IT-Security

Ex-Hacker über Opfer von Cyberattacken: «Der Chef hat leider keine Ahnung»

ielscheibe von Hackerangriffen sind heutzutage alle: Einzelpersonen, KMU, Grosskonzerne. Beispiele gibt es viele. (Symbolbild)

ielscheibe von Hackerangriffen sind heutzutage alle: Einzelpersonen, KMU, Grosskonzerne. Beispiele gibt es viele. (Symbolbild)

Immer mehr Firmen werden Opfer von Hacker-Angriffen – doch sie tun sich schwer, Hilfe zu holen. Einer, der sich im Bereich der IT-Security-Branche bestens auskennt, ist Gunnar Porada. Der Ex-Hacker und Inhaber der Beratungsfirma Innosec im Interview.

Zielscheibe von Hackerangriffen sind heutzutage alle: Einzelpersonen, KMU, Grosskonzerne. Beispiele gibt es viele. Da ist der Filmkonzern Sony, dessen Computersysteme im vergangenen November gehackt, dabei interne Dokumente sowie E-Mails veröffentlicht wurden. Da ist ein Freiburger KMU, von dessen Konto Hacker im Januar mithilfe eines Virus-infizierten E-Mails eine Million Franken raubten. Oder da ist der französische Fernsehsender TV5 Monde, der im April von Hackern der Terrororganisation Islamischer Staat angegriffen und über Stunden vollständig zum Erliegen gebracht wurde.

Einer, der sich im Bereich der ITSecurity-Branche bestens auskennt, ist Gunnar Porada. Ex-Hacker und Inhaber der Beratungsfirma Innosec. Die «Nordwestschweiz» hat ihn am Rande eines Cyberkriminalitätsanlasses des Risikoberaters und Versicherungsbrokers Funk Insurance Brokers AG getroffen.

Herr Porada, die Fälle von Cyberkriminalität häufen sich. Immer mehr Unternehmen geraten ins Visier. Ist den Firmen die Bedrohung durch Hacker-Angriffe überhaupt bewusst?

Gunnar Porada: Ich stamme aus einer Zeit, in der sich viele noch nicht eingestanden haben, dass es Hacker überhaupt gibt. Heute sorgen die Medien dafür, dass Angriffe publik werden. Die Leute beginnen, sich Gedanken darüber zu machen. Jedoch müssen wir Experten einbeziehen, die uns helfen, die Komplexität zu verstehen. Das Thema Sicherheit muss Teil der Firmenkultur sein. Bloss tun sich die meisten Unternehmen damit schwer. Sie glauben, dass sie das Problem der Cyberkriminalität selber wegstecken können – sie haben ja bis heute auch überlebt.

Und warum holen sich Firmen keine Hilfe ein?

Einer der Gründe ist, dass die Experten teilweise Leute sind, mit denen ein Chef nicht sprechen möchte. Freaks, die komisch aussehen und reden, vielleicht auch selten duschen. Dieser Abstand zwischen Unternehmen und Know-how-Trägern ist extrem gross. Zudem gibt es ein Mentalitätsproblem: Da kommt der junge Bubi, der dem alteingesessenen Chef auf einmal das Leben retten soll. Der Chef will sich aber nicht einreden lassen, dass er von der Sache keine Ahnung hat. Aber das ist leider so. Wir haben eine Reihe von Baustellen, die dafür sorgen, dass Hacker es relativ einfach haben.

Vor welchen Angriffen müssen sich Unternehmen denn fürchten?

Die Art des Angriffs hängt vom Ziel ab, das ein Hacker attackieren will. Er kann eine Firma nicht nur direkt, sondern auch intern angreifen, er kann sich über die Kommunikation Zutritt verschaffen oder diese unterbinden. Auch gibt es den sogenannten Man-in-the-middle-Angriff, zu Deutsch Mittelsmannangriff. Damit ist gemeint, dass ein Hacker die eigentliche Schutzfunktion des anzugreifenden Objekts nicht überwunden hat, sich aber die berechtigte Person abfängt und deren Zugangsdaten klaut.

Können Sie ein Beispiel nennen?

Einem Hacker fehlt die Berechtigung zum Online-Banking. Er versucht, an die Zugangsdaten zu kommen, indem er beispielsweise einen falschen Server vorspielt. Das Opfer gelangt also zunächst auf die Startseite des Online-Bankings. Sobald sich die Person aber einloggt, wird sie auf den Rechner des Angreifers umgeleitet, der damit Zugang zu den Daten erhält. Danach kann sich der Hacker auf der Seite des Online-Bankings anmelden und ungestört das Konto plündern.

Wie kann sich eine Firma oder auch ein Privater vor Hackern schützen?

Die zehn Gebote der IT-Sicherheit gibt es nicht. Wenn wir die hätten, dann wären wir alle Probleme los. Ein wichtiger Punkt ist aber das Missverständnis oder auch die Hoffnung, die viele von uns haben: Dass sich die anderen um die Sicherheit kümmern. Das ist ein Trugschluss.

Warum?

Der Unternehmer glaubt, dass sich sein Provider um die Sicherheit kümmert. Der Mitarbeiter glaubt, dass sich seine Vorgesetzten darum kümmern. Die Leute, welche die Verantwortung tragen, haben in fast allen Fällen kein Know-how in diesem Umfeld. Sie versuchen, dieses zu delegieren. Aber Sicherheit lässt sich schwierig delegieren. Denn mit jedem Schritt sinkt die Motivation. Warum soll sich der Mitarbeiter an der untersten Kette der Firma so viele Gedanken um die Sicherheit machen, obwohl dieser technisch gesprochen viel näher an der Problematik dran ist als der ganz oben?

Was sollte Ihrer Meinung nach also geschehen bei den Firmen?

Unternehmen müssen eine andere Fehlerkultur zulassen. Gerade bei grösseren Firmen fliegen die Leute schnell raus, wenn sie einen Fehler machen. Sicherheitsprobleme kehrt man gleich unter den Teppich, das kann verheerende Auswirkungen haben. Viele grosse Konzerne wurden aufgrund dessen fast zerschlagen. So hat etwa Sony, nachdem Hacker im November ins Firmennetz eingedrungen sind, extrem Mühe, wieder auf die Beine zu kommen.

Die Unternehmen zahlen also den Preis, wenn sie das Thema Sicherheit vernachlässigen.

Der Schaden ist unendlich. Genauso, wie Firmen unendlich viel für Sicherheit ausgeben können. Die Frage ist, wie man das gesunde Mass finden kann. Eine 100-prozentige Sicherheit gibt es nicht. Aber wir können den Aufwand erhöhen, den ein Krimineller betreiben muss, um uns zu attackieren. Deshalb ist es wichtig, Experten ins Boot zu holen.

Verwandte Themen:

Meistgesehen

Artboard 1