Profiling Cyber-Crime: Ewiges Katz- und Mausspiel oder „Wer ist eigentlich der Feind“?

Die Route ist berechnet. Ziel 2030.

Maria Nestroi: Hallo und herzlich willkommen zu unserem brandneuen Dell Technologies Podcast. Ab sofort nehmen wir euch alle zwei Wochen mit auf eine rasante Autofahrt in Richtung Zukunft. Auf unserer Reise haben wir verschiedene Mitfahrer eingeladen, die mit uns darüber sprechen, welche technischen Entwicklungen uns auf der Reise ins Jahr 2030 so erwarten werden. Ich bin Maria und werde euch als Proviant-Beauftragte des Trips mit leckeren Content-Snacks versorgen. Seid ihr bereit? Dann Anschnallen nicht vergessen! #00:00:43.5#

Auf dem Fahrersitz macht es sich heute mein Kollege Stefan Schmugge bequem. Hallo Stefan! #00:00:50.1#

Stefan Schmugge: Hallo Maria! Herzlich willkommen, Linus Neumann! Freut mich sehr, dass du mir auf unserer ersten Fahrt auf der Route 2030 hier Gesellschaft leistest. Sitzt du bequem? #00:01:00.8#

Linus Neumann: Ich sitze äußerst bequem und freue mich über die Einladung. #00:01:04.3#

Stefan Schmugge: Perfekt! Linus, es sind ja heute zwei Profis hier an Bord. Vielleicht könntest du uns kurz erklären, wie du IT-Sicherheit einem Laien erklären würdest. #00:01:15.7#

Linus Neumann: Ist keine so einfache Aufgabe, aber ich versuch’s. Wenn wir uns vorstellen, was den Computer zu einer so besonderen Maschine gemacht hat, warum das das Gerät ist, was gerade die Welt revolutioniert und nicht beispielsweise der Toaster oder die Kaffeemaschine, dann liegt das daran, dass der Computer universell programmierbar ist. Es gibt also nichts, wozu wir den Computer nicht programmieren können. Das ist das, was ihn so besonders macht. Wir können ihm beibringen, einen Internetbrowser zu bauen, wir können ihm beibringen, Spreadsheets zu verwalten, wir können ihm beibringen, E-Mails zu senden. Und das können wir auch immer allen Computern beibringen. Und jetzt stellt sich mit der IT-Sicherheit natürlich das Problem, wenn das eine universelle Maschine ist, die programmiert werden kann, alles Mögliche zu tun, wie schaffen wir es, dass sie nur das tut, was die Nutzerin jeweils möchte, und alles andere nicht? Wenn wir zum Beispiel die Funktion nehmen, Videokamera anmachen und das Signal woandershin senden, das kann je nach Kontext eine gewünschte Funktion sein, wenn man zum Beispiel aus dem Homeoffice einen Video-Call macht. Das kann aber auch zu vielen anderen Zeitpunkten eine ungewünschte Funktion sein. Und der Computer kann das nicht unterscheiden. Und wir können es nur anhand des Kontextes unterscheiden. Das macht IT-Sicherheit zu so einem fortwährenden Problem, dass wir quasi immer wieder aufpassen müssen, dass unsere universalfähigen Maschinen nur das machen, was wir wollen, obwohl sie so viel mehr können. #00:02:56.6#

Stefan Schmugge: Ich habe mal ein Zitat von dir mitgebracht. Du hast mal gesagt: Jedes praktisch relevante Problem der IT-Sicherheit ist theoretisch gelöst. Ich habe das Gefühl, trotzdem ist IT-Sicherheit heute in der Praxis immer noch ein ziemliches Desaster. Was genau ist da los? #00:03:13.3#

