Wie schützt man IT-Systeme gegen Cyberattacken?
27. April 2017, mit Joël Kaczmarek, Johannes Schaback
Dieses Transkript wurde maschinell erstellt. Wenn dir ein Fehler auffällt, schreib uns gerne zu diesem unter redaktion@digitalkompakt.de.
Joel Kaczmarek: Hallo und herzlich willkommen zu einem neuen Podcast Blackbox Tech von Digital Kompakt. Ich bin Joel Kaczmarek und mit mir sitzt wieder mein Lieblingsnerd Johannes. Moin Johannes.
Johannes Schaback: Hallo Joel, moin moin.
Joel Kaczmarek: Ich habe mal gelernt von Klaas Kerstin, glaube ich, Geek ist ein Nerd mit einer Freundin. Kann das sein?
Johannes Schaback: Ich sage ja immer, ein Geek ist ein Nerd mit Ambition, also mit Ehrgeiz.
Joel Kaczmarek: Okay, dann bist du eher ein Geek, würde ich sagen, als ein Nerd. Du bist ja verheiratet und Ambitions hast du ja auch, wie ich immer wieder lerne. So, und wir sind heute aber nicht alleine. Wir sind in kompetenter Begleitung. Stell dich mal ganz kurz vor.
Sven Weizenegger: Ja, danke für die Einladung erstmal. Mein Name ist Sven Weizenegger. Ich beschäftige mich seit etwa 15, 16 Jahren professionell mit Cyber Security oder IT-Sicherheit, wie man auch sagt. War etwa 13 Jahre bei der T-Systems. Deutsche Telekom hat sehr viel im Bereich Mittelstand und Enterprise IT Security gemacht. Bin dann in die Richtung Leadership und Management gedriftet und bin jetzt der Sicherheitschef bei einem sehr großen Fintech-Startup in Deutschland und kümmere mich um die Sicherheit dort.
Johannes Schaback: Und da hast du wahrscheinlich sehr, sehr viel gesehen in deiner Laufbahn.
Sven Weizenegger: Ich habe sehr viel gesehen und wir sehen sehr viel Schlechtes immer in unserer Branche, weil wir mit Dingen zu tun haben, die eigentlich niemand anfassen möchte.
Johannes Schaback: Das ist das Tolle. Wir sprechen heute über Security. Ich liebe Security, weil Security hat fast so wie AI so viele mystische Elemente. Es gibt so viele Geschichten, die darum ranken. Es geht um Gut und es geht um Böse und es geht um Systeme, die gehackt werden und wo eingebrochen wird und wo Sachen geklaut werden. Und es ist das wirklich toll. Und gleichzeitig ist es ein bisschen wie so eine Versicherung, Security. Man zahlt auf etwas ein, für das man alles tut, dass es nie eintritt. Und Security ist wirklich ein riesen, riesen Thema. Und wir werden wahrscheinlich gar nicht dazu kommen, alles zu erfassen. Aber wir fangen einfach mal an.
Joel Kaczmarek: Das Ziel ist, Eindrücke zu geben. Und wir machen das am Anfang immer so, dass wir Leute, wenn wir die auspegeln, die Stimme einordnen, dass wir sie fragen. Ich frage die immer, wann hast du das letzte Mal Urlaub gemacht? Weil da kann jeder ganz schnell was erzählen. Und bei dem guten Sven neben uns, das muss man sich immer auf der Zunge zergehen lassen, hat er gesagt, er war auf Greta oder Corsica oder so ähnlich.
Johannes Schaback: Neben dem Flughafen.
Joel Kaczmarek: Das erste Mal Urlaub seit zehn Jahren, wo ich meinte, what the fuck? Und dann sagte er mir, ja, wenn du irgendwie ein paar Wochen raus bist in diesem Metier Security, ist der Zug teilweise schon abgefahren. Also da kriegt man mal ein Gefühl über seine Working Ambitions hier. Also bist du auch ein Geek und kein Nerd. Und was wir eigentlich für ein Thema hier haben. Und wir haben lange überlegt, Security, wie fassen wir das an? Reden wir eher über Privatnutzer oder eher über Businessnutzer? Haben dann so ein bisschen festgestellt, das hängt manchmal zusammen. Weil gerne werden ja mal Business Exploits sozusagen über den Social Weg der Privatmenschen gemacht. Dazu später mehr. Deswegen versuchen wir mal so ein bisschen Big Picture zu machen. So, vielleicht mal so ganz grobe Einstieg. Wie würdest du denn das Thema Security so grob unterteilen? Was sind so die Sphären, die du da irgendwie siehst?
Sven Weizenegger: Das wäre nicht der See. Also die erste Unterscheidung ist natürlich Business privat, ist das eine. Bei Business unterscheide ich immer, wie online-affin ist ein Unternehmen. Also wie viel hat er exposed, wie viel stellt er nach draußen, macht er sein Geld mit digitalen Themen wie ein Webshop vielleicht. Es gibt auch Unternehmen, die vielleicht digital gar nicht so interessant sind, weil sie zum Beispiel im Chemie- oder Medizinbereich sind und relativ wenig nach außen exponiert haben. Umso mehr Unternehmen exponiert, umso höher ist die Wahrscheinlichkeit, dass da jemand Interesse haben könnte, das auszunutzen, bzw. Schwachstellen auszunutzen, um vielleicht Kundendaten zu klauen, um vielleicht Dinge zu klauen, wie zum Beispiel Forschungsarbeiten.
