„Kein Multifaktor – kein Mitleid“

Georg Janko, Cyber-Security Experte bei HVS Consulting, spricht über Cybersicherheit in deutschen Handwerksbetrieben.


Herr Janko, Sie haben ja einen ganz guten Überblick über die Cybersicherheit in deutschen Handwerksbetrieben. Wie gut sind sie aufgestellt?

Georg Janko, Cyber-Secu­rity Experte bei HVS Consulting

Wir merken, dass das Thema Cyber Secu­rity nicht nur die großen Unter­nehmen betrifft, sondern auch die Kleinen erwischt. Es gibt zahl­reiche Vorfälle bei Hand­werks­be­trieben, Herstel­lern und Zulie­fe­rern. Den Angrei­fern ist es in erster Linie egal, wen es erwischt, denn es geht ja gar nicht immer darum, dass sensible Infor­ma­tionen gestohlen werden, sondern es geht meis­tens nur ums Geld. Die Diebe hacken die Computer der Betriebe, stehlen sensible Daten und verlangen dann ein Löse­geld dafür, dass Sie diese Daten wieder zugäng­lich machen. So blockieren sie Arbeits­ab­läufe und legen den Betrieb erstmal komplett lahm.

Das heißt, die Diebe stehlen Daten nicht nur, sondern verschlüsseln sie auch oder sorgen dafür, dass sie unbrauchbar werden?

Hier erleben wir eine Evolu­tion. Zunächst haben die Diebe die Daten nur verschlüs­selt und für das Entschlüs­seln Löse­geld verlangt. Dieses Geschäfts­mo­dell hat eine Weile funk­tio­niert, aber die Unter­nehmen haben sich gewappnet und ange­fangen, ihre Daten doppelt zu sichern, um nicht auf die verschlüs­selten Daten ange­wiesen zu sein.

„Wenn sensible Daten ausge­lesen wurden und das Unter­nehmen ein Problem mit dem Daten­schutz bekommen könnte, wird es für die Betriebe problematisch.“

Also gingen die Angreifer einen Schritt weiter. Sie laden die Daten erst einmal in ihre eigene Cloud hoch und drohen dann nicht nur damit, sie verschlüs­selt zu lassen, wenn nicht gezahlt wird, sondern auch mit deren Weiter­ver­kauf im Darknet. Dort exis­tieren ganze Listen – soge­nannte „walls of shame“ – von Firmen, deren Daten zum Verkauf stehen. Man kann danach suchen, was für Daten erwischt wurden und zu welchem Preis man sie erwerben kann. Wenn sensible Daten ausge­lesen wurden und das Unter­nehmen ein Problem mit dem Daten­schutz bekommen könnte, wird es für die Betriebe proble­ma­tisch. Dann kann der Fall unter Umständen eine andere Dimen­sion bekommen. Deshalb ist es wirk­lich elementar, seine Online-Zugänge abzu­si­chern, um einfa­ches Eindringen den damit verbun­denen Aufwand zu verhindern.

Ist es denn wirklich so schlimm, wenn meine Daten erbeutet wurden?

Was sind denn sichere Zugänge?

Sobald es um Online-Services geht, sollten Zugänge unbe­dingt über Multi­faktor abge­si­chert sein. Das bedeutet, dass man neben einem Benut­zer­namen und einem Pass­wort noch einen weiteren Faktor hat, zum Beispiel über eine App auf dem Smart­phone. Über so ein System bekommt man dann zusätz­lich einen Zahlen­code ange­zeigt, den man eingeben muss. Selbst wenn Hacker in den Besitz von Zugangs­daten wie Benut­zer­name und Pass­wort kommen, müssten sie auch diesen zusätz­li­chen Faktor haben, und das ist ziem­lich unwahr­schein­lich. Multi­faktor-Authen­ti­fi­zie­rung ist ein wirk­li­ches Basis­ele­ment der Sicher­heit. Ich sage immer: Kein Multi­faktor, kein Mitleid.

Sind die normalen USB-Sticks, die lange Zeit gebräuchlich waren, heute wirklich so „böse“?

USB-Sticks sind nicht per se böse. Proble­ma­tisch ist der Inhalt, der kann „böse“ sein, wenn so ein Stick Schad­soft­ware enthält. Denn was muss ein Mensch unbe­dingt tun, wenn er einen USB-Stick findet? Richtig! Schauen, was drauf ist. 
Der USB-Stick stirbt unseres Erach­tens aber ohnehin aus und wird durch die Cloud Services ersetzt, die wirk­lich sehr viel Spei­cher­ka­pa­zität haben. So ist es sehr einfach, Daten auszu­tau­schen. Bei Angriffen über Schad­soft­ware auf USB-Sticks sehe ich den Hand­werker ohnehin nicht im Fokus. Für externe Angreifer ist es viel leichter, per Mail einen Schad­code unter­zu­bringen. Das trifft eher auf große Unter­nehmen zu, wo leider zu oft die Neugier siegt und irgend jemand aus der Beleg­schaft etwas anklickt, das dann großen Schaden anrichtet.

„Die E‑Mail ist tatsäch­lich das Haupt­ein­fallstor für Angreifer.“

Was sind die klassischen Einfallstore in die Unternehmens-IT?

