Herr Janko, Sie haben ja einen ganz guten Überblick über die Cybersicherheit in deutschen Handwerksbetrieben. Wie gut sind sie aufgestellt?
Wir merken, dass das Thema Cyber Security nicht nur die großen Unternehmen betrifft, sondern auch die Kleinen erwischt. Es gibt zahlreiche Vorfälle bei Handwerksbetrieben, Herstellern und Zulieferern. Den Angreifern ist es in erster Linie egal, wen es erwischt, denn es geht ja gar nicht immer darum, dass sensible Informationen gestohlen werden, sondern es geht meistens nur ums Geld. Die Diebe hacken die Computer der Betriebe, stehlen sensible Daten und verlangen dann ein Lösegeld dafür, dass Sie diese Daten wieder zugänglich machen. So blockieren sie Arbeitsabläufe und legen den Betrieb erstmal komplett lahm.
Das heißt, die Diebe stehlen Daten nicht nur, sondern verschlüsseln sie auch oder sorgen dafür, dass sie unbrauchbar werden?
Hier erleben wir eine Evolution. Zunächst haben die Diebe die Daten nur verschlüsselt und für das Entschlüsseln Lösegeld verlangt. Dieses Geschäftsmodell hat eine Weile funktioniert, aber die Unternehmen haben sich gewappnet und angefangen, ihre Daten doppelt zu sichern, um nicht auf die verschlüsselten Daten angewiesen zu sein.
„Wenn sensible Daten ausgelesen wurden und das Unternehmen ein Problem mit dem Datenschutz bekommen könnte, wird es für die Betriebe problematisch.“
Also gingen die Angreifer einen Schritt weiter. Sie laden die Daten erst einmal in ihre eigene Cloud hoch und drohen dann nicht nur damit, sie verschlüsselt zu lassen, wenn nicht gezahlt wird, sondern auch mit deren Weiterverkauf im Darknet. Dort existieren ganze Listen – sogenannte „walls of shame“ – von Firmen, deren Daten zum Verkauf stehen. Man kann danach suchen, was für Daten erwischt wurden und zu welchem Preis man sie erwerben kann. Wenn sensible Daten ausgelesen wurden und das Unternehmen ein Problem mit dem Datenschutz bekommen könnte, wird es für die Betriebe problematisch. Dann kann der Fall unter Umständen eine andere Dimension bekommen. Deshalb ist es wirklich elementar, seine Online-Zugänge abzusichern, um einfaches Eindringen den damit verbundenen Aufwand zu verhindern.
Ist es denn wirklich so schlimm, wenn meine Daten erbeutet wurden?
Was sind denn sichere Zugänge?
Sobald es um Online-Services geht, sollten Zugänge unbedingt über Multifaktor abgesichert sein. Das bedeutet, dass man neben einem Benutzernamen und einem Passwort noch einen weiteren Faktor hat, zum Beispiel über eine App auf dem Smartphone. Über so ein System bekommt man dann zusätzlich einen Zahlencode angezeigt, den man eingeben muss. Selbst wenn Hacker in den Besitz von Zugangsdaten wie Benutzername und Passwort kommen, müssten sie auch diesen zusätzlichen Faktor haben, und das ist ziemlich unwahrscheinlich. Multifaktor-Authentifizierung ist ein wirkliches Basiselement der Sicherheit. Ich sage immer: Kein Multifaktor, kein Mitleid.
Sind die normalen USB-Sticks, die lange Zeit gebräuchlich waren, heute wirklich so „böse“?
USB-Sticks sind nicht per se böse. Problematisch ist der Inhalt, der kann „böse“ sein, wenn so ein Stick Schadsoftware enthält. Denn was muss ein Mensch unbedingt tun, wenn er einen USB-Stick findet? Richtig! Schauen, was drauf ist.
Der USB-Stick stirbt unseres Erachtens aber ohnehin aus und wird durch die Cloud Services ersetzt, die wirklich sehr viel Speicherkapazität haben. So ist es sehr einfach, Daten auszutauschen. Bei Angriffen über Schadsoftware auf USB-Sticks sehe ich den Handwerker ohnehin nicht im Fokus. Für externe Angreifer ist es viel leichter, per Mail einen Schadcode unterzubringen. Das trifft eher auf große Unternehmen zu, wo leider zu oft die Neugier siegt und irgend jemand aus der Belegschaft etwas anklickt, das dann großen Schaden anrichtet.
„Die E‑Mail ist tatsächlich das Haupteinfallstor für Angreifer.“
Was sind die klassischen Einfallstore in die Unternehmens-IT?
