„Viel zu oft geht Machbarkeit vor Sicherheit“
Er greift Server an, schickt Phishing-Mails und enttarnt Geschäftsgeheimnisse. Michael Wiesner ist Hacker – aber einer von den Guten. Im Interview spricht er über unmoralische Angebote, leichtfertige Unternehmer und fehlende staatliche Konzepte.
Herr Wiesner, haben Sie schon mal ein unmoralisches Angebot bekommen?
Michael Wiesner: Mehr als einmal! Ich werde immer mal wieder gefragt, ob ich im Darknet zwielichtige Personen finden kann, die im Verdacht stehen, etwas Illegales getan zu haben. Und ich bekomme mehr oder weniger direkte Anfragen zu sogenannten Zero-Days – noch unbekannten Sicherheitslücken –, die sowohl von Kriminellen als auch für staatliche Attacken angekauft werden.
Und was haben Sie in einem solchen Fall im Angebot?
Wiesner: Ich habe zu Hause eine gute Erziehung genossen. Deshalb lehne ich freundlich ab und wünsche viel Erfolg bei der weiteren Suche.
Was unterscheidet das gute vom bösen Hacken?
Wiesner: Auf den ersten Blick ist es ganz klar. Es gibt die White-Hat-Hacker, die sich an Gesetze halten und im Auftrag ihrer Kunden etwa Penetrationstests durchführen. Es gibt die Black-Hat-Hacker, die eindeutig der kriminellen Szene zuzuordnen sind. Dazwischen gibt es die Grey-Hat-Hacker. Die sind nicht immer ganz legal unterwegs, tendieren aber eher Richtung White-Hat.
Auf den zweiten Blick ist es allerdings auch immer eine Frage der Perspektive. Ist ein Hacker, der im Auftrag der Bundesregierung unterwegs ist, ein White-Hat? Und einer, der im Auftrag der chinesischen Regierung hackt, ein Black-Hat? Gerade im Bereich des staatlich beauftragten Hackens haben wir also den größten Dunkelbereich, wo eine genaue Zuordnung schwerfällt.
Wie finde ich als Unternehmen einen guten Hacker?
Wiesner: Der beste Weg zum Hacker führt über den Austausch mit anderen Unternehmen, also über Empfehlung. Wir haben in Deutschland mittlerweile eine ganze Reihe sehr guter Dienstleister, die professionell Penetrationstests durchführen und auch bei einem externen Angriff die entsprechende Unterstützung leisten können.
Was kann der Hacker für mein Unternehmen tun?
Wiesner: Ein White-Hat-Hacker kann zum Beispiel Ihr Risikomanagement verbessern. Dafür wird er zunächst eine wichtige Frage beantworten: Wie sehr muss sich ein Angreifer anstrengen, um von außen in Ihr Unternehmen einzudringen? Und wenn wir über Informationssicherheit sprechen, meine ich damit auch: Wie sicher sind Ihre Server untergebracht, wer hat alles Zugang zu den Systemen, wie aufwendig ist es, sich innerhalb Ihres Unternehmens Zugang zu verschaffen?
Begegnet Ihnen Misstrauen in Ihrer täglichen Arbeit?
Wiesner: Grundsätzlich ist erst einmal Vertrauen da, sonst hätte mich das Unternehmen nicht engagiert. Dennoch gibt es während eines Tests auch immer – nachvollziehbare – Vorbehalte. Ich kann sensible Prozesse stören, im schlimmsten Fall die Produktion oder die Lieferkette unterbrechen.
Wie gehen Sie damit um?
Wiesner: Klare Absprachen zwischen Hacker und Auftraggeber sind wichtig. Über Ausnahmelisten vereinbart man, welche besonders kritischen Systeme vom Test ausgenommen sind. Was nicht heißt, dass man deren Sicherheit nicht überprüft. Aber das geschieht dann mit Begleitung von Mitarbeitern der Firma.
Welche Branchen sind besonders anfällig und für Cyberangreifer interessant?
Wiesner: In den vergangenen Jahren war immer wieder der Gesundheitssektor betroffen. Krankenhäuser etwa sind leicht zugänglich und versprechen eine Menge sensibler Daten. Was hier in den letzten Jahren an gezahlten Lösegeldern bekannt geworden ist, dürfte nur ein Bruchteil dessen sein, was tatsächlich geflossen ist.
Bei Wirtschaftsspionage sind traditionell Maschinenbau und Autoindustrie gefährdet.
