Management

IT-Sicherheit & Hacking – Interview mit Steffen Bäuerle, Referent für Öffentlichkeitsarbeit mit Schwerpunkt IT-Sicherheit

Im Rahmen der zur Zeit wachsenden Cyberattacken auf öffentliche, private und unternehmerische Ziele, haben wir bei AGITANO mehrere Experten der IT-Sicherheit zum Thema befragt.

Das vierte Interview dieser Gesprächsrunde wurde mit Steffen Bäuerle, Referent für Öffentlichkeitsarbeit mit Schwerpunkt IT-Sicherheit für den Mittelstand bei „Deutschland sicher im Netz e.V.“, durchgeführt.

 

1. Zu Beginn eine Verständnisfrage. Was muss man sich unter dem Terminus „hacken“, beziehungsweise „Hacker“ vorstellen?

Nach dem allgemeinen Sprachgebrauch dringen Hacker unerlaubt über Netzwerke in Computersysteme ein. Dabei haben sie unterschiedliche Motive: während die einen Systeme knacken, um sich in der Szene zu profilieren, machen andere – sogenannte „Hacktivisten“ – über das Internet auf ihre gesellschaftlichen und politischen Ziele aufmerksam. Wiederum andere haben es auf das Geld oder das Knowhow ihrer Opfer abgesehen. In Bezug auf Hacker glauben mittelständische Unternehmen oftmals, sie seien zu klein und daher für Hacker ein unattraktives Ziel. Ein Trugschluss: Gerade kleinere Unternehmen sind im Gegensatz zu Großkonzernen oftmals weniger gut gesichert und daher für Hacker eine leichtere Beute. Dazu ein Beispiel: Ein Mitarbeiter einer hessischen Steuerberatungskanzlei öffnete, unzureichend für das Thema IT-Sicherheit sensibilisiert, eine mit einem Trojaner, das ist ein kleines schädliches Programm, infizierte PDF-Datei. Die Kriminellen konnten so die Tastatureingaben der PCs in der Kanzlei protokollieren und unbemerkt Dokumente, E-Mails und Daten zur Kenntnis nehmen. Monate später forderten die Erpresser von der Kanzlei 100.000 Euro – ansonsten würden sie die erschlichenen Mandantendaten im Internet veröffentlichen. Die Kanzlei bezahlte.

Vergleichbare Fälle gibt es über alle Branchen hinweg – öffentlich werden sie nur selten, da die Opfer glauben, durch Verschweigen einen noch größeren finanziellen Schaden oder Imageverlust von sich abzuwenden. Hacker nutzen aber nicht nur technische Sicherheitslücken aus. Sie versuchen etwa auch, das Vertrauen von Mitarbeitern in Unternehmen zu erschleichen, um so an Passwörter zu gelangen und so in die Computersysteme einzudringen. Beispielsweise indem sie sich als Servicemitarbeiter eines IT-Dienstleisters ausgeben. Diese Masche zählt man zum sogenannten „Social Engineering“. Sicherheitsmaßnahmen müssen daher immer technischer und organisatorischer Art sein. Die Schulung und Sensibilisierung von Mitarbeitern hat eine hohe Priorität.

2. Das Internet und seine technischen Möglichkeiten entwickeln sich seit Jahren in rasender Geschwindigkeit. Analog dazu wird auch die IT-Sicherheit stetig verbessert. Und dennoch gibt es momentan immer wieder Meldungen über Cyberangriffe. Ist das „Hacken“ mit der Ausbreitung des Internets populärer geworden?