Johannes Schaback: Man spricht ja auch von einem Attack-Vektor. Kannst du mir das mal erklären? Ich habe das nicht verstanden. Warum ist das doch gar kein Vektor?
Sven Weizenegger: Also man versucht in der IT-Industrie, beziehungsweise in der IT-Sicherheitsindustrie, den Vektor so klein wie möglich zu halten. Was ist ein Vektor? Ich gebe dir ein Beispiel. Deine Tür zum Beispiel, die solltest du meistens geschlossen halten. Und wenn du zum Beispiel aber eine Glastür hast, dann erhöhst du den Vektor, weil der Angreifer sieht, ob da ein Wachmann zum Beispiel ist. Oder ob da keiner ist. Wenn du aber eine Holztür hast und du hast vielleicht dann noch zwei Riegel dran, dann verringerst du die Möglichkeit, dass jemand reinkommt. Umso kleiner du den Vektor hältst, umso geringer ist die Wahrscheinlichkeit, dass jemand versucht reinzukommen.
Joel Kaczmarek: Also ein bisschen wie so eine Einflugsschneise. Vektor aus der Physik kenne ich immer noch, ist eine Bewegung mit einer Richtung.
Sven Weizenegger: Exakt.
Joel Kaczmarek: Was würdest du denn jetzt sagen, wenn man jetzt ein Unternehmer ist und sagt so, hey, das kannst du auch als privaten Mensch, wie jetzt auch Business Guy sagen, das ist ja so ein bisschen so der erste Fragenkomplex, den wir uns auch aufgeschrieben haben. Was muss ich eigentlich beachten, wenn ich meine Firma absichern will?
Sven Weizenegger: Ich glaube, die wichtigste Maßnahme ist, jemanden zu bestimmen, der dafür verantwortlich ist und accountable. Das ist so klassisch Raki-Matrix, das kennt man ja. Wer ist verantwortlich? An wen delegiere ich das? Das ist das erste Thema. Ich brauche jemanden, der das wirklich auch treibt und auch das Mandat dafür hat. Und der muss natürlich das Budget bekommen. Und am besten berichtet er noch an den CEO. Weil Security wird immer mehr Vorstandsthema und CEO-Thema. Weil am Ende des Tages ist der Chef dafür verantwortlich, wenn zum Beispiel Kundendaten flöten gehen. Also der kommt dann wirklich teilweise auch, dann kommt auch die Polizei und kann die vielleicht auch festnehmen. Daher muss das hoch angehangen werden. Und die Tendenz geht auch immer mehr in die Richtung, dass immer mehr Sicherheitschefs direkt an den CEO reporten, weil die CEOs erkennen, das ist so ein vital wichtiges Thema. Weil wenn uns da das Genick gebrochen wird und wir sind zwei Tage offline, dann können wir vielleicht einpacken, weil wir Vertrauen verlieren, wir haben Probleme mit dem Revenue. Und die Kunden kommen vielleicht gar nicht mehr wieder. Also so kurz vor Weihnachten zum Beispiel. Wenn mein Online-Shop offline ist für sieben Tage und ich habe genau zu der Zeit den meisten Umsatz, dann habe ich ein richtig, richtig großes Problem. Und das kann ich dann vielleicht nicht mehr auffangen im nächsten Jahr.
Johannes Schaback: Ich würde gerne nochmal auf die Vektoren zurückkommen. Ja, bitte. Du hast ja gerade schon gesagt, Unternehmen, die haben mehr Exposure, das heißt einfach mehr Einfallstore oder mehr Systeme, die sie nach außen absichern müssen. Und was gibt es für unterschiedliche Einfallstore? Was gibt es für Angriffsarten, ganz grob? Also wenn man sich jetzt so ein normales, im Internet präsent seines Unternehmens vorstellt.
Sven Weizenegger: Also gehen wir mal 15 Jahre zurück, als ich angefangen habe zu hacken. Oder 20 vielleicht sogar. Da sind wir relativ gerne in so Infrastruktur reingegangen. In so ein Rechenzentrum von außen. Der Webserver war erreichbar. Und das hat sich aber sehr gewandelt, weil die Firmen erkannt haben, dass wir den Perimeter absichern müssen. Die haben so eine Burg gebaut. Aber da sich die digitale Welt verändert hat, braucht man Löcher, um reinzukommen. Was macht man heute? Heute würde man zum Beispiel an den IT-Administrator eine E-Mail senden mit einem PDF und ihn bitten, die doch mal aufzumachen. Da kann drinstehen, vielen Dank, dass Sie die Konferenz besucht haben. Übrigens, hier ist nochmal das Foto, was wir vorhin gemacht haben. Muss gar nicht stimmen. Aber man leitet ihn dazu, diese E-Mail zu öffnen. Und mit etwas Glück ist in diesem PDF etwas drin, was gar nicht drin sein sollte, nämlich so ein sogenanntes Exploit, was dazu da ist, um eine gewisse Schwachstelle auf dem Rechner auszunutzen.