Wiesner: Das gilt auch in Zukunft: Was in der Industrie früher analog gesteuert wurde, wird heute über das Internet gemacht. Viel zu oft geht bei den Themen Industrie 4.0 und Internet of Things Funktion und Machbarkeit vor Sicherheit. Das heißt, hier haben wir einfache und lohnenswerte Ziele.
Bei staatlich-gesteuerten Angriffen stehen die kritischen Infrastrukturen im Fokus: Energienetze, Wasserversorgung und so weiter.
Welches Sicherheitsniveau finden Sie bei einem durchschnittlichen Mittelständler vor?
Wiesner: Ich bleibe mal im Gesundheitssektor. Arztpraxen sind in der Regel gut gegen fremden Zutritt geschützt, weil sie einen zentralen Eingang haben. Auch gegen Angriffe übers Internet sind sie relativ gut geschützt, weil sie kaum Dienste nach außen geben. Das ist vergleichbar mit einem Haus ohne Fenster – da kann eben keiner einbrechen.
Aber: Im stressigen Alltag sind komplizierte Passwörter die absolute Ausnahme, ebenso wie eine Zwei-Faktor-Authentifizierung etwa über eine Chipkarte. Wenn sich ein Krimineller also einmal Zutritt verschafft hat, hat er dann keine Probleme mehr: Mit dem Passwort „Praxis“ bekommt er in geschätzt 50 Prozent der Fälle Zugriff.
Ohne individuelle Analyse: Haben Sie drei Tipps, die jedes Unternehmen sicherer machen?
Wiesner: Ganz übergeordnet muss das Ziel sein, ein vernünftiges Management der Informationssicherheit zu etablieren. Das lässt sich am ehesten erreichen, wenn man die drei größten Schwachstellen versucht zu bekämpfen: Erstens veraltete Systeme, die nicht mehr oder nur noch schlecht zu warten sind. Zweitens die viel zu schwachen Passwörter. Und drittens die fehlende Segmentierung, also Trennung der Netzwerke. Warum sollte die Produktionsstraße im selben vergleichsweise schlecht geschützten Netzwerk sein wie der Drucker?
Große Cyberangriffe, DSGVO, Cyberversicherungen – führt das in Unternehmen zu einem Kulturwandel?
Wiesner: Ich sehe keinen Kulturwandel. Richtig ist, Unternehmen reagieren auf die verschärften gesetzlichen Regelungen durch die DSGVO, um drohenden Bußgeldern zu entgehen und Kunden nicht zu verlieren. Die Firmen tun das, was absolut notwendig ist – mehr nicht.
Es ist ja gut, wenn Unternehmen beispielsweise eine Cyberversicherung abschließen, um sich für den Ernstfall zu schützen. Was Mittelständler allerdings häufig verkennen: Cyberpolicen ergänzen das Schutzniveau zwar sehr sinnvoll, sie ersetzen es aber keinesfalls. Unternehmen müssen aktiv etwas tun, um sich zu schützen.
Wie ließe sich das verbessern?
Wiesner: Damit sich die Cybersicherheit im Mittelstand dauerhaft verbessert, muss die Politik klare Strukturen schaffen und Schlüsselstellen kompetent besetzen. Nehmen wir das Bundesamt für Sicherheit in der Informationstechnik: Es kümmert sich um die IT-Sicherheit der Bundesbehörden, gilt als Hüter der kritischen Infrastrukturen, wie zum Beispiel der Finanz- und Versicherungswirtschaft und soll Ansprechpartner für Verbraucher sein. Daneben gibt es noch die Landeskriminalämter, den Verfassungsschutz und weitere Stellen, die jeweils Beratungsangebote für Unternehmen machen. Was fehlt, ist ein ganzheitliches Konzept.
Darüber hinaus sollten die Hersteller von Hard- und Softwareprodukten und auch die Dienstleister, die die Systeme in Unternehmen installieren und warten, stärker in die Verantwortung genommen werden. Bisher haften sie nicht oder nur sehr begrenzt für Sicherheitslücken in ihren Produkten oder Dienstleistungen; das führt nicht unbedingt zu einer Verbesserung der Lage.
Das Gespräch führte Simon Frost.
Zur Person
Als Informatiker ist er seit über 25 Jahren im Geschäft. Er hilft Mittelständlern, Sicherheitsziele zu definieren und zu erreichen. Für die VdS Schadenverhütung arbeitet er maßgeblich an IT-Sicherheitsrichtlinien. Im Auftrag des GDV hat er nicht nur die IT-Sicherheit kleiner und mittlerer Unternehmen aus dem produzierenden Gewerbe, sondern auch von Arztpraxen untersucht.