Cybercrime
IT-Experte: «Aargauer Unternehmen sind durch Hackerangriffe besonders gefährdet»

Informatik-Professor Hannes Lubich nutzt kein Smartphone und für E-Banking benutzt er einen Safe. Der Aargau mit seinen technologisch orientierten KMU ist in seinen Augen ein attraktives Ziel für Cyberattacken.

Manuel Bühlmann
Merken
Drucken
Teilen
Hannes Lubich in einem Schulungsraum der Fachhochschule Nordwestschweiz in Brugg, wo er als Professor und Berater arbeitet.

Hannes Lubich in einem Schulungsraum der Fachhochschule Nordwestschweiz in Brugg, wo er als Professor und Berater arbeitet.

Mario Heller

So modern wie der Brugger Campus-Bau waren auch die Mobiltelefone in den Glasvitrinen vor noch nicht allzu langer Zeit. Doch dann sind sie Opfer des rasanten technologischen Fortschritts geworden – und endeten als Ausstellungsstücke auf dem Gang vor Hannes Lubichs Büro an der Fachhochschule Nordwestschweiz. Der 54-Jährige ist Professor für Informatik und beschäftigt sich seit Jahrzehnten mit Fragen zur Sicherheit im Internet. Für das Interview bittet er ins kleine Sitzungszimmer seines Instituts – ganz ohne moderne Technologie.

Auch Lubichs Handy würde wohl schon als Museumsobjekt durchgehen: ein altes Nokia-Modell, ohne Internet, ohne Apps, ohne Mailaccount. Er verzichte bewusst auf die Vorzüge eines Smartphones, sagt Lubich und erklärt im Gespräch, wieso die Gefahr von Hacker-Attacken zunehmen wird, der Aargau mit seinen KMU besonders unter Druck geraten könnte und er trotzdem optimistisch in die Zukunft blickt.

Herr Lubich, wie lange bräuchten Sie, um die Website der «Schweiz am Sonntag» zu hacken?

Hannes Lubich: Lahmlegen geht in ein paar Minuten. Hacken, im Sinne von Inhalt ändern, wäre aufwendiger. Da würde ich wohl einige Tage investieren und Schwachstellen suchen müssen.

Passwörter von 6000 E-Mail-Konten im Umlauf; Cyberangriffe auf grosse Firmen in der Schweiz; gestohlene Adressen von der SVP-Website. Dies sind nur einige Meldungen der letzten Tage. Was ist da los?

Im Moment haben wir in der Schweiz zwei Angriffswellen. Einerseits Denial-of-Service-Attacken, bei denen das System mit einer grossen Zahl von Anfragen überlastet wird. Andererseits werden Unternehmen vermehrt durch Cryptolocker angegriffen. Diese Software verhält sich wie ein Virus und verschlüsselt Dokumente. Den Schlüssel bekommen die Betroffenen nur gegen Bezahlung eines Lösegelds.

Welche Reaktion ist richtig?

Für mich ist interessant, wie die angegriffenen Firmen im Moment reagieren. Viele von ihnen scheinen sich diese Frage im Voraus nicht gestellt zu haben. Sie haben keinen Plan, der sich bei Bedarf sofort umsetzen liesse. Läuft der Angriff, können die Daten nicht mehr auf einen anderen Server oder zu einem externen Service-Anbieter gezügelt werden. Dann ist es zu spät.

Zur Person

Hannes Lubich, 1961 in Hamburg geboren, hat nach seinem Informatikstudium in verschiedenen Funktionen im IT-Sicherheitsbereich gearbeitet – unter anderem als stellvertretender Direktor der Bank Julius Bär. Während zehn Jahren war er Privatdozent an der ETH Zürich. Seit 2009 ist Lubich Professor für Informatik am Institut für Mobile und Verteilte Systeme der Hochschule für Technik an der Fachhochschule Nordwestschweiz in Brugg-Windisch. (SAS)

Kann sich ein Unternehmen überhaupt auf einen Hackerangriff vorbereiten?

Ein Unternehmen braucht einen Notfallplan. Die Verantwortlichen müssen sich vor einem Angriff überlegen, was sie machen. Zahlen sie Lösegeld? Das sollte man zwar lieber nicht tun, aber vielleicht ist es die einzige lebensrettende Massnahme für die Firma. Sitzen sie den Angriff aus und warten, bis sie die Dokumente vom Back-up rekonstruiert haben? Kann man machen, dabei gehen jedoch Daten verloren. Oder treffen sie Schutzmassnahmen? Das bedeutet aber auch, präventiv Aufwand zu betreiben und Geld in die Hand zu nehmen.

Und gegen die Hacker strafrechtlich vorgehen ist keine Möglichkeit?

In beiden Fällen sind die Täter kaum zu finden, weil sie die Angriffe über mehrere Transitländer laufen lassen. Sie nutzen dazu Staaten mit schlecht entwickelter Rechtspflege. Die Spuren zurückzuverfolgen, bringt einen monatelangen Aufwand mit sich – ohne grosse Aussichten auf Erfolg.

Ein Verbrechen ohne Risiken?