Johannes Schaback: Das ist so ein kleines Programm, was in dem PDF ist. Genau. Oder was auch im Word-Dokument häufig mal mitgeschickt wird.
Sven Weizenegger: Exakt. Darum soll man auch E-Mails nicht öffnen, die von freien Personen kommen, die man überhaupt nicht kennt. Wo der Kontext vielleicht auch gar nicht stimmt. Manchmal machen das Leute, weil sie irgendwie Interesse haben, weil da drin steht, das ist super geheim. Wenn du das öffnest, dann musst du keine 10.000 Euro überweisen. Was passiert dann, wenn dieser Exploit gestartet wird? und der nutzt wirklich eine Schwachstelle auf dem Rechner aus, ist der Angreifer auf dem Rechner. Das heißt, der Angreifer ist gar nicht mal draußen, irgendwo in China, in Russland oder wo auch immer, sondern der ist auf einmal im Unternehmensnetzwerk. Und dann ist er Administrator.
Johannes Schaback: Und diese Angriffsart, die nennt man Exploit. Oder ist das Social Engineering?
Sven Weizenegger: Also das ist gepaart mit Social Engineering und Phishing. Jemanden dazu verleiten, etwas zu tun, was er normalerweise nicht machen würde. Das ist Phishing, ne? Genau. Und dann auf dieses Dokument zu klicken. Aber es geht auch viel einfacher, indem man zum Beispiel eine Website so manipuliert, dass da Schadcode hinterlegt wird. Ich gehe als Mitarbeiter auf die Website, zum Beispiel spiegel.de. Und das so ein Banner hinterlegt von einem Banneranbieter, da ist Schadcode drin. Ich mache mein Targeting so, dass ich sage, nur Berlin, nur Friedrichshain und Alter XY und im Hintergrund wird der Rechner übernommen, weil der Browser vielleicht eine Schwachstelle hat.
Johannes Schaback: Dafür muss der Browser eine Schwachstelle haben.
Sven Weizenegger: Exakt, exakt. Aber das merkt er gar nicht.
Joel Kaczmarek: Was ist denn das State of the Art? Weil ich erinnere mich noch, wir hatten das bei Gründerszene mal gehabt, dass irgendwie unsere Seite ein paar Tage nicht erreichbar war, weil auf einmal Firefox der Meinung war, die müssten da containert werden. Ja, da hieß es dann so genau so ein Kram. Die Seite sendet Schadstoff aus. Wahrscheinlich hatten wir irgendwie so einen Banner mal integriert von irgendwem. Also was ist denn da so State of the Art? Man kriegt ja immer so mit, dass sozusagen die Kasperskis und Co. dieser Welt eigentlich immer in diesem Wettrennen sind. Du musst so die neueste Schadsoftware kennen. Muss ich da Angst haben als Nutzer, dass ich auf eine Webseite gehe und kriege da sowas mit?
Sven Weizenegger: Ja. Das sind halt Virenschleudern. Also ihr kennt das ja vielleicht von diesen ganzen illegalen Streaming-Portalen. Ich will jetzt keinen Vorwurf machen, aber die sind da voll mit sowas. Da kommen Pop-Ups, aber das ist auch Schadcode hinterlegt. Und das merkt ihr gar nicht als Benutzer, weil das ist so klein.
Johannes Schaback: Aber sind dir die heutigen Browser nicht relativ wasserdicht?
Sven Weizenegger: Man findet ja immer was. Also es gab ja letztens auch so einen Wettbewerb, wo wirklich Teams angetreten sind, die neue Schwachstellen gesucht haben. Und da wurden auch in Browsern wieder Schwachstellen entdeckt. Weil das sind ja Millionen von Codes. Du kennst das ja auch. Auf tausend Zeilen kommen vielleicht x, x, x Schwachstellen. Das ist so komplex. Und das ist seit 15 Jahren schon so. Das wird halt nicht weniger, das wird teilweise sogar mehr. Verstanden.
Johannes Schaback: Wie nennt man diese Art von Angriff? Also ich manipuliere eine Seite, beispielsweise Spiegel Online, indem ich einen Banja injiziere, der dann eben eine Schwachstelle ausnutzt. Wie nennt man diese Art von Attack?
Sven Weizenegger: Das nennt man Drive-by-Download. Ich kann dagegen als Benutzer nichts machen. Diese Kriterien geht auf spiegel.de oder auf eine andere Webseite. Ich habe in meiner Karriere schon erlebt, dass Hotel-Webseiten infiziert wurden von Vorständen, die da auf der Hotel-Webseite waren. Und da waren Viren und Malware hinterlegt. Und dann wurde der Rechner übernommen oder es wurde versucht, ihn zu übernehmen.
Johannes Schaback: Was ist der Unterschied zu einem Injection-Attack? Also wenn man sich die häufigsten Schwachstellen von Websites anschaut, dann ist es ja häufig Injection. Was ist Injection?
Sven Weizenegger: Das ist relativ prominent bei Webshops zum Beispiel, indem du sogenannte SQL-Injections baut, um direkt auf die Datenbank zuzugreifen. Und zum Beispiel bösartige Kommandos auszuführen, vielleicht auch einen Datensatz zu löschen.