Die E‑Mail ist tatsächlich das Haupteinfallstor für Angreifer. Wenn man weiß, wohin man schauen muss, hat man oft eine große Chance, dabei gut von böse zu unterscheiden. Als erstes sollte man die E‑Mail-Adresse des Absenders genau anschauen, ob es wirklich die richtige Adresse ist. Dann muss der Inhalt plausibel sein. Aufpassen sollte man dann immer auf mögliche Links und diese genau ansehen, bevor man sie öffnet. Gleiches gilt für Anhänge. Manche Dateianhänge sind gerade dazu prädestiniert, Schadsoftware im Gepäck zu haben. Eine gesunde Skepsis ist nie verkehrt. Es gilt also gerade bei den täglichen Aufgaben, die Mitarbeitenden immer wieder zu sensibilisieren.
Welche Fehler sehen Sie im Zusammenhang mit Cybersicherheit in Unternehmen am häufigsten?
Wie sind diese Hackergruppen organisiert? Weiß man, wie sie agieren?
Das Hacken ist ein Geschäftsmodell. Man darf nicht vergessen, dass es oftmals auch im Interesse der Angreifer ist, dass Sie Ihre Daten wieder bekommen, denn stellen Sie sich vor, es würde sich herumsprechen, dass Sie von der Hackergruppe xy nie wieder brauchbare Daten bekommen würden. Dann würde keiner mehr bezahlen und damit wäre es kein Geschäftsmodell mehr. Sie sind also tatsächlich auch oft auf ihre Reputation bedacht.
Wie sind diese Hackergruppen organisiert?
Die Angreifer sind teilweise organisiert wie ein Unternehmen. Sie mieten sich Büroräume und haben einen, der den Hut auf hat. Dann gibt es Spezialisten fürs Verschlüsseln und fürs Entschlüsseln, und jemanden, der die Kundenkommunikation übernimmt. Sie bieten einen Live-Chat an: Wenn Sie Fragen haben, da können Sie oftmals sogar über den Preis verhandeln. Das ist wie eine Organisation, die einem Nine-To-Five-Job nachgeht. Man merkt sogar, wenn sie eine hohe Auslastung haben. Dann gibt es Chatverläufe, in denen sie mitteilen, dass man leider noch warten müsse, weil sie derzeit ein hohes Aufkommen an Bearbeitungsfällen haben.
„Wenn Ihnen etwas seltsam vorkommt, sollten Sie argwöhnisch sein, Vorsicht walten lassen und Profis fragen.“
Welche Reaktionen erleben Sie in Unternehmen, wenn diese sehen, wie leicht Sie mit Test-Hacks in ihre Systeme eindringen können?
Es ist tatsächlich sehr oft so, dass die Unternehmen erschrocken darüber sind. Aber wir erleben aus diesem Grund großes Verständnis für unsere Maßnahmen. Wenn man die Gefahren aufzeigt, vielleicht die eine oder andere Demonstration von einem eigenen Vorfall, erleben wir maximale Betroffenheit. So gibt es in der Folge ein großes Verständnis für unbequeme Maßnahmen wie lange Passwörter oder ähnliches.
Was war der skurrilste Phishing-Vorfall, an den Sie sich erinnern können?
Was ist das Abstruseste, was Ihnen in diesem Zusammenhang je begegnet ist?
Es gibt viele abstruse Sachen, aber einen Vorfall kann man wirklich herausgreifen: Jemand bekam ein sehr lukratives Jobangebot, konnte die Jobbeschreibung auf seinem privaten Smartphone aber nicht öffnen. Also hat er es an seinen Firmenrechner weitergeleitet, wo es der Virenscanner sofort gelöscht hat. Eigentlich hätte der Angriff jetzt zu Ende sein können, aber stattdessen hat er sich beim Angreifer gemeldet und gesagt: Der Virenscanner hat das Dokument gelöscht, kannst du mir ein neues schicken? Dann kam ein neues Dokument, das der Virenscanner nicht mehr erkannt hat. Und dann war es passiert. Darum ist es so wichtig, mit Bedacht zu agieren. Wenn Ihnen etwas seltsam vorkommt, sollten Sie argwöhnisch sein, Vorsicht walten lassen und Profis fragen.
Zur Person:
Georg Janko ist seit über 20 Jahren in der IT-Branche aktiv, unter anderem lange bei Microsoft. Seit mehr als 10 Jahren berät er als Information Security Consultant Unternehmen zu Themen wie Security Awareness und Informationsklassifizierung. Er sensibilisiert Führungskräfte und Belegschaft in Live Hacking Events und Workshops.