Und genau das ist der Grund, warum wir so anfällig für Cyberangriffe sind, sagt Jake Moore, ein Cybersicherheitsspezialist von ESET und ein White-Hat-Hacker mit 14 Jahren Erfahrung in der digitalen Forensik im Bereich Cyberkriminalität. Ihm mangelt es nie an Motivation, auszutesten, wie kleine Unternehmen IT-Sicherheit in ihrem Unternehmen wahrnehmen und umsetzen. In den meisten Fällen lautet die Antwort leider: mangelhaft.
Beginnen wir mal andersherum. Da Sie ständig versuchen, Hackern das Leben schwer zu machen, müssen Sie für viele von ihnen ein sehr attraktives Ziel sein. Wurden Sie schon einmal gehackt?
Das stimmt! Aber nein, ich bin noch nicht gehackt worden. Oder zumindest glaube ich das. Aber jemand hat mal versucht, mein Instagram-Konto zu kopieren und angefangen, Nachrichten an Leute zu schicken, und so getan, als wäre er ich. Aber raten Sie mal - eine der Personen, die der Angreifer angeschrieben hat, war ein Kollege von mir. Und er hatte ein großartiges Gespräch mit diesem Kerl, hat ihn hingehalten, was urkomisch war. Ich habe alle Screenshots von dem Chat.
Obwohl ich noch nie Opfer eines Cyberangriffs geworden bin, denke ich immer, dass ich es werden könnte. Ich bin deshalb besonders vorsichtig und achte auf Links, auf die ich klicke, sowie auf Anhänge in E-Mails und so weiter.
Das klingt ein bisschen nach dem Motto "Hoffen Sie das Beste, erwarten Sie das Schlimmste".
Ganz genau. Manchmal denkt meine Frau sogar, dass ich am Telefon ziemlich unhöflich bin, aber ich bin einfach nur vorsichtig mit ungebetenen Anrufen und rechne immer mit dem Worst-Case-Szenario. Es wäre gut, wenn auch mehr kleine und mittlere Unternehmen so denken würden! Aber leider neigen sie dazu, zu glauben, dass sie nicht angegriffen werden, was ein bisschen befremdlich ist. Schließlich ist jeder ein Ziel. Kleine und mittlere Unternehmen glauben manchmal, dass Cyberkriminelle es lieber auf die großen Konzerne abgesehen haben, aber in Wirklichkeit ist es viel einfacher, 100 kleine Betriebe zu hacken als ein einziges großes Unternehmen.
Sie haben 14 Jahre lang für die Polizei in Dorset (Großbritannien) gearbeitet und sich auf die Untersuchung von Internetkriminalität spezialisiert. Haben Sie auch Fälle im Zusammenhang mit kleinen und mittleren Unternehmen gelöst?
Ich hatte oft mit vielen Einzelhändlern und Unternehmen mit weniger als 50 Mitarbeitern zu tun. Meistens hatten sie keine Ahnung, wie angreifbar sie in Wirklichkeit waren. Sie nahmen oftmals an, sie hätten nicht das Geld für Cybersicherheitslösung. Dabei gibt es günstige Möglichkeiten, ein Unternehmen zu schützen. Wenn ich ihnen zum Beispiel empfohlen habe, eine Multi-Faktor-Authentifizierung einzusetzen, kam oft die Frage: "Was ist das? Das klingt teuer." Damit ließen sie Angreifern Tür und Tor offen. Für viele von ihnen war das am Ende ein schwerwiegender Fehler.
In ihrem letzten Beitrag haben Sie über einen Undercover-Einsatz berichtet. Sie haben sich als Fernseh-Produktionsassistent Jack ausgegeben, um herauszufinden, ob es möglich ist, sich in das Netzwerk eines luxuriösen Golfclubs einzuhacken. Und es ist Ihnen gelungen. Die Mitarbeiter haben Sie sogar mit den Geräten des Unternehmens allein gelassen, so dass Sie das gesamte Netzwerk hätten kapern können. Was hätte man aus Ihrer Sicht anders machen müssen?