Linus Neumann: Tja! Darüber mache ich mir seit vielen Jahren Gedanken. Es ist so, dass wir in der Forschung und der Wissenschaft der IT-Sicherheit im Prinzip jedes Problem gelöst haben. Es gibt nicht irgendwie etwas wie, oh mein Gott, wir müssen Daten an das andere Ende des Planeten senden, möchten die auf dem Weg verschlüsseln, aber Verschlüsselung wurde noch nicht erfunden. Oder wir müssen einen Server immer erreichbar machen, aber Redundanz ist noch nicht erfunden. Also wir wissen, bei jedem einzelnen Fehler der IT-Sicherheit wissen wir, welcher Fehler da gemacht wurde und was anders hätte gemacht werden müssen. Ist also zumindest, was den praktisch relevanten Teil angeht, zumindest theoretisch gelöst. Aber der Unterschied zwischen Theorie und Praxis ist eben sehr groß. Was wir in Unternehmen und auch als Privatpersonen als IT unterhalten, ist fürchterlich komplex, und wir müssen immer eine Waage finden zwischen Bevormundung und Nutzbarkeit. Das kennt man aus dem Arbeitsalltag, dass mitunter eine Reihe an Sicherheitseinschränkungen zum Beispiel die Arbeit verhindern. Das kann ja nicht zielgerichtet sein, wenn die IT nicht mehr der Arbeit dienen kann. Was ich als die Keimzelle des Problems erkennen würde, ist, dass IT-Sicherheit von vielen Menschen als ein Zustand verstanden wird und nicht als ein Prozess. Und das, denke ich, macht den großen Unterschied aus, dass Menschen einen, wie ich finde, zunächst einmal gerechtfertigten Anspruch haben, dass sie sich einen Computer kaufen für mehrere hundert oder mehrere tausend Euro und dass dieser irgendwie sicher zu bedienen sei und sicher wäre. Ohne zu verstehen, dass es sich eben um ein Multifacetten-Problem handelt. Und was wir eigentlich in der Kriminalität dort draußen beobachten, ist, dass die sogenannte Cyberkriminalität auf einem sehr viel geringeren Niveau arbeitet als zum Beispiel die akademische Forschung. In der akademischen Forschung erfinden wir großartige neue Kryptographie-Verfahren, die uns gegen Quantencomputer schützen. Ich finde diese Forschung wichtig. Was uns aber tatsächlich passiert, ist, dass unsere Unternehmen gehackt werden, weil irgendwelche Empfänger auf E-Mail-Anhänge klicken. Das heißt, es gibt einen riesigen Unterschied zwischen den technisch komplexen und kunstvollen Angriffen der akademischen Forschung und der Straßenkriminalität. Das macht auch Sinn, wenn man das mal vergleicht mit einem Handtaschendieb. Ein Handtaschendieb will nicht besonders kunstvoll die Handtasche rauben, danach noch ein Flickflack und eine Verbeugung machen, sondern der will die Handtasche rauben. Also nimmt er die Handtasche und rennt weg. Fertig. Wenn wir dieses Problem nicht gelöst haben, dann brauchen wir uns im Zweifelsfall oder dann nützen uns unsere viel kunstvolleren und besseren Sicherheitsmethoden leider umso weniger. Und dieser Faktor Mensch scheint am Ende das Problem zu sein, mit dem sich die wenigsten auseinandersetzen. Also das klassische Beispiel wie jetzt ein Unternehmen nach dem anderen seit wahrscheinlich 10, 15, 20 Jahren gehackt wird, ist ein E-Mail-Anhang, der schadhaft ist. Wir haben für dieses sehr prävalente Problem, was die ganze Zeit auftritt, keine sinnvolle Lösung gefunden. Und gehen sogar so weit, hier den Nutzer*innen die Schuld zu geben. Da denke ich, beißt sich die Katze in den Schwanz. Weil es ist klar, dass unsere IT von Menschen bedient wird, die relativ wenig Verständnis von den inneren Vorgängen der IT haben. Und wir konfrontieren sie mit Warnmeldungen, die sie nicht verstehen können. Gleichzeitig gewöhnen wir ihnen dabei Verhaltensweisen an, die inhärent unsicher sind, zum Beispiel das Öffnen von E-Mail-Anhängen. Ich kann einem Menschen, dessen Job darin besteht, E-Mail-Anhänge entgegenzunehmen und zu öffnen, nicht den Vorwurf machen, wenn das beim 498.000sten Mal einmal schiefgeht und sagen, du hättest aber darauf achten müssen, dass hier eine Warnmeldung kam, die du nicht verstanden hast und die du fünfmal am Tag wegklicken musst, dass es in diesem Fall anders gewesen wäre. Und das sind, denke ich, die Probleme, die diese vielen theoretischen Lösungen in der IT-Sicherheit immer wieder untergraben und das zu einem dauerhaften Problem machen und auch ein dauerhaftes Problem bleiben lassen. #00:08:10.4#

Stefan Schmugge: Großartig, Linus! Das Bild des Handtaschendiebs, der einen Flickflack schlägt, hat sich gerade in mein Gehirn tätowiert. Vielen Dank für diese schöne Darbietung! Ich weiß nicht, wie es dir geht, ich habe schon ein bisschen Appetit auf einen kleinen Snack. Vielleicht haben wir etwas zu essen an Bord, Maria? #00:08:27.6#

Maria Nestroi: Klar, Stefan. Ich habe hier eine coole Bitkom-Umfrage gefunden. Und zwar sagen 99 % dieser Befragten, dass das beste Mittel zum Schutz vor Sabotage, Datendiebstahl oder Spionage qualifizierte IT-Mitarbeiter sind. Aber im Bereich der Cybersecurity herrscht weltweiter Fachkräftemangel. Laut aktuellen Schätzungen dürften bis 2022 weltweit 1,8 Millionen Arbeitskräfte fehlen. #00:08:52.0#

Stefan Schmugge: Vielen Dank, Maria! Linus, ich denke, die wenigsten Mitarbeiter in einem Unternehmen wollen ihrem Arbeitgeber bewusst Schaden zufügen. Warum aber passieren trotzdem so viele Fehler? #00:09:03.9#

Linus Neumann: Man darf dafür ja nicht vergessen, dass die IT in den meisten Unternehmen ein Werkzeug ist. Das ist eine Infrastruktur, die funktionieren soll, die sicher funktionieren soll. Und dieser Anspruch von Seiten der Geschäftsseite ist ja auch überhaupt nicht falsch. Also wird noch ein bisschen Geld ausgegeben, um den ganzen Kram sicher zu machen. Was ja schon erstaunlich ist, dass die IT nicht sicher aus dem MediaMarkt kommt. Und dann wird das Geld natürlich primär für die Produkte ausgegeben, die Prävention versprechen, die also sagen, mit diesem Produkt wirst du nicht gehackt werden. Das Geld, was da ausgegeben wird, wird teilweise eben an den Stellen gespart, wo es um den Bereich geht, was mache ich denn, wenn ich gehackt wurde? Also so etwas wie Backups (unv. #00:09:58.2#), Anlaufkonzepte zu haben für geschäftskritische Prozesse. Und das sind die Bereiche, die natürlich auch in jedem Unternehmen unterschiedlich sind. Da gibt es keine Lösungen von der Stange. Und am Ende haben wir eigentlich das Schlechteste aus beiden Welten. Oft eine IT-Sicherheit, die in bestimmten Bereichen viel zu restriktiv ist, wo Menschen dann schon an ihrer Arbeit gehindert werden. Und auf der anderen Seite riesige Schwachstellen lässt, die aber dann Teil der normalen Arbeitsprozesse sind. Und so kommt es, dass wir im Prinzip eine nicht zielgerichtete IT-Sicherheit haben, denn die eigentliche Aufgabe der IT-Sicherheit wäre es ja, die Geschäftsprozesse zu flankieren und nicht denen im Wege zu stehen. Und das, denke ich, ist das größte Problem, mit dem die Welt gerade noch zu kämpfen hat in diesen komplexeren IT-Sicherheits-Infrastrukturen. #00:10:59.4#