Johannes Schaback: Okay, und das funktioniert dann so, dass ich was suche und ich suche aber nicht nach grüne Schuhe, sondern ich suche eigentlich nach Drop Table XYZ. Eigentlich schreibe ich als Suchbegriff ein SQL-Statement in mein Textfeld rein, ne?
Sven Weizenegger: Exakt. Und das kannst du auch automatisieren. Es gibt so Tools wie Burp. Das suchst du auf Press, auch auf Play. Und das sucht dann nach allen möglichen Parametern, die die Webseite anbietet. Und das packt dann wirklich diese SQL-Statements rein, die er aus einer Tabelle nimmt. Und dann kriegst du auch die Ergebnisse schön präsentiert. Das war erfolgreich, das war nicht erfolgreich. Manchmal muss man auch manuell gucken.
Johannes Schaback: Das Interessante ist, dass wir hatten das in der Tat auch bei uns mal, dass du im Web-Server-Code quasi eins zu eins die Suchanfrage durchgibst bis auf die Datenbank. Und dadurch ist überhaupt so ein Injection-Attack möglich gewesen. Das ist ganz interessant. Aber das ist relativ leicht behebbar, glaube ich.
Sven Weizenegger: Ja, also du musst halt vorneweg sämtlichen Input filtern. Aber du solltest auch ein Backend nochmal machen, weil du solltest keinerlei Input vertrauen, der irgendwie vom Web-Server kommt. Auch das ist vielleicht böse. Das weißt du ja nicht. Auch da kann man im Backend das nochmal filtern, dass das wirklich nicht durchschlägt bis zum Ende.
Joel Kaczmarek: Was würdest du denn, wenn wir jetzt schon gerade so ein bisschen bei Schutzmechanismen sind, empfehlen bei dieser anderen Geschichte, die wir gerade hatten, also in den Phishing-Geschichten, dem Social Engineering, wenn jemand so eine E-Mail bekommt, wie kann ich erinnern, okay, klar, ich mache sie nicht auf, aber wenn vielleicht das Kind in den Boden schon gefallen ist, wie kann ich mit solchen Kisten umgehen?
Sven Weizenegger: Also das erste ist natürlich das Awareness, dass man es erst gar nicht aufmacht. Das ist immer das Effektivste. Die zweite Variante wäre, was auch Standard ist, einen Antiviren-Scanner drauf zu haben. Aber da muss man auch ganz ehrlich sagen, die ganzen klassischen Antiviren-Hersteller können da natürlich nicht mithalten. Wenn jemand etwas komplett Neues entwickelt und eine Schwachstelle im Browser ausnutzt, da wird der Antiviren-Hersteller vielleicht gar kein Update zur Verfügung haben. Jetzt gibt es aber Machine Learning und so.
Johannes Schaback: Ein Zero-Date-Exploit.
Sven Weizenegger: Exakt, ja. Aber es gibt jetzt Machine Learning, da gibt es auch neue Systeme wie Silence aus den USA zum Beispiel, was eben eher auf die Mechanismen, wie wird denn so eine Fachstelle überhaupt ausgenutzt, sich konzentriert und eben nicht Signaturen baut. Weil eine Signatur muss immer irgendjemand bauen. Der sitzt im Labor.
Johannes Schaback: Das muss man mal erklären, was eine Signatur ist.
Sven Weizenegger: Eine Signatur wäre zum Beispiel, jemand analysiert bestimmte Malware und hat bestimmte Charaktere dieser Malware entdeckt und baut eine Signatur darauf und datet dann den Anti-Viren-Scanner ab. Und sobald das irgendwie auftritt, sagt der Viren-Scanner, oh, ich habe eine Signatur dazu in meiner Datenbank. Ich melde das jetzt mal. So eine Art Pattern, ne? So eine Art Pattern, genau. So ein Flagging, so klingt das für mich. Ja, so in etwa. Aber das skaliert natürlich nicht.
Johannes Schaback: Du kannst auch nur Pattern bauen von Chart oder von Lücken, die du kennst vorher.
Sven Weizenegger: Exakt. Oder ich baue so eine gewisse Heuristik.
Johannes Schaback: Genau, oder Machine Learning.
Sven Weizenegger: Und Machine Learning ist halt smarter, weil dann sagst du irgendwie, ich analysiere jetzt mal 600 Millionen verschiedene Viren, packe die durch meinen Machine Learning Zoo und habe dann irgendwie 40 Merkmale entdeckt. und nur das betreue ich dann und baue das als Software und bin wesentlich proaktiver, weil ich nicht immer im Nachhinein diese Signaturen bauen muss.
Joel Kaczmarek: Da musst du aber ganz schön eine Masse an Daten reinhämmern, damit sowas funktioniert.
Sven Weizenegger: Ja, kriegt man aber. Also es gibt auch so öffentliche Datenbanken, wo man relativ viel Malware bekommt. Ich kenne auch Malware-Researcher, die haben Terabyte an Samples. So testen ja auch ihre Antiviren-Scanner. Die schließen dann die Festplatte an und gucken mal, was die erkennen.