Die steigende Vernetzung hat sicher einen Einfluss auf die Anzahl an Hackern. Dazu kommt, dass die zunehmende Digitalisierung der Geschäftswelt zu mehr potenziellen Angriffszielen führt, die geschützt werden müssen. Dennoch gilt generell: Innovative Informations- und Kommunikationstechnologien schaffen für Unternehmen enorme Wachstums- und Beschäftigungsmöglichkeiten – wenn dabei einige Grundregeln beachtet werden. Dabei muss den Unternehmen klar sein: IT-Kriminalität ist heutzutage ein lukratives Geschäft und professionell organisiert. Es ist naiv zu glauben, dass technische Sicherheitsinnovationen Hacker abhängen oder unschädlich machen. Sicher schränken sie deren Aktivitäten in manchen Bereichen ein, aber die Hacker-Gemeinde entwickelt sich parallel zu den technischen Innovationen rund um IT-Sicherheit weiter. Auch auf deren Seite sitzen absolute Profis, die nicht nur über ein sehr gutes Technik-Know-how verfügen, sondern auch über immenses bereichsspezifisches Wissen: sie kennen die aktuelle verwendete Software einzelner Branchen sowie deren Geschäftsabläufe im Detail. Daran richten sie ihre Angriffe gezielt aus – sei es auf eine Arztpraxis, eine Anwaltskanzlei, ein Logistik- oder Versicherungsunternehmen sowie ein Hotelbetrieb oder sonst ein Unternehmen. Im Grunde kann man von einem Wettlauf zwischen Hackern und Sicherheitsdienstleistern sprechen. Daher ist IT-Sicherheit kein Zustand, den man einmal herstellt, sondern ein Prozess der neue Bedrohungen berücksichtigen muss.

Steffen Bäuerle

3. Eine häufig in den Medien vertretene Gruppierung des neuen Online-Aktivismus ist „Anonymous“. Kann man dieses Kollektiv mit ihrer Mischung aus „hacken4fun“, digitalen Politaktivismus und Protest auf den Straßen als neuen Typus einer sozialen Bewegung einschätzen?

Anonymous ist keine feste Organisation, sondern ein Aktionsnetzwerk, das sich kurzfristig zusammenschließt, um gemeinsame Ziele zu erreichen. Die Koordination dafür erfolgt ad hoc über Foren, soziale Netzwerke, Blogs oder Twitter. Das ist in diesem Ausmaß sicher eine recht neue Erscheinung. Die Angriffe richten sich oftmals gegen staatliche Institutionen, wie Geheimdienste, aber auch gegen globale Wirtschaftsunternehmen, wie Kreditkartenkonzerne oder Webseiten rechtradikaler Gruppierungen als auch von Sekten.

Klassische mittelständische Unternehmen stehen hier nicht im Fokus. Wichtig ist für diese vielmehr ein angemessenes Niveau für ihre IT-Sicherheit zu schaffen und aufrechtzuerhalten. Dabei erhöhen schon einfache Mittel die IT-Sicherheit maßgeblich. Beispielsweise der richtige Umgang mit mobilen Endgeräten, wie Smartphones oder Tablet-PCs oder sicher verschlüsselte E-Mails. Unverschlüsselte E-Mails, wie sie die meisten täglich versenden, werden in Textform verschickt und können von Unbefugten einfach mitgelesen werden. Da eine E-Mail in der Regel über mehrere Systeme läuft, ist der gängige Vergleich, dass eine E-Mail unsicherer ist als eine Postkarte, durchaus gerechtfertigt. Zumal E-Mail-Daten, die etwa von Berlin nach Hamburg verschickt werden, nicht immer den direkten Weg gehen: sie suchen sich im Netz freie Leitungen. Diese können auch durch unsichere Drittstaaten führen. Das kann bei geschäftlichen E-Mails fatale Folgen haben.

Um einen ersten Überblick über die IT-Sicherheit im eigenen Unternehmen zu bekommen bietet „Deutschland sicher im Netz e.V.“ auf seiner Webseite einen kostenlosen Online-IT-Sicherheitscheck unter der Adresse www.sicher-im-netz.de/sicherheitscheck an. Dieser umfasst zwanzig Fragen, dauert wenige Minuten und zeigt individuelle technische und organisatorische Lösungen zur Verbesserung der eigenen Datenschutz- und IT-Sicherheitslage auf.

4 . Wo sehen Sie im Bereich der IT-Sicherheit die zukünftigen Herausforderungen für Unternehmen, die im Internet tätig sind bzw. die Präsenzen im Internet haben?