Stefan Schmugge: Wie ließe sich jetzt, aus deiner Sicht, dieses Dilemma lösen? #00:11:03.3#

Linus Neumann: Die eigentliche Frage ist ja: Was macht dieses Unternehmen, welche Prozesse hat es und wie kann ich diese Prozesse sicher abbilden? Und diese Frage wird sich in der Regel nicht gestellt, sondern es wird sich die Frage gestellt: Welche Software gibt es und wie kann ich irgendwie damit erreichen, was ich brauche? Und so findet man sehr häufig Unternehmen, in denen sogenannte historisch gewachsene Konzepte existieren. Da haben wir mal ein Provisorium eingesetzt, und alle wissen nichts, wird so lange benutzt wie ein Provisorium. Und es fehlt in vielen Unternehmen so ein bisschen der Masterplan einer Architektur und überhaupt eines Bedrohungsmodelles. Denn nur, wer weiß, was überhaupt die Gefahren für das Unternehmen sind, wogegen sich das Unternehmen schützen möchte, erkennt, wo die Angriffsflächen der Organisation sind, und kann dann über quasi ein vernünftiges Bedrohungsmodell sich dahin entwickeln, den Bedrohungen da draußen auch entgegenzutreten. Also mit anderen Worten: Jeden Euro, der in IT-Sicherheit investiert wird, zielgerichtet zu investieren. Wir dürfen ja nicht vergessen, wir haben hier es mit einem Konzept zu tun, das am Ende so ist wie die vielzitierte Kette mit dem schwächsten Glied. Ich kann meine Kette an einigen Stellen, von mir aus, aus Edelstahl gehärtet machen. Wenn sie an anderen Stellen nur mit einer Büroklammer geflickt ist, dann hilft das nichts mehr. Wir müssen also gleichmäßig die Hürden erhöhen, und zwar im Kontext dessen, was das Unternehmen tut. Deswegen gibt’s da auch nicht wirklich etwas von der Stange. Und deswegen hören wir dann eben: Ja, es gibt einen Fachkräftemangel und es gibt im Zweifelsfall auch deswegen hohe Kosten in dem Bereich. Sagen wir jetzt mal ein kleines mittelständisches Unternehmen von Grund auf mit einer sicheren IT-Infrastruktur auszustatten, das die Bedrohung dieses Unternehmens kennt, würdigt und mit Schutzmaßnahmen versieht, das gibt’s eben leider nicht von der Stange. #00:13:17.4#

Maria Nestroi: Da habe ich auch noch einen Snack für euch. Allein im ersten Halbjahr 2019 wurden weltweit 4,1 Milliarden Datensätze offengelegt. Der deutschen Wirtschaft entsteht durch Sabotage, Datendiebstahl oder Spionage jährlich ein Schaden von mehr als 100 Milliarden Euro. Übrigens auch von der Bitkom-Studie. #00:13:34.1#

Stefan Schmugge: Verstanden! Linus, du bezeichnest dich selber ja auch als Hacker. In einem Interview hast du mal gesagt, dass du persönlich das Finden von Schwachstellen und Löchern in IT-Systemen intellektuell herausfordernd findest. Welchen Vorteil bringt dir denn deine Erfahrung als Hacker bei der Beratung von Unternehmen, wenn es um das Thema IT-Sicherheit geht? #00:13:56.3#

Linus Neumann: Also da muss ich ganz kurz einhaken. Als Hacker darf man sich gar nicht selber bezeichnen, als Hacker wird man irgendwann bezeichnet. Das ist also ein Titel, den man sich nicht selber geben kann, sondern den man irgendwann einmal durch Anerkennung von anderen Hackern zugestanden bekommt. Aber ich denke, ja, das Finden von IT-Sicherheitslücken ist intellektuell herausfordernd, ist interessant. Eine schöne Bezeichnung dafür ist das Finden von kreativen Lösungen für schwierige Probleme. Ich denke auch, dass Hacking sich nicht nur auf den IT-Sicherheitsbereich bezieht, sondern auch in vielen anderen Bereichen zu finden ist, wo ein kreativer Umgang mit Technik geprobt wird. Und ein besonders interessanter Bereich ist natürlich der der Sicherheitskonzepte, weil man dafür unter Umständen relativ komplexe Systeme verstehen und durchdringen muss, um dann zu überlegen, wo hätte ich das falsch gemacht. Und ich glaube, ehrlich gesagt, dass das meine größte Stärke ist, dass ich selber ein nicht besonders guter Programmierer bin, sodass ich weiß oder gut abschätzen kann, ab wo Sachen schwierig werden zu programmieren. Und wenn ich mir so Systeme anschaue, irgendwelche Call Flows oder sonstige Dinger, suche ich eigentlich immer nur nach der Komplexität darin, ab dem Moment, wo ich sage, da müsste ich aber jetzt einen Moment nachdenken, um das zu bauen oder zu konstruieren oder zu programmieren. Da finde ich in der Regel dann Fehler, die ich im Zweifelsfall auch gemacht hätte. Das ist so ein bisschen meine Herangehensweise auf der Suche nach Schwachstellen. Ich denke aber, der andere Teil ist, dass es eine gewisse andere Perspektive ist, die ein Angreifer oder im Angriff erfahrener Mensch in so ein Sicherheitskonzept bringt. Man kann das wahrscheinlich mit einem Auto vergleichen. Es leuchtet vielen Leuten ein, dass ein Airbag im Zweifelsfall mehr Sicherheit bietet als kein Airbag. Aber als Angreifer weiß man eben auch, gegen welche Angriffe der Airbag nicht schützt. Und diese Sicht des Angreifers bereichert, glaube ich, die Verteidigung. Einfach sofort zu erkennen: Aha! Was habe ich hier vor mir? Wo kann ich mit diesem System interagieren? Welche Input-Möglichkeiten habe ich? Wo ist mein Ziel? Und da gehen Angreifer ja strukturiert und geordnet vor, und zwar genau von der anderen Seite. Und Unternehmen wird immer so etwas Einfaches geraten wie, finden Sie Ihre Kronjuwelen und versuchen Sie, die zu schützen. Ein klassischer Spruch, klassisch zu einfach. Die eigentliche Frage müsste sein: Mache dir über deine Angriffsflächen Gedanken und überlege dir, wie du die minimieren kannst. Und überlege dir, wie du das, was über diese Angriffsflächen reinkommt, irgendwie sortieren und ordnen kannst. Das ist eben, denke ich, die Sicht, die ein Angreifer mit reinbringt, der immer das System von außen betrachtet und sofort einen Überblick darüber hat, wo kann ich hier rein, wo kann ich da angreifen. #00:17:21.7#