Die E‑Mail ist tatsäch­lich das Haupt­ein­fallstor für Angreifer. Wenn man weiß, wohin man schauen muss, hat man oft eine große Chance, dabei gut von böse zu unter­scheiden. Als erstes sollte man die E‑Mail-Adresse des Absen­ders genau anschauen, ob es wirk­lich die rich­tige Adresse ist. Dann muss der Inhalt plau­sibel sein. Aufpassen sollte man dann immer auf mögliche Links und diese genau ansehen, bevor man sie öffnet. Glei­ches gilt für Anhänge. Manche Datei­an­hänge sind gerade dazu präde­sti­niert, Schad­soft­ware im Gepäck zu haben. Eine gesunde Skepsis ist nie verkehrt. Es gilt also gerade bei den tägli­chen Aufgaben, die Mitar­bei­tenden immer wieder zu sensibilisieren.

Welche Fehler sehen Sie im Zusammenhang mit Cybersicherheit in Unternehmen am häufigsten?

Wie sind diese Hackergruppen organisiert? Weiß man, wie sie agieren?

Das Hacken ist ein Geschäfts­mo­dell. Man darf nicht vergessen, dass es oftmals auch im Inter­esse der Angreifer ist, dass Sie Ihre Daten wieder bekommen, denn stellen Sie sich vor, es würde sich herum­spre­chen, dass Sie von der Hacker­gruppe xy nie wieder brauch­bare Daten bekommen würden. Dann würde keiner mehr bezahlen und damit wäre es kein Geschäfts­mo­dell mehr. Sie sind also tatsäch­lich auch oft auf ihre Repu­ta­tion bedacht.

Wie sind diese Hackergruppen organisiert?

Die Angreifer sind teil­weise orga­ni­siert wie ein Unter­nehmen. Sie mieten sich Büro­räume und haben einen, der den Hut auf hat. Dann gibt es Spezia­listen fürs Verschlüs­seln und fürs Entschlüs­seln, und jemanden, der die Kunden­kom­mu­ni­ka­tion über­nimmt. Sie bieten einen Live-Chat an: Wenn Sie Fragen haben, da können Sie oftmals sogar über den Preis verhan­deln. Das ist wie eine Orga­ni­sa­tion, die einem Nine-To-Five-Job nach­geht. Man merkt sogar, wenn sie eine hohe Auslas­tung haben. Dann gibt es Chat­ver­läufe, in denen sie mitteilen, dass man leider noch warten müsse, weil sie derzeit ein hohes Aufkommen an Bear­bei­tungs­fällen haben.

„Wenn Ihnen etwas seltsam vorkommt, sollten Sie argwöh­nisch sein, Vorsicht walten lassen und Profis fragen.“

Welche Reaktionen erleben Sie in Unternehmen, wenn diese sehen, wie leicht Sie mit Test-Hacks in ihre Systeme eindringen können?

Es ist tatsäch­lich sehr oft so, dass die Unter­nehmen erschro­cken darüber sind. Aber wir erleben aus diesem Grund großes Verständnis für unsere Maßnahmen. Wenn man die Gefahren aufzeigt, viel­leicht die eine oder andere Demons­tra­tion von einem eigenen Vorfall, erleben wir maxi­male Betrof­fen­heit. So gibt es in der Folge ein großes Verständnis für unbe­queme Maßnahmen wie lange Pass­wörter oder ähnliches.

Was war der skurrilste Phishing-Vorfall, an den Sie sich erinnern können?

Was ist das Abstruseste, was Ihnen in diesem Zusammenhang je begegnet ist?

Es gibt viele abstruse Sachen, aber einen Vorfall kann man wirk­lich heraus­greifen: Jemand bekam ein sehr lukra­tives Joban­gebot, konnte die Jobbe­schrei­bung auf seinem privaten Smart­phone aber nicht öffnen. Also hat er es an seinen Firmen­rechner weiter­ge­leitet, wo es der Viren­scanner sofort gelöscht hat. Eigent­lich hätte der Angriff jetzt zu Ende sein können, aber statt­dessen hat er sich beim Angreifer gemeldet und gesagt: Der Viren­scanner hat das Doku­ment gelöscht, kannst du mir ein neues schi­cken? Dann kam ein neues Doku­ment, das der Viren­scanner nicht mehr erkannt hat. Und dann war es passiert. Darum ist es so wichtig, mit Bedacht zu agieren. Wenn Ihnen etwas seltsam vorkommt, sollten Sie argwöh­nisch sein, Vorsicht walten lassen und Profis fragen.

Zur Person:

Georg Janko ist seit über 20 Jahren in der IT-Branche aktiv, unter anderem lange bei Micro­soft. Seit mehr als 10 Jahren berät er als Infor­ma­tion Secu­rity Consul­tant Unter­nehmen zu Themen wie Secu­rity Aware­ness und Infor­ma­ti­ons­klas­si­fi­zie­rung. Er sensi­bi­li­siert Führungs­kräfte und Beleg­schaft in Live Hacking Events und Workshops.

Georg Janko auf LinkedIn
hvs-consulting.de

Find ich gut
Hat Ihnen dieser Artikel gefallen?
  • Weitersagen: