Management

IT-Sicherheit & Hacking – Interview mit Stefan Karg

Im Rahmen der zur Zeit wachsenden Cyberattacken auf öffentliche, private und unternehmerische Ziele, haben wir bei AGITANO mehrere Experten der IT-Sicherheit zum Thema befragt.

Das fünfte Interview dieser Gesprächsrunde wurde mit Stefan Karg, Sachverständiger für Systeme und Anwendungen der Informationstechnik, geführt.


1. Zu Beginn eine Verständnisfrage. Was muss man sich unter dem Terminus „hacken“ bzw. „Hacker“ vorstellen?

Der Begriff "hacken" hat gleich zwei Bedeutungen – zum Einen kennzeichnet er eine schnelle oder besonders geschickte Programmierung (einen "Hack"), zum Anderen – und das ist die geläufigere Bedeutung – das unbefugte Eindringen in ein fremdes Computersystem. Ein "Hacker" ist also jemand, der unter Ausnützung von Schwachstellen in ein fremdes System eindringt, um dort Informationen auszuspähen, Daten zu manipulieren, Schaden anzurichten, oder auch einfach um seine Visitenkarte zu hinterlassen indem der Internetauftritt für jeden sichtbar geändert wird ("Website-defacement")

2. Das Internet und seine technischen Möglichkeiten entwickeln sich seit Jahren in rasender Geschwindigkeit. Analog dazu wird auch die IT-Sicherheit stetig verbessert. Und dennoch gibt es momentan immer wieder Meldungen über Cyberangriffe. Ist das „Hacken“ mit der Ausbreitung des Internets populärer geworden?

Ich glaube nicht unbedingt, dass das "hacken" an sich populärer geworden ist, es steht aber auch aufgrund einiger spektakulärer "Erfolge" der jüngsten Zeit, wie z.B. bei Sony PSN oder der GEMA verstärkt im Blickpunkt der Öffentlichkeit.

Hacker gibt es seit den Anfangszeiten der Rechnervernetzung (lesenswert dazu zum Beispiel der Doku-Roman "Kuckucksei" von Clifford Stoll über einen spektakulären Hack in den 80ern). Und auch Steve Jobs hat sich zusammen mit seinem Freund Steve Wozniak seine Sporen als Hacker verdient.

Das Mehr an Aufmerksamkeit führt aber natürlich zu gesteigerter Aktivität und zu Mitläufern. Zudem kommt dazu, dass es inzwischen regelrechte "Hacking-Baukästen" gibt, die "hacking" auch ohne großes Spezialwissen möglich gemacht haben.

3. Eine häufig in den Medien vertretene Gruppierung des neuen Online-Aktivismus ist „Anonymous“. Kann man dieses Kollektiv mit ihrer Mischung aus „hacken4fun“, digitalen Politaktivismus und Protest auf den Straßen als neuen Typus einer sozialen Bewegung einschätzen?

Was ich generell beobachte, ist eine Politisierung des Internets und seiner Möglichkeiten, insofern sehe ich das schon als eine neue soziale Bewegung. Der Protest hat sich von der Straße ins Netz verlagert – auch weil er dort viel wirksamer, bequemer und auch einfacher zu organisieren ist. Dazu kommt, dass für den einzelnen Aktiven in der anonymen Masse das persönliche Risiko gering ist, selbst bei Straftaten wie Computersabotage. Man muss sich auch nicht an allen Aktionen beteiligen oder eine feste Mitgliedschaft haben, man wir einfach sozusagen zweckgebunden und spontan Teil des Kollektivs.

Die Aktionen von Anonymous oder LulzSec werden zwar in den einschlägigen Plattformen oft als "nur zum Spaß" ("for the lulz") deklariert, haben aber zumeist einen handfesten politischen Hintergrund. Beispiele hierfür sind die Aktionen im Umfeld von Wikileaks, wo gezielt Unternehmen geschädigt wurden, die der Plattform ihre Unterstützung entzogen hatten. Hier wurde in einer konzertierten Aktion, einem sogenannten "distributed denial of service", unter anderem die Internetpräsenz von Mastercard ausser Gefecht gesetzt, indem viele tausend Einzel-PCs gleichzeitig Anfragen abgesetzt haben.

 4. Wo sehen Sie im Bereich der IT-Sicherheit die zukünftigen Herausforderungen für Unternehmen, die im Internet tätig sind bzw. die Präsenzen im Internet haben?

Erfahrungsgemäß müssen in vielen Firmen zunächst die Hausaufgaben in diesem Bereich gemacht werden, und damit meine ich wirklich grundlegende Dinge.IT-Sicherheit ist kein lästiger Kostenfaktor, sondern Chefsache – auch wenn das viele Geschäftsführer nicht gerne hören. Das Thema muss aber von oben her entsprechende Unterstützung haben, sonst steht man hier auf verlorenem Posten. Sowohl bei HBGary als auch bei Nortel waren Schwachstellen unter anderem übrigens die Passworte der Führungsebene — soetwas zu vermeiden kostet in der Regel noch nicht einmal etwas.

Man kann generell einen Trend hin zu gezielten Attacken und zu geschicktem Social Engineering, also dem Ausnutzen der Schwachstelle "Mensch", erkennen. Wenn die Mitarbeiter entsprechend geschult und sensibilisiert sind, sinkt das Risiko für einen erfolgreichen Angriff erheblich.

5. Mittlerweile häufen sich Mutmaßungen über staatlich finanzierte Cyberangriffe. Muss man damit rechnen, dass es in naher Zukunft einen „kalten“ oder sogar „heißen“ Krieg zwischen verschiedenen Nationen oder Interessengruppen im Internet geben wird?

Ich glaube, hier sind wir bereits mittendrin. Stuxnet und Duqu sind hier die prominenten öffentlich gewordenen Beispiele, von Stuxnet wird angenommen dass damit gezielt Iranische Atomtechnologie gestört werden sollte.

Letzte Woche wurde über einen erfolgreichen gezielten und langfristigen Angriff mutmaßlich chinesischer Herkunft auf Nortel berichtet.Die Dunkelziffer ist jedoch viel höher – zum Einen weil weder Staaten noch Unternehmen ein besonderes Interesse haben, einen Vorfall öffentlich zu machen – zum Anderen weil man davon ausgehen darf, dass die "Angreiferseite", also staatliche Stellen und Nachrichtendienste über entsprechendes Fachwissen und ausreichende Ressourcen verfügen um häufig unentdeckt zu bleiben.

Vielen Dank Herr Karg für die interessanten Ausführungen.

 

Das Interview führte Oliver Foitzik (Herausgeber AGITANO / Geschäftsführer FOMACO GmbH).

Der Autor:

Stefan Karg studierte Informationstechnik an der TU-München und ist nach mehreren beruflichen Stationen im IT-Bereich heute als freiberuflicher Sachverständiger und Berater mit Schwerpunkt Informationssicherheit und Datenschutz tätig. Dabei arbeitet er erfolgreich an der Schnittstelle zwischen Recht und Technik. Als erfahrener Auditor unterstützt er seine Kunden bei Bestandsaufnahme und Weiterentwicklung der Informationssicherheit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.