Stefan Schmugge: Wir ändern mal die Perspektive im Auto, Linus. Eine Frage an dich aus der Perspektive eines diplomierten Psychologen und nicht direkt als Hacker. Was treibt kriminelle Hacker an und was müssen wir über deren Motive wirklich wissen, um unsere Systeme besser schützen zu können? #00:17:39.1#

Linus Neumann: Ja, das ist leider etwas, was sich auch im Wandel befindet. Wenn man sich jetzt die Hackerkultur von vor ein paar Jahrzehnten anschaut, da war das tatsächlich ein Spaß, eine intellektuelle Herausforderung. Ich will da auch gar nicht in Abrede stellen, dass es da durchaus so eine Kultur von auch Gehabe gibt. Also so ein bisschen, sich auf die Brust klopfen und sagen, hier, das habe ich gehackt und ihr seid alle doof, nur ich bin klug. Also das gab es alles. Aber das war alles noch so ein bisschen Spaß und Spiele. Und jetzt leben wir eben in einer Welt der Digitalisierung, in der Computer immer mehr Einzug erhalten und in der wir unsere IT und unseren Computern auch immer mehr Risiko anvertrauen. Das heißt, zu Beginn war Hacking dann mal für die Spionage interessant. Da gab‘s dann die Geheimdienste, die sich dafür interessiert haben und gesagt haben, hör mal, der Feind hat einen Computer, wir wollen mal wissen, was er damit macht oder so. Inzwischen hat jeder Mensch einen Computer und jeder Mensch oder jedes Unternehmen mehrere Computer, und so gut wie alle Menschen Computer. Es ergeben sich natürlich ganz andere Motivationen und Geschäftsmodelle für Angreifer. Dazu gehören Möglichkeiten der Bereicherung, also klassische Erpressungsmethoden oder Geld-, Diebstahl-Methoden. Dazu gehören aber natürlich auch Spionage und Sabotage bis hin zum staatlichen Bereich. Und die Vielfältigkeit dieser Motivation ist kaum noch zu überschauen. Was auf jeden Fall aber dazu geführt hat, dass es inzwischen einen Markt dafür gibt. Es gibt einen Markt für, sagen wir mal, im weitesten Sinne kriminelle oder extralegale Hacker, die bei Geheimdiensten arbeiten und ihr Gewissen damit trösten, dass sie die Interessen der Nation verfolgen. Oder es gibt eben auch ganz klassische Hacker, die organisierte Kriminalität kommt immer weiter in diesem Bereich und sieht, aha, interessant, die Welt entwickelt sich weiter. Es gibt nicht mehr nur Restaurants, von denen wir Schutzgeld erpressen können, sondern eben jetzt auch Konzerne. Und alles, was wir dafür brauchen, sind ein paar lustige E-Mails und ein paar Anhänge in diesen E-Mails. Da kommen natürlich eine Reihe an Motivationen ins Spiel, sodass man inzwischen zumindest die Abwägung treffen kann oder die Motivation daran erkennen kann: Naja, wen interessiert der Ausfall eines Systems? Wen interessiert es, die Geheimhaltung eines Systems zu verletzen? Oder wen interessiert es, ein System irgendwie zu infizieren? Und wie viel Geld ist es dieser Stelle mitunter wert? Im Bereich der Geheimdienste haben wir da sehr hohe Budgets, im Bereich der organisierten Kriminalität haben wir da sehr interessante Budgets, wenn wir uns anschauen, was zum Beispiel durch Ransomware-Angriffe von Unternehmen erpresst wird. Mit anderen Worten, wir haben dieser IT inzwischen so viele Risiken angehängt, gesellschaftliche Risiken, unternehmerische Risiken, dass es in fast allen Bereichen Geschäftsmodelle für Angreifer gibt, auch in den Bereichen, die uninteressant sind. Also sagen wir mal, kleinere Konsumentenelektronik, wie jetzt zum Beispiel Überwachungskameras, wo wir dann feststellen, okay, die einzelne Überwachungskamera zu hacken, ist vielleicht uninteressant, aber mehrere hunderttausend davon weltweit zu hacken, wird dann eben auch zu einem für Angreifer durchaus interessanten Sport. Und da ergeben sich gerade durch die Economies of Scale sehr interessante Motivationen, die eigentlich dazu führen, dass wir alles versuchen müssen, möglichst ordentlich abzusichern. #00:21:50.9#