Erst einmal hätten sie mich mal nach einer Art Ausweis fragen sollen, vor allem wenn ich sozusagen „hinter die Kulissen“ blicke und einen USB Stick in ihre Rechner stecken will. Beides ist ein absolutes Sicherheits-No-Go. Doch ich hatte den Golfclub schon eine Woche zuvor besucht, um mich vorzustellen. Dabei sagte ich ihnen, wie schön ihr Golfplatz sei. Dies schmeichelte ihnen offensichtlich sehr. Deswegen dachten sie, sie würden mich bereits kennen und vertrauten mir. Und ich hatte überhaupt nicht damit gerechnet, einen Windows-XP-Rechner vorzufinden (das XP-Betriebssystem wird seit 2014 nicht mehr unterstützt), der sogar mit dem Kassenautomaten verbunden war. Ein weiteres No-Go. Solche Geräte können sogar aus der Ferne angegriffen werden. Die Geräte hätten mit dem neuesten Betriebssystem ausgestattet sein müssen. Viele kleine Unternehmen lassen ihre Geräte auf veralteten Systemen laufen, weil sie denken, wenn’s funktioniert, müssen wir nichts Neues kaufen. Tatsache ist aber, dass dies ein großes Sicherheitsrisiko ist. Dieser Golfclub bspw. speichert riesige Datenmengen, meist von finanzstarken Menschen. Und diese Daten könnten potenziell mehr wert sein als ein Angriff mit Lösegeldforderung. Und deshalb sind sie für Hacker so verlockend.
Sind Cyber-Angriffe mit physischer Präsenz eine gängige Strategie von Cyberkriminellen?
Vor allem vor der Pandemie habe ich viel über Kriminelle gelesen, die versuchten, vor Ort in Datenbanken einzudringen. Manchmal geben sie sich als Handwerker oder Postangestellter aus. Jetzt ist es nicht mehr so einfach, da weniger Menschen in den Büros sind und es für die Hacker schwieriger ist, sich zu verstecken. Aber ich glaube, wenn die Menschen wieder ins Büro zurückkehren, könnten solche Angriffe wieder häufiger vorkommen, wobei die Cyberkriminellen Schutzmasken aufsetzen und einen triftigen Grund nutzen, um ihre Identität noch besser zu verbergen. Cyber- und physische Sicherheit müssen gleichzeitig berücksichtigt werden. Die Verhinderung eines Angriffs ist eine weitaus bessere Strategie als mit den Folgen fertig werden zu müssen.
Manche Unternehmen verlassen sich auf eine Cyberversicherung
Besitzen Firmen so eine Versicherung, kann das dazu führen, dass sie die Vorsorgemaßnahmen vernachlässigen. Es ist in dem Fall aber nicht so, als hätte man ein Auto versichert und bekäme das Geld zurück, wenn ein Unfall passiert. Cyberkriminalität funktioniert anders. Wenn digitale Daten gestohlen werden, können sie sich auf der ganzen Welt verbreiten und überallhin gelangen. Also selbst, wenn die Kosten des Angriffs von der Versicherungsgesellschaft gedeckt sind, können Geschäfte und Existenzen verloren gehen. Aus diesem Grund sollte man sich nicht nur auf eine Cyberversicherung verlassen. Die optimale Strategie besteht darin, die Ursache zu blockieren, bevor sie ausgenutzt wird. Ich würde daher mehr Geld in die Abwehr eines Angriffs stecken, als mich auf die Kostenanalyse einer Versicherung zu konzentrieren. Einige Versicherungsunternehmen zahlen im Falle eines Ransomware-Angriffs sogar das Lösegeld - und finanzieren damit direkt das gesamte Geschäftsmodell von Ransomware.
Mr. Robot lehrt Cybersicherheit
Der Faktor Mensch wird oft als großes Risiko für die Cybersicherheit bezeichnet. Aber ist es bei so vielen potenziellen Fehlern, die Menschen machen können, überhaupt möglich, jeden so gut zu schulen, dass alle riskanten Verhaltensweisen abgeschwächt werden?