Johannes Schaback: Es gibt ja auch immer sehr häufig die Fälle von sogenannten Disregional-of-Service-Attacken. Kannst du das erklären? Wann tritt das auf?
Sven Weizenegger: Also das ist relativ einfach zu erklären, weil ich kapere so viele Rechner, wie ich nur kann und beschließe einen Web-Server oder eine bestimmte IP-Adresse oder eine Anwendung, bis sie nicht mehr antworten kann. Das ist ein Distributed Denial of Service letztendlich. Was kann ich dagegen machen? Es gibt riesige Anbieter auf dem Markt, die sowas verhindern, wie zum Beispiel Arbor, Link11 oder auch meistens der Provider, der dann irgendwann merkt, okay, da kommt auf einmal so eine Last über die Leitung, die eigentlich nicht normal war. Ich aktiviere jetzt gewisse Sicherheitsmaßnahmen.
Johannes Schaback: Und dann wird der Traffic einfach früher gedroppt.
Sven Weizenegger: Ja, exakt. Du kannst es droppen, du kannst ihn umleiten vielleicht auch.
Joel Kaczmarek: Aber funktioniert das richtig zuverlässig? Ich erinnere mich so aus der Sturm-und-Drang-Phase des Berliner Internets. Daily Deal, weiß ich, hatte damit Probleme gehabt. Ich meine, StudiVZ hatte auch damit Probleme gehabt, dass du teilweise aus Osteuropa irgendwie diese Hardcore-Bomben da auf deine Seite kriegst und die haben das teilweise tagelang nicht weggekriegt. Vielleicht ist das manchmal so eine Professionalisierungsgradfrage, dass man da als Firma auch wächst. Aber damals war das richtig ein Problem über tagelang in Erfmingen.
Sven Weizenegger: Also man sollte vielleicht einen ISP wählen, der ein relativ großes Netzwerk hat und der vielleicht auch an den Außenkanten erkennt, da kommt auf einmal Traffic und da das schon versuchen zu filtern.
Johannes Schaback: Also viele Content Delivery Networks können das, habe ich das Gefühl.
Sven Weizenegger: So eine Akamai und so machen das ja inzwischen. Auch Cloudflare ist ja letztendlich Content Delivery Network mit ein bisschen DDoS.
Joel Kaczmarek: Könnt ihr vielleicht mal für die Non-Techies einen Satz zu diesem ganzen Thema Content Delivery Network sagen, damit man das mal irgendwie klarkriegt? Also wir müssen übersetzen.
Johannes Schaback: Ja, also Content-Delivery-Networks sind im Grunde große Netzwerke aus Rechnern, die ganz, ganz, ganz stark verteilt in Städten, in Regionen, in Ballungszentren versuchen, bestimmte Daten vorzuhalten, die häufig abgerufen werden. Wie so ein Cache. Und Akamai beispielsweise funktioniert so, dass du, das nennt sich Endpoints, haben in jeder größeren Stadt letztendlich auf der letzten Meile, sagen sie immer, einen so einen Rechner, der Häufig abgerufene Inhalte beispielsweise von Facebook oder anderen Services, die mit Akamai kooperieren, hinterlegen. Ladenzahle beispielsweise kooperiert mit Akamai auch und wir cachen unsere Bilder. Und was letztendlich damit erreicht wird, ist, dass die Download-Geschwindigkeit massiv reduziert wird, weil du nicht mehr als Kunde über den halben Globus deine Inhalte abrufen musst, sondern nur noch idealerweise ein paar Meter abrufst. oder eben paar Kilometer von einem sehr, sehr starken, sehr, sehr vollständigen Cache, der eben sehr nah an dir dran steht. Das machen letztendlich Content-Delivery-Networks. Und das Tolle ist eben bei solchen Denial-of-Service-Attacken, wenn die jetzt anfangen, das Content-Delivery-Network anzugreifen, können die immer nur lediglich ihren Endpunkt, also ihren lokalen Cache angreifen und können aber nicht, es sei denn, sie sind schlau, die zentrale Instanz, die eigentlich dafür da ist, diese Inhalte zentral auszuliefern, in das Content-Delivery-Network angreifen.
Sven Weizenegger: Das müsste aber jemand sehr Gutes sein und wirklich auch Ressourcen und Geld haben, um das auch durchzuführen.
Johannes Schaback: Ja, und das kann du dich auch schützen, indem du bestimmte IPs zulässt und so weiter.
Joel Kaczmarek: Spannende Frage. Was kostet denn eigentlich Hacking?
Sven Weizenegger: Also Hacking ist ja inzwischen ein sehr valider Business Case. Ich hatte mal einen Vortrag an Apps gehalten, genau zu dem Thema. Hacking als valide Business Case. Da kam auch ganz gut an. Du kannst dir im Online-Shop sogar, Software as a Service würde ich mal dazu sagen, oder Hacking as a Service, für ein paar hundert Dollar kannst du dir eine DDoS-Attacke kaufen. Und customizen deine Software sogar. Du kannst auch sagen, ich möchte diese IP bitte angreifen. Und am Morgen sagst du, ach, ich habe mich doch umstimmen lassen. Ich nehme doch die und dann ändern die das für dich. Das ist wirklich auch sehr professionell, weil da gibt es auch Chats und auch E-Mail und Foren. Da gibt es Betriebseinheiten, 24-Stunden-Betriebe. So einige Startups können davon auch, glaube ich, lernen. Am Ende sind es professionelle Unternehmen, die da aufgebaut werden.
