Sicherheit ist kein Zustand, sondern ein Prozess

9. Oktober 2019 agvs-upsa.ch – Gleich hinter Deutschland liegt die Schweiz auf Platz zwei der Hitparade der Hackerangriffe in Europa. Längst werden nicht nur Grossunternehmer wie Swisscom oder Ruag angegriffen, sondern auch kleinere KMU. Der Ex-Hacker und heutige Sicherheitsexperte Gunnar Porada kennt die Details.

hacker-artikel_1.jpg

jas. Viele Schweizer KMU und Garagisten wiegen sich in Sicherheit. Dabei werden nicht mehr nur Banken, Versicherungen und Grossfirmen von Hackern angegriffen. Die Angreifer nehmen längst auch kleinere Unternehmen ins Visier. Pro Tag werden weltweit etwa 8 Millionen Computer attackiert, das kosten die Wirtschaft jährlich hunderte Milliarden Franken. Je mehr Dienstleistungen im Internet genutzt werden, desto wichtiger wird der Schutz vor Zugriffen und Manipulationen. Die Digitalisierung schafft zwar viele Vereinfachungen, öffnet aber gleichzeitig auch Tür und Tor für Angriffsmöglichkeiten. «Nach Deutschland mit 42 Prozent der Ransomeware-Angriffe mit Netzwerk Infektion von Januar bis Juni 2019 folgt in Europa gleich die Schweiz mit 26 Prozent, noch vor England mit 18 Prozent», wie Gunnar Porada, einer der weltweit führenden Experten im Bereich Cyber Security und CEO der innoSec GmbH, an einem Anlass des Schweizerischer Gewerbeverband Anfang Oktober erläutert.

Seit über 25 Jahren ist der Ex-Hacker Porada in der IT-Security-Branche aktiv. Er wird jedoch oft gerufen, wenn es schon zu spät ist. «Für mich als Unternehmer ist das natürlich ideal, da kriege ich von jedem CEO das OK für meine Offerten. Dabei wäre gute IT-Sicherheit im Vorfeld viel günstiger und einfacher», verrät der Chef der innoSec GmbH aus Weggis. Und um zu demonstrieren, wie leicht sich selbst scheinbar sichere E-Bankinglösungen überlisten lassen, loggte sich Porada innert weniger Minuten kurz «live» in ein fremdes Bankkonto ein Er zeigte, mit welcher Leichtigkeit man trotz Photo-TAN-Verfahren Transaktionen in Millionenhöhe auslösen könnte – für den Sicherheitsfachmann alles ein Kinderspiel, wenn gewisse Sicherheitsmassnahmen nicht getroffen wurden.

Porada warnt seit Jahren vor Gefahren, hat Sicherheitslücken bei der Erfassung von Fingerabdrücken für Reisepässe aufgedeckt und sich im Auftrag von Unternehmen in deren Datenbanken und Cloudssysteme gehackt. Für diverse Schweizer Banken führte er sogenannte Pentests durch, ein Fachausdruck für einen umfassenden Sicherheitstest einzelner Rechner, Server oder ganzer Netzwerke. «Oft werde ich abgewimmelt, wenn ich auf Schwachstellen aufmerksam machen will», erläutert der Ex-Hacker, «das Sicherheitsbewusstsein ist leider oft mit Trägheit oder Unwissenheit gepaart.» Er sieht viel Nachholbedarf in der Schweiz, auch bei KMU. Wobei Gunnar Porada diesen Begriff gar nicht passend findet, da es KMU mit nur einer Handvoll Computer gebe, die aber mit Milliardenbeträgen arbeiten.

hacker-artikel_2_0.jpg

Sicherheits-Experte und Ex-Hacker Gunnar Porada im Gespräch mit Kommunikationsfachmann Fidel Stöhlker und FDP-Nationalrat und Direktor des Schweizerischen Gewerbeverbandes Hans-Ulrich Bigler (v. l.)

Dabei investieren andere Nationen bereits seit Jahren in die digitale Sicherheit; nicht so die Schweiz und Europa. «Wir geraten zunehmend ins Hintertreffen, und zwar ohne ersichtlichen Grund. Schliesslich haben wir ja gute IT-Leute.» Für den Experten darf Sicherheit nie hinderlich sein für die eigenen Geschäftsbeziehungen. Gleichzeitig hinterfragt er die Tatsache, ob beispielsweise wirklich alle Computer mit dem Internet verbunden sein müssen oder alle Daten in die Cloud müssten. «Ein Virus beziehungsweise ein Hacker braucht nur eine Lücke. Und er geht immer den einfachsten Weg», mahnt Porada. Aktuelle Malware sei inzwischen so klein, dass sie kaum noch bemerkt werde. Sie könne praktisch an jedes Dokument und an jede Internetseite angehängt werden. Die Maleware verschlüsselt innert Minuten unbemerkt vom Nutzer die Daten, überschreibt zudem gleich noch den Master Boot Record, wodurch Betroffenen ihren Rechner nicht mehr booten können und zeigt dann schlicht einen Hinweis, an wen «Lösegeld» (Englisch: Ransome) für die Daten bezahlt werden soll. Während Ransomware in der Regel nur Dateien verschlüsselt, gehen Viren einen Schritt weiter und setzen das gesamte System ausser Betrieb. Der Schaden ist in beiden Fällen enorm!

«Man sollte, wenn immer möglich sparsam mit seinen Daten umgehen. Und man kann durchaus für die Buchhaltung oder heikle Daten auch mal einen Rechner nutzen, der mit Linux als Betriebssystem läuft. Dafür gibt es weniger Viren», erklärt Porada. Für ihn ist Sicherheit kein Zustand, sondern ein Prozess. Daher sollte man unbedingt auch immer mit Updates arbeiten.

Die wichtigsten drei Grundregeln für KMUs betreffend Datensicherheit
1. Datensicherheit ist Chefsache: Er kann dies nicht einfach seinem CTO (Chief Technology Officer) überlassen, wenn das Unternehmen überhaupt so gross ist, dass es diese Position gibt. Chefs versuchen oft zu delegieren oder die Sache auszulagern. Dabei vergessen viele, dass im Schadensfall dieser dann am heftigsten in der Chefetage aufschlägt.
2. Man sollte immer datensparsam agieren und nicht zu freigiebig mit seinen Informationen sein. Die Cloud muss nicht unbedingt für alle und alles die richtige Lösung sein. Und wenn doch die Cloud genutzt wird, erfordert sie spezielle Sicherheitsvorkehrungen.
3. Sicherheit ist kein Zustand, sondern ein Prozess. Die meisten Angriffe erfolgen über uralte Trojaner und Ransomware, die aber neue Hintertürchen finden. Davor kann man sich schützten. Nur schon regelmässige Updates der Software – und zwar nicht nur der Antivirensoftware – sind entscheidend. Darüber hinaus gibt es eine Vielzahl von weitern Möglichkeiten, die man nutzen kann und sollte, abhängig von den individuellen Anforderungen der Unternehmen.
 

Bleiben Sie auf dem Laufenden und abonnieren Sie den AGVS-Newsletter!
Jetzt abonnieren


 

Feld für switchen des Galerietyps
Bildergalerie

Kommentar hinzufügen

Bild-CAPTCHA
Geben Sie die Zeichen ein, die im Bild gezeigt werden.

Kommentare