Stefan Schmugge: Ich persönlich glaube, dass kein Unternehmen zu klein oder zu unwichtig ist, um mittlerweile Ziel für einen Angreifer zu sein. Diese Erkenntnis sollte inzwischen jeder gewonnen haben, hoffe ich doch mal. Fahren immer noch viele Unternehmen mit zu hohem Risiko, Linus? #00:22:08.1#

Linus Neumann: Oh ja, auf jeden Fall. Also wir sehen ja wirklich allein schon an den Ransomware-Angriffswellen, die jetzt wirklich seit vier Jahren ungehindert durch die IT-Landschaften ziehen, dass auch Lerneffekte, die man längst hätte haben können aufgrund der Fehler anderer, bei vielen Unternehmen offenbar immer noch keinen Einzug erhalten haben. Und wichtig ist hier immer wieder, IT-Sicherheit ist kein Zustand, sondern ein Prozess. Und es muss jedes einzelne Unternehmen seine korrekten flankierten Sicherheitsprozesse haben. Und viel zu viele Unternehmen können sich das mitunter nicht leisten, wissen nicht, wen sie damit fragen sollen oder ignorieren Probleme einfach weg. Und das ist natürlich auch Teil meines Jobs, bei solchen Unternehmen dann aufzuräumen und teilweise leider auch dann der Geschäftsführung ein relativ kritisches Zeugnis ausstellen zu müssen, da ja grundsätzlich von einer Geschäftsführung verlangt wird, dass sie Risiken, die das Geschäft betreffen, erkennt und mindert. Und da ist leider eine Eigeninitiative notwendig. Ich weiß, dass es gerade eine sehr schwierige Zeit ist, aber ein häufiges Zitat trennt die Unternehmen in die, die schon gehackt wurden und die, die noch gehackt werden. Ich denke, es ist nicht ganz so drastisch, aber die, die nie gehackt werden, die haben auf jeden Fall sich sehr viel Mühe gegeben. Und ich denke, der Prozess, auf den man sich vorbereiten sollte als Unternehmen, ist, dass man gehackt wird und es überlebt. Also nicht zu viel Geld in die Prävention investieren und sich darauf ausruhen, sondern mit Backups, Wiederanlauf-Konzepten, Mitigations-Konzepten quasi daraufhin zu arbeiten, dass ein erfolgreicher Angriff das Unternehmen nicht in eine existenzielle Krise stürzen kann. Das ist, denke ich, das, was eine reife IT-Sicherheit ausmacht. #00:24:26.8#

Stefan Schmugge: Vielleicht können wir da noch ein kleines bisschen in die Tiefe gehen. Wie sieht denn, aus deiner Sicht, eine clevere Lösung für ein schmales Budget aus, wenn es um das Thema IT-Sicherheit geht? #00:24:38.1#

Linus Neumann: Ganz klar, als allererstes muss das Unternehmen sich die Frage stellen, welche Prozesse geschäftskritisch sind. Weil am Ende bei einem Hacking-Angriff nichts so teuer und so problematisch ist wie eine Betriebsunterbrechung. Also Kundendaten verlieren, alles schlimm, aber das, was das Unternehmen am schlimmsten trifft, ist, wenn das Fließband stillsteht. Oder wenn die Logistik nicht mehr funktioniert und das Unternehmen quasi in seiner Wertschöpfung sofort unterbrochen wird. Das heißt, hier die geschäftskritischen Prozesse zu entdecken, um sicherzustellen, dass die schnell wiederherstellbar sind. Das, denke ich, ist einer der wichtigsten Schritte, um eine Reife der IT-Sicherheit zu erhalten. Dann, natürlich gibt es, auch das ist jetzt kein neues Wissen, die Ideen-Netzwerke nach Kritikalität und Angriffsfläche so ein bisschen zu segregieren in der Hoffnung, wenn der Angriff von außen kommt, landet er im Zweifelsfall im Büronetz. Wir haben das Büronetz aber getrennt von unserem Produktionsnetz. Ist so eine klassische Idee. Was wir in der Realität dann aber sehen, ist, dass die Netze zwar getrennt sind, es aber sehr viele Möglichkeiten der Kommunikation zwischen diesen beiden Netzen gibt. Also muss der nächste notwendige Schritt sein, diese Übergabepunkte zwischen zwei Kritikalitätsbereichen schmal zu gestalten. Also muss das Ziel sein, diese Übergabepunkte so sicher und schmal wie möglich zu gestalten und dort auch so kleine Fallen zu haben, dass man überhaupt merkt, wenn etwas schiefgeht. Denn das, was sehr häufig festgestellt wird, ist, dass sich Angreifer dann doch etwas länger in den Zielnetzen aufhalten, dort auch nachher die Spuren gefunden werden, die potenziell früher hätten gefunden werden können, um den Schaden am Ende zu verhindern. Das heißt, eine allgemeine Visibilität über das Netz zu erlangen und mit einem Monitoring nicht nur die Sicherheitsmethoden zu etablieren, sondern auch zu sehen, wann mal irgendwo etwas aus dem Rahmen fällt. Also Prävention ist eine Sache, Detektion die zweite, und Wiederherstellung die dritte. Und die massiven Unterinvestitionen in der Wiederherstellung beißen gerade die Unternehmen und die beißen sie aufgrund der massiven Unterinvestitionen im Bereich der Detektion. Das heißt, die meisten Unternehmen operieren ihre IT einfach im Blindflug, stehen eines Tages auf, merken, oh Mist, hier funktioniert nichts mehr, und holen sich dann teure Leute ins Haus, die ihnen erklären: Vor vier Wochen gab es erste Anzeichen, wenn wir da was unternommen hätten, wäre weitaus billiger gewesen. #00:27:43.5#