Joel Kaczmarek: Dann tracken die deine IP und wirst ja noch erpresst. Das ist noch der zweite Arm des Geschäftsmodells.
Johannes Schaback: Es gibt ja also Services, die sozusagen so freie Researchers, in Anführungsstrichen, die untersuchen größere Websites auf Schwachstellen und stellen dann, wenn sie was gefunden haben, ihre Erkenntnisse in öffentlich zugänglichen Webseiten ein und schreiben dir dann und sagen so, ja, unser Researcher hat Schwachstelle XY, zum Beispiel Cross-Site-Scripting, müssen wir gleich mal drüber sprechen, gefunden für einen kleinen Kostenbeitrag von 10.000 Euro. würden wir Ihnen helfen, Ihnen überhaupt erstmal zu sagen, was diese Schwachstelle überhaupt war.
Sven Weizenegger: Sehr seriös.
Johannes Schaback: Sehr seriös, kommt aber häufig vor.
Joel Kaczmarek: Wie geht man mit sowas um?
Sven Weizenegger: Das ist ein relativ schwieriges Thema, glaube ich. Das hat ja was von Erpressung.
Joel Kaczmarek: Das ist pure Erpressung.
Sven Weizenegger: Also ich persönlich würde nicht darauf eingehen. Ich würde mir dann vielleicht meinen IT-Sicherheitsfachmann fragen, könnte da die Möglichkeit bestehen, dass das überhaupt machbar ist, um gegebenenfalls einen anderen Experten zu Rate ziehen. Wäre meine Empfehlung.
Johannes Schaback: In dem Moment, wo du weißt, es ist Cross-Site-Scripting, dann weißt du halt, okay, es gibt diese drei Stellen oder vier Stellen auf einer Website, die wir vielleicht geändert haben. Oder wenn du nicht weißt, dass sie überhaupt anfällig sind für Cross-Site-Scripting. Oder was auch immer für eine Tag da gewählt wurde. Und dann kann man das in der Regel selber fixen. Cross-Site-Scripting finde ich ein sehr, sehr spannendes Thema, weil es gerade für Websites sehr, sehr relevant ist. Kannst du das nochmal kurz erklären und vielleicht mit deiner eigenen Erfahrung, wie man damit umgeht?
Sven Weizenegger: Also ich erkläre das mal ganz, ganz einfach. Ihr kennt ja diese JavaScript-Popups von den Streaming-Webseiten zum Beispiel. Da klickt man auf OK oder Abbrechen. Letztendlich ist es nichts anderes, als dass der Angreifer, wie auch bei dem SQL-Thema, bei dem Injection-Thema, versucht, in eckige Klammern JavaScript und dann irgendeinen Befehl reinzupacken und ihm zum Ausführen zu bringen. Das perfide dabei ist, dass das im Kontext des Benutzers ausgeführt wird, der auf die Website zum Beispiel geht. Nur mal ladenzeile.de, ich bin im Forum. Euer Forum hat zum Beispiel eine Cross-Site-Scripting-Schwachstelle. Ich packe das da rein und jetzt geht Besucher B auf die Webseite und das JavaScript liest zum Beispiel den Cookie aus und leitet den vielleicht sogar weiter. Wenn ich den Cookie habe als Angreifer, kopiere ich den in meinen Browser sozusagen und bin auf einmal der Benutzer. User A, ja. Aber seltenerweise ist das Problem seit 15 Jahren präsent und es kommt immer noch vor. Ich bin sehr überrascht. Es ist immer noch in den Top 10. Ich glaube sogar in den Top 3. OWASP. Ja, genau. Dieses Konsortium.
Johannes Schaback: Genau, das Konsortium. Kannst du vielleicht kurz erklären, was ist dieses OWASP-Konsortium?
Sven Weizenegger: Das ist ein Konsortium, was sich das Thema Web Security angenommen hat und verschiedene Projekte eingestellt hat. Zum Beispiel, wie hätte ich meine Anwendung gestaltet. auch Beispielanwendungen von unsicheren Anwendungen bereitstellt, um zu üben. Die erstellen auch eine Top 10 mit den bekanntesten Schwachstellen. Und das ist meistens immer dieselben. Also dieses Injection-Thema, Cross-Site-Skript, den seit über zehn Jahren immer noch ganz prominent. Man denkt immer, ja, das ist doch kein Thema mehr. Aber es tritt leider immer noch auf.
Johannes Schaback: Ich finde es total auch spannend, das als Checklist zu benutzen, um zu gucken, was für mögliche Angriffsarten oder was ist die Wahrscheinlichkeit, welche Angriffsarten wir wahrscheinlich auch unterliegen würden.
Joel Kaczmarek: Wenn wir jetzt mal für den richtigen Laien sozusagen mal Hacks einordnen. Der liest irgendwie in der Zeitung, ja, hallo, hallo, Yahoo wurde gehackt. Oder hier die Geschichte mit dem, wie hieß nochmal dieses kanadische Seitensprungportal, was man gar nicht einfallen will.