Ich denke, es ist zumindest möglich, die Anzahl an Mitarbeitern zu erhöhen, die sich der Angriffsfaktoren bewusst sind. Unternehmen werden nie zu 100 % geschützt sein. Das akzeptiere ich. Es wird immer Menschen geben, die Fehler machen. Aber aktuell sind viel zu viele Menschen anfällig. Ich schätze, dass in den meisten Unternehmen nur ein Bruchteil der Mitarbeiter ein IT-Sicherheitsbewusstsein hat. Sie würden nicht glauben, wie viele Leute immer noch dasselbe Passwort für mehrere Konten verwenden!
Ist es möglich, Menschen bzw. Mitarbeiter aufzuklären, ohne ihnen dabei Angst zu machen?
Das ist die Balance, die ich versuche in meinen Artikeln und IT-Sicherheitstrainings zu finden. Ich habe mich entschieden, humorvoll aufzutreten, denn ich denke, wenn der Inhalt lustig ist, werden die Leute ihn weiter lesen, und wenn ich es schaffe, auch noch ein wenig Bildung einzubauen, dann ist meine Aufgabe erfüllt. Als ich anfing, Security-Inhalte zu vermitteln, sagten die Leute, sie seien es leid, immer wieder die gleichen Anweisungen zu hören. Aber ich habe mich gefragt: Haben sie mal einen wirklich persönlichen und fesselnden Artikel gelesen? Wahrscheinlich nicht. Also habe ich angefangen, sowas zu schreiben. Wenn Leute kommen und sagen, dass sie meinen Artikel gelesen haben und sich dafür interessieren, macht mich das sehr stolz. Bildung muss Spaß machen, unterhaltsam und kurz sein. Sechsstündige Lehrvideos zur Cybersicherheit funktionieren einfach nicht.
Glauben Sie, dass die beliebte Serie Mr. Robot auch eine gute Quelle für Bildungsmaterial sein könnte?
Eine großartig Serie! Ich habe sie geliebt und vieles davon ist wahr: Die Leute könnten eine Menge daraus lernen. Zum Beispiel, wie einfach es eigentlich ist, ein Gerät zu hacken. Und dass nicht alle Hacker in einem Keller sitzen und einen Kapuzenpulli tragen - es kann eher jeder von uns sein.
Sie haben als White-Hat-Hacker mehrere Unternehmen gehackt. Gab es mal ein Musterbeispiel, das besonders auffiel und völlig immun gegen Ihre Versuche war?
Ehrlich gesagt? Nein. Ich habe immer das bekommen, was ich wollte. Aber ich habe einen Traum: Ich wollte schon immer mal eine Bank ausrauben, natürlich nur mit rein ethischen Absichten. Also habe ich bei der Bank von England angefragt, ob ich mal versuchen könnte, was mit ihrem Netzwerk zu machen. Sie sagten: "Auf keinen Fall". Also habe ich wenigstens gefragt, ob ich einen Stift stehlen darf.
Durften Sie?
Nein, sie sagten mir, ich solle ihn dahin legen, wo er hingehört. Trotzdem, ich gebe nicht auf. Denn irgendwann möchte ich einen Blog mit dem Titel schreiben: So raubt man eine Bank aus.
Jake Moore, ESET Cybersicherheitsspezialist und Pressesprecher
Jake hat 14 Jahre lang für die Polizei von Dorset in Großbritannien gearbeitet, wo er in der Digital Forensics Unit vor allem Computerkriminalität untersuchte und eine Reihe von Straftaten von Betrug bis hin zu vermissten Kindern aufklärte. In dieser Zeit lernte er, wie man mit den gesetzlich zulässigen Techniken digitale Beweise von Geräten abruft, um unschuldige Opfer von Internetkriminalität zu schützen. Danach wurde er Berater für Cybersicherheit bei der Polizei und gab der Öffentlichkeit, Schulen und örtlichen Unternehmen maßgeschneiderte Ratschläge mit dem Ziel, der Gemeinschaft zu helfen und ihr Sicherheitswissen zu erweitern. Außerdem ist er ein leidenschaftlicher Surfer. Gibt es eine Parallele zwischen dem Surfen und dem Cyberspace, den beiden Bereichen, für die er sich so sehr begeistert? "Man darf nie einen der beiden Bereiche unterschätzen. Egal, ob im Cyberspace oder im Meer: Erwarte immer das Unerwartete."
