Zum Inhalt springen
  • Von: Sebastian Höing
  • Security Themen
  • 01.11.2016

"Unternehmen werden noch abhängiger von Daten sein"

Der Fachinformatiker Tobias Schrödel ist ein Entertainer, Buchautor und gefragter TV-Experte. In einer Mischung aus Informationsvortrag und Unterhaltung demonstriert er auf Konferenzen, wie sicher unsere Daten und Geräte im Internet und in Clouds wirklich sind. DOAG Online sprach mit Schrödel über den Mensch als Sicherheitsfaktor und warum die Investitionen für Unternehmen in IT-Sicherheit zukünftig nicht geringer werden.

Tobias Schrödel © Marc-Steffen UngerDer Fachinformatiker Tobias Schrödel ist ein Entertainer, Buchautor und gefragter TV-Experte. In einer Mischung aus Informationsvortrag und Unterhaltung demonstriert er auf Konferenzen, wie sicher unsere Daten und Geräte im Internet und in Clouds wirklich sind. DOAG Online sprach mit Schrödel über den Mensch als Sicherheitsfaktor und warum die Investitionen für Unternehmen in IT-Sicherheit zukünftig nicht geringer werden.

Herr Schrödel, welche ist denn Ihre bisherige Lieblings-Sicherheitslücke?

(Lacht) Ja, ich habe tatsächlich eine. Und zwar kommt etwas bei meinen Vorträgen ziemlich gut an. Es gibt einen kleinen Trick, wie man zumindest bei nicht IP-basierten Hotel-Videosystemen kostenlos den Pay-TV-Kanal gucken kann. Und wenn ich das in meinen Vorträgen zeige, ist die Stimmung eigentlich immer sehr gut und die Leute fangen an, mitzuschreiben, wie das funktioniert.

Welches sind denn die am häufigsten genutzten Sicherheitslücken?

Es ist schwierig, das allgemein zu sagen, weil es natürlich darauf ankommt, was es für eine Art von Angriff ist. Ist es ein gezielter Angriff, dann wird der Angreifer sicher andere Wege beschreiten, als würde er ein Zufallsopfer wählen. Beobachtet man Presse- und Polizeimeldungen, ist es aber tatsächlich so, dass Ransomware – also Erpresser-Viren – momentan mit Abstand am meisten Schaden anrichten. Und dafür zahlen die Leute am meisten.

Google hat vor kurzem auf der Konferenz I/O verkündet, das Passwort abschaffen zu wollen. Über eine Schnittstelle sollen Geräte zu jeder Zeit Daten speichern und auswerten, zum Beispiel über den Standort und das Stimmmuster oder auch die Gesichtserkennung. Passwörter sind ja häufig ein Schwachpunkt, wenn es um IT-Sicherheit geht. Müssten nicht alle Sicherheitsexperten über Googles Pläne froh sein?

Sie haben natürlich völlig recht. Man wäre froh, wenn es eine akzeptierte und verbreitete Alternative zum Passwort gäbe. Das Passwort führt gerade bei nicht IT-bedarften Menschen immer wieder zu Problemen. Entweder weil sie es vergessen oder einfach ein schwaches Passwort wählen. Ich denke, dass der geplante Google-Login-Mechanismus technisch wunderbar funktionieren wird. Offensichtlich kombiniert er viele körpereigene Merkmale, sodass es von der reinen Statistik her unwahrscheinlich ist, dass diese auf einen Angreifer zutreffen. Das ist mit der Sicherheit des Passworts gleichzusetzen. Aber auf der anderen Seite heißt das, dass Google so viele personenbezogene Merkmale meines Körpers speichern und auch auswerten kann, dass auch ganz andere Rückschlüsse gezogen werden können. Zum Beispiel, sofern diese Daten es hergeben, ob ich einen Herzfehler habe. Und da bin ich dann schon wieder kritisch, ob Google der richtige Ansprechpartner ist.

Heißt das Sie sehen das auch kritisch in Bezug zum Datenschutz?

Ja, absolut. Wir werden wieder irgendwelchen AGBs zustimmen, die seitenlang sind und die kein Mensch liest. Und da steht dann drin, dass die Daten gespeichert werden, um den Account sicher zu machen. 84 Seiten weiter steht dann, dass sie die Daten auch irgendwie anders nutzen können. Und genauso wird es dann wahrscheinlich auch passieren. Diese Unternehmen leben ja auch von den Daten.

Immer mehr Menschen und Unternehmen nutzen Cloud-Speicher und vertrauen ihre Daten Datenbanken und Administratoren an. Warum ist es aber praktisch unmöglich, für absolute Datensicherheit zu sorgen?

Grundsätzlich ist es so: Wo Technik im Einsatz ist, wird es immer wieder Lücken geben, weil kein System fehlerfrei sein kann. Und wo Menschen beteiligt sind, werden auch Fehler gemacht. Das heißt wir haben potenziell immer eine Lücke oder ein Problem, das theoretisch ausgenutzt werden kann. Die Frage ist, ob man sich nicht anders schützt, indem man erkennt, wenn Angriffe passieren oder indem man die Mauer so hoch setzt, dass es nicht einfach wird, reinzukommen.

Sie erwähnten gerade den Mensch als Faktor, wenn es um IT-Sicherheit geht. Ist der Mensch denn die Schwachstelle?

