AKDB aktuell September 2016

14.09.2016

Tatort www – Gefahr auch für Kommunen

Die Internetkriminalität macht auch vor öffentlichen Verwaltungen nicht halt. Wir sprechen deshalb mit Götz Schartner, Buchautor und Geschäftsführer der 8com GmbH.

Götz Schartner ist Geschäftsführer der 8com GmbH & Co. KG und Buchautor.

Schartner, ausgewiesener Experte in Sachen IT-Sicherheit im Internet, zeigt in seinem Vortrag auf dem 2. AKDB Kommunalforum 2016, wie einfach sich professionelle Hacker Zugang zu digitalen Systemen verschaffen können. Doch so lange müssen sich AKDB-Kunden nicht gedulden: In der Webinarreihe „Bewusst sicher handeln – mit Awareness der zunehmenden Cyberkriminalität erfolgreich trotzen.“ erläutert der Bestsellerautor, wie sich jeder von uns mit einfachen Methoden gegen die allgegenwärtige Bedrohung aus dem Netz wehren kann.

Herr Schartner, Sie weisen in Vorträgen, Live-Hacking-Shows und Seminarreihen darauf hin, wie gefährlich das Internet ist und dass sich vom Großkonzern über Mittelständler und Verwaltungen bis hin zur Privatperson keiner sicher sein kann, nicht Opfer krimineller Hacker werden zu können. Wie schützt man sich wirksam gegen solche Angriffe?

Schartner: Zuerst muss eine allgemeine Grundsicherheit geschaffen werden. Die erreicht man zum Beispiel mit dem Einsatz von effektiver Antiviren-Software und einer Firewall. Außerdem sollte man auf die Sicherheit der verwendeten Webbrowser achten und aktive Inhalte wie Java und Adobe Flash Player deaktivieren, sofern möglich. Wichtig ist auch, dass es intern ein klares Benutzer- bzw. Zugangsrechtekonzept sowie ein professionelles Update-Management für Betriebssysteme und Anwendungsprogramme gibt. Durch ein gutes Vulnerability Management kann man sicherstellen, dass Gefahrenstellen in der digitalen Infrastruktur frühzeitig erkannt und beseitigt werden. Und wenn es kriminelle Hacker trotz dieser Maßnahmen schaffen sollten, schädliche Software, wie etwa die berüchtigten Erpressungstrojaner, in das Netzwerk einer Bank oder eines Unternehmens zu schleusen, kann ein professionelles Datensicherungskonzept dabei helfen, die Schäden zu minimieren.

Damit wäre schon einmal eine rudimentäre Grundsicherheit gegen Angriffe aus dem Internet gegeben.

Im zweiten Schritt sollte eine Risikoanalyse durchgeführt werden, um zu bewerten, wo es kritische Schwachstellen gibt. Anschließend können Sicherheitsmaßnahmen ergriffen werden, die an diese Risiken angepasst wurden. Kritische Systeme sollten täglich überwacht und von weniger kritischen Systemen soweit wie möglich getrennt werden. Dazu setzt man am besten ein IDS und ein Monitoring System ein, was potentielle Angriffe oder Manipulationen erkennt und der IT-Abteilung meldet. Je nach Kritikalität muss über eine weitere Segmentierung der Systeme nachgedacht werden.

Für private Internetnutzer gilt die Grundregel, dass Aktualisierungen für Computer, Tablets und Smartphones zeitnah installiert werden sollten. Empfehlenswert ist auch hier, den Adobe Flash Player und Java zu deinstallieren oder zu deaktivieren. Professionelle Antiviren-Software und eine Firewall sind ebenfalls unerlässlich. Und wer seine Daten regelmäßig sichert, hat nach einem erfolgreichen Angriff aus dem Internet hinterher weniger Ärger.

In Ihren Seminarreihen stellen Sie differenzierte Tipps und Tricks für verschiedene Verwaltungsebenen vor. Was müssen Verwaltungsmitarbeiter und Sachbearbeiter beachten, um im Internet möglichst sicher unterwegs zu sein?

Schartner: Für Verwaltungsmitarbeiter und Sachbearbeiter ist vor allem wichtig, beim Kontakt nach außen sorgfältig zu arbeiten. Wer darf welche Informationen haben? Wie müssen diese verschickt werden? Solche Fragen sind für die Informationssicherheit essenziell. Außerdem sind E-Mails nicht nur das Kommunikationsmedium der Wahl, sondern zugleich auch einer der beliebtesten Angriffswege von Kriminellen. Hier muss man als Mitarbeiter sehr aufmerksam sein. Das heißt konkret, dass man nicht auf jede E-Mail-Anlage oder jeden Hyperlink klicken darf, egal wie interessant dieser sein mag. Der Absender kann einfach gefälscht werden und somit ist niemals zweifelsfrei erkennbar, von wem eine E-Mail wirklich stammt. Hinzu kommt die Gefahr, dass Hacker ihre Schädlinge gerne in Word-, Excel und PDF-Dokumente verstecken.

Ganz konkret: Wie erkenne ich denn zweifelsfrei, ob es sich um eine fingierte Mail handelt, einen gefährlichen Trojaner oder nur um die harmlose Mail eines Bürgers?

Schartner: Die Antwort ist leider wenig erbaulich. Ich kann im Zweifelsfall nicht sicher sagen, ob eine E-Mail sicher ist. Häufig kann ich aber erkennen, dass etwas mit der E-Mail nicht stimmt, mehr aber leider nicht.

