsseln. Das alles kommt da zum Tragen. Cyberkriminelle denken wirtschaftlich. Angriffe von Regierungen sehen wir aktuell nicht. Wir haben sehr viele Angriffe von Hackergruppen, die weltweit verteilt arbeiten, die arbeitsteilig arbeiten, die das Ziel haben, eben Unternehmen zu knacken und das dann hinterher zu versilbern.
Ich kann es Ihnen technisch erklären, aber das ist schwer zu verstehen. Also mangelnder Perimeterschutz, mangelnde Updates, fehlende Härtung vom Active Directory, eine große Komplexität und Vielzahl von Systemen, die man hat, dann Supply-Chain-Attacks: Dass die Lieferanten nicht perfekt gesichert sind, man sich aber auf diese Lieferanten verlässt. Außerdem Phishingversuche – genau solche Sachen. Besonders beliebt sind gerade Exploits von nicht gepatchten Atlassian-Systemen zum Beispiel. Das sind Systeme im Internet, die da nicht stehen sollten. Die Angreifer knacken einen Server mit Zero-Day-Exploits und hinterher springen sie von dem Server auf andere Server und breiten sich so aus, bis sie wirklich alle relevanten Systeme gehackt haben und die Unternehmensdaten alle vorliegen haben.
Ja, man erpresst das Unternehmen. Das heißt, die Firma erhält eine Nachricht: „Wenn wir nicht zwei Bitcoins bekommen bis morgen Abend, dann veröffentlichen wir die Daten im Internet.“ Zwei Bitcoins sind heute circa 200.000 Euro. Die Forderung kann aber auch noch deutlich höher sein. Der klassische Modus Operandi ist zudem noch, dass die Täter sämtliche Daten des betroffenen Unternehmens verschlüsseln, sodass das Unternehmen gar nicht mehr arbeiten kann. Und das Tool zum Entschlüsseln, das wird ihnen verkauft.
Ja, das kann ich ganz klar sagen. Wir haben mittlerweile in sieben Fällen im Auftrag unserer Kunden Bitcoins übergeben.
Es gibt immer mehr Täter. Und die werden immer professioneller, immer arbeitsteiliger. Bei dem gesamten Projekt, ein Unternehmen zu knacken und das Unternehmen zu erpressen, da liefert eben jeder Täter nur einen kleinen Teil, nämlich das, was er am besten kann. Und dann hinterher wird die Beute eben verteilt. Die arbeiten international. Die Kriminellen wissen gar nicht, in welchem Land „der Kollege“ sitzt. Die schließen untereinander Verträge, die haben Affiliates, die haben Franchisenehmer, die ticken so wie Mc-Donald’s oder Burger King. Wenn Sie einen Hamburger essen, dann kommt eben das Rindfleisch vom Bauer Hansen, wird transportiert durch den Spediteur XY und wird dann hinterher zubereitet von einem, der andere nimmt die Bestellung entgegen, und, und, und.
Die Firmen müssen sich hacken lassen durch jemand, der ihre Interessen vertritt. Das heißt, die Firma lässt einen Penetrationstest durchführen, dann werden die Schwachstellen gefunden und daraufhin behoben. Als hätte der Fahrradschlauch Ihres Fahrrads ein Loch, dann gucken Sie, wo das Loch ist, packen einen Kleber drauf und gut ist. Aber der Mensch ist die größte Schwachstelle, das größte Risiko.
Phishing haben wir bereits erwähnt. Da gibt es aber natürlich auch Phishing per Telefon. Es gibt Social-Engineering-Attacken, wo Mitarbeiter angerufen werden, verführt werden, irgendwas zu tun, irgendwo drauf zu klicken. Oder gezielt fallen gelassene USB-Sticks, die jemand mit dem Ziel zu helfen irgendwo einsteckt. Dass eine Funktastatur abgehört wird und man dann hinterher die Passwörter des Mitarbeiters hat und dann gleich auf die Systeme drauf kann. Da ist der Kreativität der Täter keine Grenze gesetzt.
Ich denke, die Unternehmen sind sich schon bewusst, dass da was passiert. Aber man kann dem nur beikommen, wenn man Cybersecurity richtig ernst nimmt. Das setzt voraus, dass man A Geld hat und B willens ist, echte Veränderungen zu machen. IT-Sicherheit ist flankiert mit unattraktiven Maßnahmen: Die IT wird schwieriger. Ich muss zwei Passwörter angeben, dann muss man alte Systeme abschalten…
Sie zahlt nur, wenn man überhaupt eine Versicherung hat. Nur bis zur Deckungssumme, die oftmals viel zu klein ist. Und tatsächlich auch nur, wenn das Unternehmen vorher eine anständige Sicherheit hatte. Wenn ein Unternehmen sich da grob fahrlässig verhält, gibt es viele Fälle, wo die Versicherung sagt, wir bezahlen nicht. Dann hat das Unternehmen möglicherweise über Jahre hinweg eine Cyberversicherung gekauft und die bezahlt nicht.
Das entscheiden hinterher die Richter – und die holen sich Sachverständige. Das Schlimme ist: Wenn man in der Retrospektive solche Incidents anguckt, dann sieht es immer so aus, als hätten die Unternehmen große Fehler gemacht.
Da haben Sie Recht, eine perfekte Sicherheit gibt es nicht. Aber das ist nicht schlimm. Der Sicherheitsgurt in meinem Auto kann auch nicht alle Verletzungen bei Autounfällen verhindern. Trotzdem wäre es Quatsch zu sagen, ich nehme den deswegen nicht, ich bau‘ den aus. Und eine Steigerung der IT-Sicherheit senkt das Risiko, das ich einpreisen muss. Auch Maßnahmen, die nicht vollumfänglich schützen, schützen sehr wohl – wie der Sicherheitsgurt. Ich will das Risiko managen. Ich will, dass die Investition in Cybersicherheit attraktiv ist. Wenn 10.000 Euro in Cybersicherheit investiere und dadurch den erwarteten mittleren Schaden um 20.000 Euro senke, dann war die Maßnahme attraktiv. Es gibt auch ein Zuviel an Sicherheit, das nicht mehr wirtschaftlich ist. Das sollten nüchterne wirtschaftliche Entscheidungen sein. Insgesamt sollte man etwa 18 Prozent der gesamten IT-Kosten für eine gute IT-Sicherheit des Unternehmens ausgeben.
Sich raushalten. Das ist ’ne Sache, die kann die Privatwirtschaft machen. Die IT ist ja im luftleeren Raum. Da ist Straubing genauso nahe an München wie Rio de Janeiro. Alles passiert im Cyberspace und die Regierung soll meiner Auffassung nach da nichts machen. Das ist nicht Aufgabe des Staates, das kann er auch gar nicht.