Stefan Schmugge: Das BSI spricht aktuell von einer digitalen Hilflosigkeit in vielen Unternehmen. Die schnelle Digitalisierung verstärkt natürlich diesen Zustand noch ein wenig. Muss, aus deiner Sicht, die IT-Abteilung weiter raus aus dem gefühlten Elfenbeinturm, damit sie besser sichtbar ist? #00:28:01.1#

Linus Neumann: Wir haben ja gerade schon über den Fachkräftemangel im Bereich der IT und der IT-Sicherheit gesprochen. Ich denke, dass dieser aber nur ein Symptom unserer dann doch relativ verfehlten Bildungspolitik ist, die versucht, die Existenz von Computern und dem Internet so lang wie möglich vor den Kindern zu verheimlichen. Und nicht der Tatsache Rechnung trägt, dass ein heute tätiger Mensch kaum noch beruflich irgendwo unterwegs sein kann, ohne mit Computern umzugehen, und dafür auch ein Mindestmaß an Verständnis von diesen Geräten braucht. Da dieses Mindestmaß nicht irgendwo sichergestellt wurde, sind wir im Bereich der IT in einer recht privilegierten Position. Ich möchte da jetzt nicht irgendwie als Nestbeschmutzer gelten, aber es ist natürlich schon so, dass wenn die IT in einem Unternehmen sagt, folgendes geht nicht, dass es selten der Fall ist, dass irgendjemand anders um die Ecke kommt und sagt, wieso denn nicht, das geht doch ganz einfach. Das führt natürlich vielleicht auch ein bisschen dazu, dass die Mitarbeiter*innen der IT sich ein relativ angenehmes Leben gestalten können, ohne dass jemand in der Lage ist, ihre Arbeit tatsächlich zu bewerten. Insbesondere in kleinen Unternehmen ist das natürlich dann der Fall. Das heißt, gleichzeitig lastet auch auf den IT-Mitarbeitern zu viel Verantwortung für zu viel Ungewissheit, indem wie diese IT tatsächlich operiert. Ich denke also, der Weg nach vorne ist, wir brauchen irgendwie mehr Grundverständnis in der IT bei allen Menschen. Das sind Geräte, die man nicht vollständig ignorieren kann. Es ist nicht so, dass ein Mensch 2020 oder 2030 sagen kann, Computer interessieren mich nicht, ich bin ja nur, was weiß ich, Büroangestellter. Diese Einstellung wird sich nicht aufrechterhalten lassen in einer Welt, in der Computer immer mehr um uns herum kontrollieren. Das gilt nicht nur im Unternehmensbereich, das gilt auch in solchen Bereichen wie sozialen Netzwerken. Wir haben sicherlich viele Millionen Menschen, die diese sozialen Netzwerke benutzen, ohne ein grobes Verständnis davon zu haben, wie die funktionieren oder wie die Geld verdienen. Und das ist ein Teil, der eben sehr viel mehr über IT-Sicherheit hinausgeht, nämlich eine grobe Mündigkeit im Umgang mit diesen Geräten und mit der digitalisierten Gesellschaft. Und da haben wir, denke ich, generell noch sehr viel aufzuholen, weil uns, getrieben von einigen wenigen klugen Menschen, eine besonders rasante Revolution durch Digitalisierung überfällt und wir dieser fast nur noch hinterherrennen. #00:31:15.5#

Stefan Schmugge: Ich trete mal ein kleines bisschen aufs Gas. Die digitale Transformation gibt ja auch Vollgas aktuell. Wir sprechen über Internet of Things, wir sprechen über Künstliche Intelligenz, jeder spricht über 5G, das alles bringt sicherlich große IT-Potenziale mit sich. Jetzt würde mich interessieren, was sind für dich die 3 wichtigsten Trends im Kontext von IT-Sicherheit? #00:31:41.2#

