Tag der Computersicherheit IT-Sicherheit: "Nichts ist sicher. Aber das ist nichts Neues."

Herr Kogler, Sie sind Geschäftsführer der syret GmbH aus Halle und beraten zu IT-Sicherheit, was ist für Sie gerade die größte Bedrohung für Computersysteme, die größte Bedrohung für Computersicherheit?

Marian Kogler: Die größte Bedrohung für Computersicherheit ist Ransomware, also Schadsoftware, die in Netzwerke eindringt, dann oft Daten stiehlt, verschlüsselt und für die Entschlüsselung der Daten und das Nicht-Veröffentlichen der gestohlenen Daten ein Lösegeld verlangt.

Das kommt natürlich vor allem dort vor, wo es auch Geld zu holen gibt. Also bei Firmen und Unternehmen. Was gilt für Privatnutzer als größte Bedrohung?

Da ist das Risiko, dass ein eigener Account übernommen wird. Am beliebtesten sind bei Kriminellen natürlich die Zugänge zu Bankkonten oder Krypto-Wallets, weil sie dort direkt Geld stehlen können. Interessant sind auch Zugänge zu Online-Shops, um dort Waren auf Kosten anderer zu bestellen.

Was können Unternehmen oder Privatpersonen denn vorbeugend tun?

Privatperson können sich dagegen schützen, indem sie Passwörter nur einmal verwenden. Man muss sie nicht regelmäßig wechseln. Aber ich empfehle, dass man sich ein starkes Passwort merkt und alle anderen Passwörter von einen Passwort-Manager generieren und speichern lässt. Wenn dann ein Account kompromittiert sein sollte, bleibt das auf diesen Account beschränkt und alle anderen sind nicht betroffen.

Bei Unternehmen ist es schwieriger. Die müssen weitere Sicherheitsmaßnahmen umsetzen: Sie müssen ihre Mitarbeiter sensibilisieren, dass auch sie Ziele sein können, sie müssen mit technischen Schutzmaßnahmen das Eindringen wesentlich erschweren und ihr Netzwerk ständig beobachten, um einen Angriff schnell zu stoppen, falls ein Angreifer die ersten Verteidigungslinien überwindet.

Passwort-Manager werden für Privatpersonen schon lange empfohlen. Was ist mit der so genannten Zwei-Faktor-Authentifizierung, bei der man zusätzlich zum Passwort beim Anmelden noch eine SMS mit einem Code bekommt?

Die ist auch eine sehr gute Möglichkeit. Oft geht es nur bei den großen Diensten. Aber in vielen Fällen ist es nicht möglich. Und man muss auch auf den Fall vorbereitet sein, dass der zweite Faktor verloren geht, also das Handy kaputt geht oder gestohlen wird.

Im Jahr 2021 haben wir von sehr vielen Hackerangriffen gehört. Gab es einen, der Sie überrascht hat?

Ja, der Angriff auf Kaseya, ein US-Unternehmen, das Software für die Verwaltung von Netzwerken herstellt. Das war ein so genannter Supply-Chain-Angriff. Dabei haben wir gesehen, dass Kaseya als Zulieferer der Software gehackt wurde und dann eine Ransomware an die Kunden von Kaseya und an die Kunden der Kunden von Kaseya ausgespielt wurde. Der Angriff auf Kaseya war kein üblicher mit einer gefälschten E-Mail oder über eine bekannte Software-Schwachstelle, sondern es wurde ein sogenanntes Zero-Day-Exploit verwendet – eine Schwachstelle, für die es zu diesem Zeitpunkt keine öffentlich bekannte Lösung gab. Diese Kombination aus Ransomware und einem sehr ausgereiften Supply-Chain-Angriff war tatsächlich ein Novum.

Es ist also eigentlich nichts mehr sicher?

Ja, das ist aber auch nichts Neues. Niemand hat die Ressourcen, um sämtliche Software, die er einsetzt, in irgendeiner Form sinnvoll zu prüfen. Da muss man auch realistisch sein: Niemand prüft, ob das Betriebssystem, die Office-Programme oder eine Video-App Schadcode enthalten. Man kann das Risiko reduzieren, indem man die Software aus vertrauenswürdigen Quellen bezieht. Aber wenn der Hersteller selbst kompromittiert wird, dann kann man wenig tun.

Welche neuen Angriffe erwarten Sie für 2022?

Ich vermute, Ransomware wird weitergehen, die Lösegelder werden immer höher, die Angriffsmethoden immer ausgefeilter. Ich denke, wir werden auch mehr Supply-Chain-Angriffe sehen. Aber wenn ich die letzten Jahre der IT-Sicherheit betrachte: Es gibt immer wieder neue Bedrohungsszenarien, die vorher niemand auf dem Schirm hatte.

Angeblich hat uns die Pandemie digital voran gebracht. Aber man kann genauso gut den Eindruck gewinnen, dass oft ein grundlegendes digitales Verständnis fehlt: Zum Beispiel werden QR-Codes für Impf- oder Testnachweis mitunter nicht gescannt, sondern nur angeschaut. Wie groß ist Ihre Sorge, dass tatsächlich selbst einfache IT-Sicherheitsmaßnahmen überhaupt nicht gemacht werden?

Ehrlich gesagt, ziemlich groß. Es hängt natürlich davon ab, über was wir sprechen. Gerade bei größeren Unternehmen gibt es natürlich ein Eigeninteresse, nicht gehackt zu werden, kein Lösegeld zahlen zu müssen. Aber wie sieht das in der öffentlichen Verwaltung aus? Es fehlt an vielen Stellen das Bewusstsein. Aber fairerweise: Das Bewusstsein wächst.

Und wächst auch das Verständis über IT-Dinge?

Viele Menschen nutzen IT-Geräte und sind keine Profis. Das müssen sie auch nicht sein. Es ist eher die Verantwortung der Profis, es den Benutzern so leicht wie möglich zu machen, sicher zu sein und es so schwer wie möglich zu machen, nicht sicher zu sein.