Ehrlich gesagt würde ich sagen: ja. Und zwar deswegen, weil unsere Systeme immer besser werden, ausgeklügelter arbeiten und auch erkennen, wenn irgendwelche Anomalien passieren. Deswegen ist es für einen Angreifer auch durchaus interessant, einfach auf Personen zu zielen. Und man darf eines nicht vergessen: Es gibt ja nicht nur die Administratoren, die sich auskennen und sehr bewusst arbeiten. Um mit Informationen und Daten arbeiten zu können, brauchen ja auch normale Anwender Zugriff auf die Systeme und die sind oft anders ausgebildet, buchhalterisch zum Beispiel. Diese Leute auf das Glatteis zu führen, ist deutlich einfacher und – da sie ja auch Zugriff auf Daten haben – auch sehr effektiv. Ja, ich glaube, dass deswegen der Mensch eine der interessantesten Angriffsflächen ist und die Technik immer weiter in den Hintergrund rückt.

Wird denn in Unternehmen zu wenig Weiterbildung angeboten, zum Beispiel in Awareness-Schulungen?

Es wäre ja blöd, wenn ich sagen würde, dass dem nicht der Fall wäre. Ich lebe ja schließlich von Awareness-Trainings (lacht). Also natürlich glaube ich, dass ein entsprechendes Training von Personen sehr wichtig ist, denn es ist vergleichsweise billig. Eine neue Technik, zum Beispiel ein komplett neues Firewall-System, ist meines Erachtens viel teurer, als wenn man seine Mitarbeiter einmal zu einem zweistündigen Awareness-Training schickt. Es ist schon sehr viel gewonnen, wenn die Mitarbeiter selber in der Lage sind, Angriffe zu erkennen. Sie sollen ja nicht lernen, sie zu verhindern, sondern die IT informieren, wenn ihnen etwas komisch vorkommt oder sie irgendetwas nicht verstehen. Die IT-Abteilungen sind dazu da, zu prüfen, ob es sich um einen Angriff handelt.

Auf der anderen Seite wird bereits immer mehr Arbeitszeit in den Aufbau und den Betrieb von IT-Sicherheit investiert. Ist das ein Trend, an den sich große Unternehmen gewöhnen müssen?

Ja, ich denke schon. Das lässt sich nicht ändern und zwar aus einem einfachen Grund: Unternehmen werden viel abhängiger von Daten und Datenverarbeitung sein. Es gibt ja fast kein Unternehmen mehr, das ohne IT auskäme. Und wenn die IT ausfallen würde, würde erst einmal zwei Tage alles still stehen, bis man dann mit einem Notfallplan wieder die Arbeit aufnehmen kann. Das hat ja der Verschlüsselungstrojaner Locki gezeigt, der zum Beispiel die IT des Lukas-Krankenhauses in Neuss befallen hat. Da war erst einmal Stillstand. Hier konnte nur einen Bruchteil der Blutproben analysiert werden und nur die Notfälle wurden behandelt. Da sieht man schon, wie abhängig wir sind. Das bedeutet natürlich auch, dass wir uns vor Angriffen schützen und einfach Zeit und Geld investieren müssen.

Heutzutage ist ja praktisch jeder online und durch soziale Netzwerke vernetzt. Ob es nun über Smartphones, Tablets oder den PC ist. Hinzukommen vernetzte Geräte im Haushalt, z. B. Licht- und Heizungssteuerung per App. Werden kriminelle Hacker es in Zukunft einfacher haben, Schaden anzurichten und an sensible Informationen zu gelangen?

Schaden anrichten ja, an sensible Informationen gelangen vielleicht. Wenn Sie heute die Google-Suchmaschine für Geräte – Shodan – nehmen und sich dort mal durchklicken, dann wird Ihnen schwindelig, was da schon alles vernetzt ist und was jetzt schon offen im Internet erreichbar ist. Ja, das wird ein großes Problem werden und zwar nicht nur deshalb, weil die Leute unbedacht sind und irgendwelche Sachen ohne Passwort ins Netz stellen und erreichbar machen, sondern auch, weil wir einfach keine Update-Philosophie haben. Wer denkt denn daran, seinen Lichtschalter upzudaten oder seinen Kühlschrank? Da kommen wir ja irgendwann dahin, dass ich 80, 90 Geräte updaten muss. Das macht ja kein Mensch.

Welche Trends im Sicherheitsbereich sehen Sie denn für die nächsten Jahre?

Ich glaube, dass sich Erpresser-Software und das Verschlüsseln von Daten auf Rechnern noch ganz massiv bei uns einnisten werden. Es fängt ja schon beim Smartphone an und wird über das Internet der Dinge weiter gehen. Wenn Sie zum Beispiel in fünf Jahren ein Auto haben, das per Software gesteuert fährt, dann wird auch dort irgendwann ein Erpresser mit Ransomware kommen. Und wenn man dann nicht 500 Euro überweist, dann fährt das Auto nur noch 60 km/h und nicht mehr schneller. Das ist ja das Problem an dieser ganzen Ransomware: Die verlangen in der Regel nur kleinere Beträge, weil die Leute in der Lage sind, genau das zu bezahlen, um ihre Daten wieder zu bekommen. Würden die Erpresser 10.000 Euro verlangen, würde es keiner machen und zur Polizei rennen. Ich glaube, dass diese Erpresser-Viren vom PC aufs Handy springen, sie werden in Fahrzeuge springen und diese blockieren und sie werden auf Kühlschränke springen und diese vielleicht unbrauchbar machen, bis man einen kleinen Betrag zahlt.

Tobias Schrödel ist Keynote-Speaker auf der kommenden DOAG 2016 Konferenz + Ausstellung in Nürnberg.