Linus Neumann: Ich denke, das, was wir gerade beobachten, ist nur eine Verschlimmerung des Problems. Dass wir also noch mehr IT-Abhängigkeit schaffen, obwohl wir schon mit unserer heutigen IT-Abhängigkeit mehr schlecht als recht klarkommen. Ein großer Bereich ist also dieser schon genannte Bereich des IoT, wo jetzt man sich überlegt hat, weil das mit der IT so gut funktioniert hat, bauen wir jetzt einfach vom Lautsprecher, über die Kamera, über das Heizungsthermostat, über den Kühlschrank überall Computer ein und haben dann mitunter eine Reihe an IT-Systemen, die gar kein Mensch mehr als Computer wahrnimmt, weil sie keine Tastatur und keinen Bildschirm haben. Sie sind aber genauso universell programmierbare Geräte. Da haben wir primär ein Managementproblem. Denn auch diese Geräte sind unsicher, brauchen ihre Updates, brauchen mitunter vielleicht auch Backups und brauchen Sicherheitskonzepte. Bei den Preisen in dem Markt, wo sie konkurrieren, ist sowas aber alles gar nicht vorgesehen. Wir kaufen uns irgendwie eine Internet-Steckdose von einem chinesischen Hersteller für einen Zwanni, das ist ein Gerät, was irgendwie anderthalb Kilowatt Strom schalten kann und mit dem Internet verbunden ist, und wundern uns dann, wenn da eine Schwachstelle drin ist, dass wir keine Updates vom Hersteller bekommen. Das heißt, da schaffen wir uns auf jeden Fall eine sehr große Horde an potenziellen Zombies, die 2030 immer noch irgendwo am Internet hängen und uns das Leben schwer machen. Der andere Bereich ist der Bereich der KI, also der Künstlichen Intelligenz, wo, je nachdem, von welchem Anwendungsbereich wir sprechen, gute oder schlechte Ideen verfolgt werden, wo Computer Entscheidungen treffen sollen. Das Problem dabei, denke ich, ist vor allem die KI-Gläubigkeit. Also wenn der kluge Computer einmal etwas gesagt hat, dem zu widersprechen, wäre ich doch verrückt. Das heißt, wir werden immer mehr Entscheidungen von Computern fällen lassen und diese Entscheidungen dann auch nicht mehr in Frage stellen. Das sind natürlich enorm interessante Hacking-Ziele. Wenn ich mir überlege, naja, jetzt habe ich nicht nur einen Computer gehackt, sondern ich habe einen Computer gehackt, auf den eine ganze Menge Menschen hören. Oder ein Computer, der sehr weitreichende Entscheidungen trifft. Da denke ich, da wird sich durchaus einiges an sowohl IT-Sicherheitsforschung hin konzentrieren und einiges an tatsächlich stattfindenden Angriffen und Kriminalität. Und vor diesem ganzen Hintergrund, denke ich, ist das Wichtigste, dass endlich verstanden wird, was es bedeutet, ein IT-System zu betreiben. Und was es bedeutet, das sicher zu betreiben. Das heißt eben, wir haben es nicht damit zu tun, dass wir das in einem einmaligen Zustand irgendwo hinstellen, sondern das muss am laufenden Band eingeölt, gepflegt, auf die Probe gestellt, geupdatet, wiederhergestellt, gebackupt werden. Wir sind leider weit davon entfernt, dass Computersysteme irgendwo hingestellt werden können und wir sie längere Zeit sich selber überlassen können. Und leider ist es in diesem IoT-Bereich so, dass uns dadurch, dass es jetzt nicht mehr ein Computer ist, sondern ein Ding, uns genau das suggeriert wird. #00:35:19.8#

Stefan Schmugge: Während meine linke Gehirnhälfte noch über das Thema Hacking meiner Kaffeemaschine nachdenkt, hat meine rechte Gehirnhälfte folgendes Bild im Kopf. Ich sehe einen 19-jährigen Informatik-Studenten, der mit Künstlicher Intelligenz das erste Mal intelligente Malware entwickelt. Ist dieses Bild etwas übertrieben oder siehst du dort ein gewisses Gefahrenpotenzial? #00:35:43.2#

Linus Neumann: Ich denke, dass Machine Learning selbstverständlich auch in diesem Bereich Anwendung finden wird und es gibt hier auch schon erste Ansätze in diese Richtung. Ist das ein Problem? Wenn ja, dann primär wahrscheinlich für meine berufliche Zukunft, weil ich eine solche Arbeit ja heute noch manuell verrichte. Aber Spaß beiseite. Ich denke, dass jedes Angriffs-Tool, was jemand entwickelt, immer auch für die Verteidigung gegen dieses Angriffs-Tool geeignet ist. Was dazu führt, dass wir ein dauerhaftes Fast-Gleichgewicht zwischen Angriff und Verteidigung haben. Ich sage Fast-Gleichgewicht, weil der Angriff immer einen kleinen Schritt voraus ist und einen kleinen Vorteil hat. Während die Verteidigung sich nämlich um alle Schwachstellen und alle Angriffsflächen überhaupt kümmern muss, braucht der Angriff nur eine Schwachstelle, um erfolgreich zu sein. Das heißt, wir haben hier ein leichtes Kräfteungleichgewicht, aber ich glaube, dass das auf Dauer nicht unbedingt zunehmen wird, weil eben irgendwo anders sicherlich auch ein 19-jähriger IT-Student sitzt, der das gleiche Tool entwickelt mit einer Motivation des Schutzes und nicht mit einer Motivation des Angriffs. #00:37:05.8#

Stefan Schmugge: Linus, lass uns noch kurz über das Thema Verschlüsselung sprechen und über das Thema Supercomputer, die ja aktuell Rechenzentren dazu verhelfen, völlig neue Leistungsniveaus zu erreichen. Allerdings stellen sie natürlich auch kryptografische Verfahren für sichere Verschlüsselung auf den Prüfstand. Wie ist da deine Meinung zu? #00:37:26.4#

Linus Neumann: Verschlüsselung ist ja letztendlich der Versuch, den Rechenaufwand für das Knacken der Verschlüsselung enorm hoch oder unendlich hoch werden zu lassen. Und im Moment sind wir da noch in einem halbwegs ordentlichen Verhältnis. Durch neue Computertechniken wie Quantencomputer kann es aber in absehbarer Zeit dann doch bestimmten Verschlüsselungstechnologien an den Kragen gehen. Ich denke, auch hier habe ich so ein grobes Grundvertrauen, dass es den Post-Quantum-Krypto-Forscherinnen und -Forschern gelingen wird, Lösungen zu finden, die eben auch Angriffen durch diese Supercomputer widerstehen können. Ich hoffe auch, dass diese Entwicklung so langsam kommen wird und so teuer sein wird, dass von mir aus, wenn jetzt AES geknackt werden kann, das eben doch noch enorm viel Rechenpower kostet, sodass es eine Investition bedeutet, einen solchen Angriff zu machen, sodass dieser Angriff potenziell für mich und für uns vielleicht erst in mehreren Jahren relevant wird, nachdem wir wissen, dass er grundsätzlich möglich ist. Also auch hier hoffe ich, dass die Evolution so langsam ist, dass es nicht zu einer Apokalypse kommt. Aber ganz klar ist, hier muss es auch, wie in allen anderen Bereichen der IT-Sicherheit, eine Weiterentwicklung geben, und auch hier gibt es keine finale Lösung des Problems. #00:39:14.2#