Johannes Schaback: What's happening.
Joel Kaczmarek: Was ist dann da typischerweise passiert?
Sven Weizenegger: Bei Yahoo kann ich es dir nicht beantworten, was da passiert ist. Auf jeden Fall wurde das Thema wohl nicht sehr ernst genommen ganz oben. Das hat sich ja auch für den Bonus negativ ausgewirkt. Also da sieht man, Security ist CEO-Thema. Dass das sogar auf den Bonus sich auswirkt. Bei dem anderen Thema, da werden halt Dropbox-Accounts gehackt. Zum Beispiel, ich schicke jetzt einem Promi eine E-Mail und verleite ihn dazu, die zu öffnen. Und er hat vielleicht gerade Dropbox sogar offen. Und ich nutze die Schwachstelle aus, dann bin ich auf einmal in so einem Dropbox-Account vielleicht. Oder ich übernehme so einen E-Mail-Account, weil ich sein Passwort zum Beispiel geraten habe. Viele Benutzer tendieren ja dazu, eher faul zu sein und zum Beispiel keine Zweifach-Authentifizierung anzumachen. Wie bei Twitter zum Beispiel. Also wenn ich mich auf Twitter anmelden will, bei meinem privaten Account, kriege ich immer eine SMS. Mit einem sechsstelligen Code, glaube ich, ist das. Und die muss ich halt eingeben. Viele machen das nicht. Und was ist letztens passiert mit der jungen Union? Ich gehe jetzt mal davon aus, dass es gefehlt hat. Da wurde der Account gelöscht. Als SPDler würde ich jetzt vielleicht lachen, als CDUler fände ich das vielleicht nicht so schön. Aber so relativ simple Maßnahmen, die schon helfen, das Sicherheitsniveau zu erhöhen, weil sie sind ja vorhanden. Viele machen es aber auch nicht.
Johannes Schaback: Das heißt, das Problem besteht eigentlich bei Security in der Regel immer zwischen Stuhl und Monitor.
Sven Weizenegger: Ja, der dümmste anzunehmende User, sagt man ja. DAO, den Begriff kennt ihr bestimmt. Er sitzt wirklich vorm Rechner. Leider Gottes.
Johannes Schaback: Was ist mit dem The Fappening? Erinnerst du dich daran, in 2014, an diese gehackten iCloud?
Sven Weizenegger: Das war diese Promi-Geschichte, glaube ich. Da war eine relativ komplexe Geschichte, glaube ich, mit den iTunes-Accounts, weil das relativ seltsam gemacht wurde. Und ich glaube, die haben den Passwörter zurückgesetzt. Ich bin mir aber nicht ganz sicher. Auf jeden Fall sind sie auf die iCloud-Daten gekommen. Und da waren so Promi-Fotos in eher nicht so positiven Szenen zu sehen. Und da wurden, glaube ich, die Promis auch erpresst. Aber auch da wieder, dieses Phishing. Ich sende ihm eine E-Mail, verleite ihn die E-Mail zu öffnen mit dem PDF und mache dann Schabernack mit dem Rechner.
Joel Kaczmarek: Jetzt mal den Fall genommen, dass ich betroffen bin. Ich bin eins dieser Unternehmen, wo ich irgendwie jetzt merke, fuck, ich wurde gehackt. Was sind eigentlich die Auswirkungen von sowas?
Sven Weizenegger: Also zuerst sollte man zur Polizei gehen, ganz wichtig. Das Wichtigste. Die Auswirkung hängt immer davon ab, ob Kundendaten abhandengekommen sind. Also nur weil man gehackt wurde, heißt es ja nicht, dass per se jemand die Daten öffentlich stellt. Vielleicht verkauft er das, vielleicht kriegt der Kunde es gar nicht mit.
Johannes Schaback: Genau, das wollte ich gerade sagen.
Sven Weizenegger: Das sind in den meisten Fällen sogar so.
Johannes Schaback: Ich muss erst mal wissen, dass du gehackt bist.
Sven Weizenegger: Genau, ich muss erst mal wissen. Viele merken das vielleicht erst, wenn sie auf der CeBIT sind und feststellen, oh, der Konkurrente hat ja dasselbe Produkt wie ich.
Johannes Schaback: Oder auf 4chan seine eigenen Fotos findet.
Joel Kaczmarek: Okay, also oft unbemerkt eigentlich so ein Hack. Ja.
Sven Weizenegger: Exakt. Und da muss sich natürlich jemand melden im zweiten Fall, dass etwas passiert ist. Oder ich merke es selber. Oder jemand teilt mir mit, zum Beispiel Partnerunternehmen, du, du wurdest gerade gehackt, weil ich kriege auf einmal Angebote vom Konkurrenten und die sind preislich unter deinem. Was ist denn da los auf einmal? Auch sowas passiert mal.
Joel Kaczmarek: Gut, also Anzeige, checken, was ist eigentlich passiert. Was sind aber wirklich dann so die Konsequenzen dessen? Also wie wirkt sich das aus? Womit muss man rechnen? Was ist so dein typisches Bild davon?