Konkret kann ich Folgendes prüfen. Stimmt der E-Mail-Absender? Wird nur der Name des Absenders, aber nicht seine E-Mail-Adresse angezeigt, sollte man den Mauszeiger über den Absendernamen halten. Nach zwei oder drei Sekunden wird dann normalerweise die E-Mail-Absenderadresse angezeigt. Stimmt diese nicht, ist die E-Mail potenziell gefährlich. In diesem Fall bitte die E-Mail löschen. Stimmt die Adresse, muss weitergeprüft werden. Dann sollte man sich fragen, wozu man in der E-Mail aufgefordert wird. Soll ich etwa einen Hyperlink anklicken, eine Dateianlage öffnen oder vertrauliche Daten in ein Formular eingeben? Kann das so richtig sein? Bestehen auch nur kleine Zweifel, sollte man sich immer telefonisch rückversichern, dass der Absender auch tatsächlich diese E-Mail geschickt hat. Und ganz wichtig: Nichts einfach mal anklicken.

Die ausgeklügeltsten Sicherheitssysteme und Schutzmaßnahmen verlieren ihre Wirkung, wenn sich Menschen - bewusst oder unbewusst - darüber hinwegsetzen, so Ihre These. Sie stellen deswegen die „Awareness“ der Mitarbeiter, also deren Bewusstsein über das eigene Handeln und seine Implikationen, in den Fokus. Wie gehen Sie dabei vor?

Schartner: Zunächst einmal würde ich hier nicht von einer These, sondern von einer Tatsache sprechen. Sicherheitstechnik wie Antiviren-Software, Firewalls usw. haben klare Grenzen. Beispielsweise kann jeder halbwegs begabte Hacker Viren und Trojaner so tarnen, dass sie von Antiviren-Programmen nicht erkannt werden. Sendet ein Hacker eine E-Mail mit einem getarnten Trojaner, ist der Mensch, der die E-Mail empfängt, damit automatisch die letzte Sicherheitshürde. Öffnet dieser die Anlage, ist der Hacker im Netz.

Wie gehen wir bei Awareness vor? Im ersten Schritt räumen wir typische Vorurteile der Mitarbeiter aus, wie  "Mir kann nichts passieren", "Ich bin nicht verantwortlich" oder "Ich kann doch nichts machen". Dafür haben wir verschiedene Module entwickelt. Danach wecken wir durch spezielle Vorträge mit diversen kurzen Live-Hacking-Vorführungen den Wunsch nach mehr privater und beruflicher IT-Sicherheit, indem wir konkret zeigen, wie schnell und einfach jeder von uns Opfer von Hacker-Angriffen werden kann, trotz professionellem Schutz durch Antiviren-Software, Firewalls usw. Wenn Mitarbeiter das live selbst erleben und die Gefahren auch für sich persönlich kennen, ändert sich damit fast automatisch die Einstellung zum Umgang mit Computer, Smartphone und Co. Dann müssen sie Schritt für Schritt  an sinnvolle und umsetzbare Lösungen herangeführt werden. Kurz gesagt: Für jedes Sicherheitsproblem muss eine benutzerfreundliche Lösung präsentiert werden. Hierbei reden wir aber von Prozessen, die über zwei bis drei Jahre gehen, um nachhaltigen Erfolg erzielen zu können.

Die Internetkriminalität ist ja ein globales Phänomen, das nicht vor Landesgrenzen haltmacht und ganzen Volkswirtschaften schadet. Warum ist es so schwer, das Internet auf europäischer oder gar globaler Ebene sicherer zu machen?

Schartner: Die Antwort haben Sie eigentlich schon in der Frage geliefert. Internetkriminalität ist häufig international. Wie soll die deutsche Polizei eine Hackergruppe beispielsweise in China oder Russland rechtlich belangen? Wenn sich diese noch gut auf Tarnung versteht, werden unsere Strafverfolgungsbehörden keine Chance haben, diese überhaupt zu identifizieren.

Das Problem ist primär ein rechtliches. Wir brauchen eine professionelle, international agierende Strafverfolgung, die personell und technisch gut aufgestellt ist. Nur: Welcher Politiker wäre überhaupt bereit, solche Befugnisse abzugeben? In Deutschland haben die Bundesländer, mit nur wenigen Ausnahmen, die Hoheit über die Polizei. Im 21. Jahrhundert ist das, zumindest was das globale Medium Internet anbelangt, letztendlich völlig untauglich, begünstigt sogar die Kriminalität und erschwert die Arbeit der Polizei. Dabei müssten wir noch viel weitergehen, als diese Befugnisse auf Bundesebene anzusiedeln. Teilbefugnisse müssten an eine internationale Polizeibehörde abgegeben werden.

Waren Sie als ausgewiesener Sicherheitsexperte selbst schon Opfer eines Cyberangriffs?

Schartner: Ja, das ist mir schon passiert. Allerdings war das eher peinlich. Ich hatte einen Angriff festgestellt und dann versucht, ihn zu analysieren. Dabei dachte ich noch: „Der Hacker ist richtig gut. Genauso hätte ich das auch gemacht“, bis ich dann herausfand, dass ich selbst der Angreifer war. Ich hatte einen neuen Trojaner von mir getestet und als Ziel auch meine private E-Mail-Adresse in ein Skript eingegeben. So hatte ich mir den Trojaner schließlich selbst zugeschickt. Aber erzählen Sie das bloß nicht weiter.

Hier geht es zur Terminübersicht und Anmeldung für die Webinare mit Götz Schartner.