Stefan Schmugge: Linus, unsere gemeinsame Fahrt nähert sich schon fast dem Ende. Nachdem wir uns so großartig durch Staus und Baustellen hindurch navigiert haben, wollte ich dich fragen, ob wir nicht dasselbe auch noch für Unternehmen tun können? Vielleicht hast du noch eine Idee für eine gute IT-Sicherheitsstrategie oder ein gutes IT-Sicherheitskonzept für unsere Hörerinnen und Hörer. #00:39:39.6#

Linus Neumann: In einem guten IT-Sicherheitskonzept stehen Prävention, Detektion und Wiederherstellung in einem Gleichgewicht der Möglichkeiten und Investitionen, so dass in keinem der Bereiche zu viel Geld investiert wird, was dann in einem anderen dieser Bereiche fehlt. Viele Unternehmen lernen eben gerade sehr schmerzhaft, dass ein Wiederanlaufkonzept eine verhältnismäßig kleine Investition gewesen wäre zum Schutze gegen besonders hohe Schäden. Und sich aus einer Angriffsperspektive dem Unternehmen zu nähern und damit nicht aufzuhören mit der Frage, wer soll mich denn hacken, sondern sich einfach mal zu sagen, okay, erstens, welche Motivation biete ich für einen Angreifer, und zweitens, welche Schutzmethoden habe ich hier im Weg? Und drittens, wenn dieser Angriff erfolgt ist, wie kann ich mich dagegen wehren? Und dabei ist noch sehr wichtig zu berücksichtigen, dass der eigene Schaden nicht unbedingt die Motivation des Angreifers ist. Also wenn wir das Beispiel einer Ransomware-Attacke nehmen: Ja, da hat das Unternehmen einen potenziellen Schaden im Bereich, der zehn oder hunderte Millionen. Das eigentliche Ziel des Angreifers ist aber die Erpressung, also das Lösegeld. Das heißt, wer sich nur die Frage stellt, wer sollte ein Interesse daran haben, dass mein Unternehmen zum Stillstand kommt, stellt sich die Frage falsch. Auch der Angreifer hat nicht das Interesse, dass das Unternehmen zum Stillstand kommt. Der Angreifer hat das Interesse, dass das Unternehmen schnell wieder anläuft, und zwar, indem das Geld an den Angreifer bezahlt wird. Und über diese Motivationen sich tatsächlich mal in Ruhe Gedanken zu machen und seine weichen Punkte zu erkennen unter der Annahme von krimineller Energie, das ist etwas, was noch immer viel zu wenige Unternehmen zielgerichtet tun. Und zielgerichtet bedeutet in dem Fall, tatsächlich zu erkennen, was ist für einen Angreifer ein lukrativer Angriff, der auch möglich ist? Und was ist für einen Angreifer ein wahrscheinlich nicht lukrativer Angriff, der im Zweifelsfall auch möglich ist, aber der, weil er nicht lukrativ ist, nicht unbedingt mein Kernproblem ist? Und da empfiehlt es sich eben, sich mal in Ruhe darüber Gedanken zu machen, sich ein bisschen auch einzulesen, was passiert denn da draußen anderen Unternehmen, und aus deren Erfahrungen zu lernen. Das ist etwas, was viel zu wenig passiert, und was eben dann auch die Expertise ist, die Unternehmen sich mitunter teuer einkaufen müssen. #00:42:28.8#

Maria Nestroi:  Vielen Dank, Linus! #00:42:30.4#

Sie haben Ihr Ziel erreicht.

Maria Nestroi: So, ihr zwei, jetzt sind wir aber leider auch schon am Ende unserer Autofahrt in Richtung 2030. Und Linus, ich muss dich jetzt schweren Herzens hier aussteigen lassen. Vielen Dank, dass du heute unser Gast warst! #00:42:45.9#

Linus Neumann: Ich danke euch fürs Mitnehmen und ich schaue mir jetzt mal hier die Zukunft an. Vielen Dank! #00:42:49.9#

Stefan Schmugge: Tschüss, Linus! #00:42:51.2#

Linus Neumann: Ciao, ciao! #00:42:52.1#

Maria Nestroi: Tschüss! #00:42:53.1#

Stefan Schmugge: Das war wirklich ein spannender Einblick in die Arbeit eines IT-Sicherheitsberaters. Wir haben eine Menge gelernt, wir haben gelernt, dass der Mensch nach wie vor die am meisten ausgeklammerte Person im IT-Sicherheitskonzept von vielen Unternehmen ist. Wir haben aber auch gelernt, nachdem wir unsere Glaskugeln ein bisschen poliert haben, dass wir in eine Zukunft blicken können, die uns vielleicht ein bisschen vorsichtig, aber nicht unbedingt ängstlich machen soll. Ich finde, ist eine spannende Reise. Und der Appell an die Unternehmen war, dass sie vielleicht an der nächsten Ampel ein bisschen frühzeitiger rechts abbiegen, um generell für diese IT-Herausforderungen gut gewappnet zu sein. Besonders wäre hier ein bisschen mehr Bewusstsein wünschenswert für die IT-Sicherheit auch in einer Entscheider-Ebene. Wir sagen vielen Dank von Dell Technologies. #00:43:43.1#

Maria Nestroi: Liebe Zuhörer, Wenn euch die Folge gefallen hat, dann schaltet doch in zwei Wochen wieder auf diesem Kanal ein, denn dann geht’s weiter mit einem spannenden Technologie-Dialog zum Thema „Work from home“ mit unserem Gast Felix Thönnessen.