Ein großes Thema ist und bleibt „Mobility“, das unmittelbar mit der Internetnutzung zusammenhängt. Dazu zählt beispielsweise die Integration von durch Mitarbeiter genutzten Smartphones oder Tablet-PCs in die bestehende IT-Infrastruktur. Doch genau an dieser Stelle haben kleine und mittlere Unternehmen Nachholbedarf: In der Kommunikation über E-Mail und mobile Endgeräte vernachlässigen sie die IT-Sicherheit, so das Ergebnis der Studie „IT-Sicherheitslage im Mittelstand 2011“ von „Deutschland sicher im Netz e.V.“.

Um wettbewerbsfähig zu bleiben, müssen sie sich jedoch zwangsläufig dem Thema „Mobility“ auseinandersetzen: Der Trend, dass Mitarbeiter ihre private Hardware auch geschäftlich nutzen und von zu Hause oder aus dem Urlaub auf ihre geschäftlichen E-Mails und Firmendaten zugreifen ist nicht zu stoppen, ohne dadurch die Motivation der Mitarbeiter zu beeinträchtigen. Neben enormen Potenzialen, wie mehr Arbeitskomfort, erhöhte Mobilität und Flexibilität bringt die Entwicklung neue Risiken. Sei es durch eine Virusinfektion auf einem privaten Smartphone, das auch beruflich genutzt wird und so das Firmennetz gefährden kann oder durch das unbedachte Nutzen eines ungesicherten, drahtlosen Netzwerkes, das es Unbefugten leicht macht an übermittelte Daten zu gelangen. Wie einfach das ist, zeigen Youtube-Videos, wie etwa „Livehacking von Mark Semmler“. (Anm.: http://www.youtube.com/watch?v=saFiOReXOnU)

5. Mittlerweile häufen sich Mutmaßungen über staatlich finanzierte Cyberangriffe. Muss man damit rechnen, dass es in naher Zukunft einen „kalten“ oder sogar „heißen“ Krieg zwischen verschiedenen Nationen oder Interessengruppen im Internet geben wird?

Anzunehmen ist, dass einige Staaten sich darauf vorbereiten Cyber-Angriffe als eine Waffe zu nutzen, um sich so entscheidende Politik- und Wirtschaftsinformationen zu verschaffen. Wirtschaftsspionage oder -manipulation können ganzen Nationen oder Regionen enormen Schaden zufügen. Ein besonders attraktives Ziel sind hochtechnologisierte Länder, die vom Internet abhängen. Dabei sind heutige IT-Systeme derart komplex, dass sich eine absolute Sicherheit nicht herstellen lässt. Beispielsweise werden Börsenkurse, die wir als Zahlen und Grafiken präsentiert bekommen, durch riesige Computersysteme generiert. Steigt oder fällt der Aktienkurs, hat dies unmittelbare Auswirkungen und oftmals gravierende Konsequenzen auf die Märkte. Wann würde es jemandem auffallen, wenn bestimmte Kurse durch eine Hacking-Manipulation um zwei oder drei Punkte fallen? Wirtschaftlich hätte eine solche Manipulation unter Umständen gewaltige Folgen.

Vielen Dank Herr Bäuerle für die interessanten Ausführungen.

Das Interview führte Oliver Foitzik (Herausgeber AGITANO / Geschäftsführer FOMACO GmbH).

Steffen Bäuerle

Der Autor:

Steffen Bäuerle ist Referent für Öffentlichkeitsarbeit mit Schwerpunkt IT-Sicherheit für den Mittelstand bei „Deutschland sicher im Netz e.V.“ (DsiN). Dort betreut Steffen Bäuerle das Pilotprojekt von DsiN und der Task Force „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Technologie, welches Steuerberater und Wirtschaftsprüfer als Multiplikatoren für IT-Sicherheit ausbildet. Zuvor war er als externer Kommunikationsberater in der politischen Kommunikation für mehrere Ministerien auf Bundes- und Landesebene sowie für internationale Managementberatungen aus den Bereichen Informations- und Kommunikationstechnologie und Software tätig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.