Genau. Früher musste man zur Bank, um sie zu überfallen – heute geht das ohne physisches Risiko für den Angreifer. Cybercrime ist inzwischen eine Dienstleistung. Man kann Hacker mieten, etwa um einem Konkurrenten zu schaden oder Unternehmen zu erpressen. Das Problem für Hacker: Wird der Angriff bekannt, könnten Trittbrettfahrer Geld fordern. Solche könnte es auch bei den jüngsten Attacken geben.

Angriffe über das Internet werden zum lohnenden Geschäft?

Absolut. Schätzungen gehen davon aus, dass Cybercrime inzwischen gleich viel Umsatz erzielt wie der weltweite Drogenhandel: 300 bis 500 Milliarden Franken pro Jahr. Das organisierte Verbrechen hat dieses Geschäftsfeld für sich entdeckt: wenig Risiko, hohe Gewinne.

Wenn nicht einmal Grossfirmen davor sicher sind, wie können sich kleinere und mittlere Unternehmen (KMU) schützen?

Wehren können sie sich nicht wirklich. KMU haben erstens meist das Wissen nicht, und zweitens sind sie nicht rund um die Uhr vor Ort oder auf Pikett, um einen Angriff sofort erkennen zu können.

Ist die Gefahr für KMU speziell gross?

Ich denke schon. Sie haben durchaus Geschäftsgeheimnisse zu wahren, besitzen aber wenig Ressourcen für deren Verteidigung. Hinzu kommt: Wird ein KMU nur einmal stark genug geschädigt, kann dies seine Existenz bedrohen. Etwa dann, wenn geheime Informationen gestohlen werden, womit ihr Produkt woanders günstiger hergestellt werden kann. Der Kanton Aargau mit seinen vielen technologisch orientierten KMU ist in dieser Hinsicht besonders gefährdet.

Wie häufig kommt es zu Attacken?

Man schätzt, dass pro Woche in der Schweiz einige hundert Angriffe erfolgen, auch im Aargau kommt es entsprechend seiner Bedeutung als Wirtschaftsstandort immer wieder dazu. Die meisten sind jedoch ungezielt und spekulieren auf Zufallsopfer. Die Dunkelziffer ist allerdings extrem hoch. Viele Unternehmen haben Angst, das Bekanntwerden eines Angriffs könnte imageschädigend sein, oder sie bemerken ihn nicht einmal.

Von betroffenen Privatpersonen hingegen hört man immer wieder. Was ist der schlimmste Fehler?

Todsünde Nummer 1: Das gleiche Gerät für alle Arten von Arbeiten nutzen. Zum Surfen, Downloaden, Ausfüllen von Steuererklärungen. Das bedeutet aber nicht, dass ich zu Hause plötzlich fünf Computer brauche. Stattdessen kann ich neben aktuellem Malware-Schutz und Firewall zusätzlich eine simple und kostenlose Software installieren, die virtuelle Maschinen mit mehreren Betriebssystemen auf einem Gerät erlaubt. Dadurch werden die Risiken zumindest isoliert.

Der Grossteil der Leute wird kaum so vorsichtig handeln.

Natürlich. Jeder Hersteller wirbt damit, dass alles auf einem Gerät funktioniert und leicht handhabbar ist. Das ist – solange es läuft – unglaublich komfortabel. Ich bin da relativ extrem und verzichte auf ein Smartphone. Jedes Mal wenn ich im Swisscom-Shop stehe, lachen die Verkäufer und wollen mein Handy fürs Museum. Ich bezahle die Sicherheit mit Verlust an Funktionalität und Komfort.

Sie haben mal in einem Interview gesagt, Sie seien paranoid geworden.

Ich bin seit 30 Jahren im Geschäft. Ich bin sehr paranoid.

Wie zeigt sich das?

Etwa beim E-Banking. Ich habe Konten auf verschiedenen Banken, aber nur bei einer einen Onlinezugang. Wenn ich online Zahlungen mache, geschieht das auf einer virtuellen Maschine, die gar nicht auf dem PC gespeichert ist, sondern auf einem Memorystick, den ich in einem Tresor lagere und nur fürs E-Banking verwende.

Sie zeichnen ein eher düsteres Bild. Müssen wir uns Sorgen machen?

Absolut. Die Geschwindigkeit bei der Entwicklung neuer Technologien, die an die Konsumenten herangetragen werden, nimmt ständig zu. Heute wird ihnen eine technologische Änderung nach der anderen an den Kopf geworfen. Das Zeitfenster wird kleiner, um die Gesellschaft an die Neuerung zu gewöhnen. 50 000 Jahre für die Entwicklung der Sprache, 5000 Jahre für die Schrift, 500 Jahre Buchdruck, 50 Jahre Fernsehen, etwas mehr als fünf Jahre Internet als Massenphänomen – was immer jetzt kommt, fünf Minuten und dann ist es durch. Da kommt eine Gesellschaft nicht mehr nach.

Blicken Sie trotzdem optimistisch in die Zukunft?

Ja, Menschen sind viel anpassungsfähiger, als wir denken. Schon häufig wurde das Ende der Welt herbeigerufen – nur gekommen ist es nie.