Sven Weizenegger: Mein typisches Bild ist, dass die Behörden sich teilweise einschalten, so Datenschutzbehörden, besonders wenn Kundendatenabhandlungen kommen. Ab 2018 wird das nochmal dramatischer, weil ab 2018 tritt die neue EU-Datenschutzregelung in Kraft. Und dort muss man nach einer bestimmten Anzahl von Stunden Angriff auch melden. Ist auch mit Strafen hinterlegt. Also wir sprechen von 4% des Total Revenues, beziehungsweise maximal 20 Millionen. Das kann die Existenz eines Unternehmens zerstören.
Joel Kaczmarek: Ja, krass. Da versteht man, glaube ich, immer mehr, was du gesagt hast, dass das so Top-Level-Management-Thema sein muss.
Sven Weizenegger: Ja, darum werden ja auch immer mehr Cyber-Security-Versicherungen abgeschlossen, um sich eben davor zu bewahren, wenn es nämlich eintritt, was immer passieren kann. Ich sage immer im Cyber-Security-Business, ich bereite mich auf den Ernstfall vor. Weil eines Tages wird es passieren. Ja, ich weiß es. Aber ich versuche, das nach hinten zu schieben. Und wenn es passiert, dass ich die Fähigkeiten habe, richtig zu reagieren und Maßnahmen zu ergreifen, dass ich den Angriff so gering wie möglich oder so viel wie möglich eindämme.
Johannes Schaback: Was würdest du konkret vorschlagen? Also was ist deine Checkliste, deine Metalle?
Sven Weizenegger: Also das mag vielleicht ein bisschen verwundern, aber Patch-Management, also deine Systeme up-to-date zu halten, das ist so. das Nonplusultra, klingt einfach, ist es aber gar nicht. Meine Erfahrung ist, 80% dieser Themen, dieser Hacks, kommen eben deswegen, weil jemand die Software nicht upgedatet hat, weil jemand sein Administrationspanel nicht abgesichert hat. Weil er ein einfaches Passwort gesetzt hat. Die Geheimdienste machen auch nichts anderes als zu versuchen, die einfachste Lücke auszunutzen, die präsent ist. Wieso soll ich eine Million Euro investieren in ein Exploit, wenn die Tür doch eh weit offen ist und das Passwort Admin 123 ist? Absolut. Dieses typische 80-20-Prinzip. Man kann mit relativ einfachen Mitteln schon sehr viel erreichen.
Johannes Schaback: Wie stark kann man sich helfen lassen? von Agenturen, Freelancern? Du hast jetzt vorhin schon eingangs darüber gesprochen, dass es ein Viable Business ist, also wenn du so einen White Hat Hacker engagierst. Wie kann man da vorgehen? Woher weiß ich, was ein vernünftiges Maß an Sicherheit ist? Also das letzte Quäntchen Sicherheit wird sehr, sehr teuer oder ich werde es auch nicht erreichen, aber dass ich wenigstens so diese 80 Prozent erreiche. Da fehlt ja einem ja häufig als Unternehmer die Einschätzung. Wie würdest du da vorgehen?
Sven Weizenegger: Das ist klassisches Risk Management. Wie teuer kann so ein Schadensfall sein? Und wie teuer ist die Maßnahme, um es zu verhindern oder es einzudämmen? Wenn die Maßnahme teurer ist als der Schadensfall, dann sollte man die Maßnahme vielleicht nicht umsetzen.
Johannes Schaback: Das verstehe ich. Aber dafür musst du ja schon erstmal wissen, was es für Maßnahmen gibt. Und wenn du noch weiter vorne stehst und eigentlich gar nicht genau weißt, Also das schwächste Glied in der Kette ist ja das Problem und du weißt aber gar nicht, was du für Glieder hast in dieser Kette so richtig. Wie kriegst du sozusagen so einen holistischen Blick auf deine Infrastruktur, um einmal zu sehen, okay, das ist meine Systematik, sondern die einzelnen Punkte, die ich abarbeiten muss und die ich einfach mal einmal erfassen muss, um dann sozusagen in den einzelnen Deep Dive Themen nochmal zu schauen, wie sicher ich da bin.
Sven Weizenegger: Also was ich ganz gerne mache, ist zum Beispiel das Thema ISO 2701, was ein internationaler Standard ist zum Thema IT-Sicherheitsmanagement. Weil es gibt so gewisse Themen vor, wie zum Beispiel Asset-Management, Bring-Your-On-Device-Policies zu erstellen, wie gehe ich mit meiner Entwicklungsumgebung um, wie mache ich meine Operation, wie mache ich die physische Sicherheit etc. etc. Weil diese Policies helfen letztendlich wirklich sogenannte Objectives festzulegen. Was will ich überhaupt erreichen? Und eine Policy hilft letztendlich auch zu verstehen, was sind eigentlich meine Risiken in meinem Business? Wer ist überhaupt verantwortlich für was? Wie rufe ich denn an, wenn was passiert? Und ISO 7001 ist zwar sehr komplex, aber es gibt so einfache Formen, soweit ich weiß, auch für Mittelstand. Aber daran kann man sich zum Beispiel ganz einfach orientieren, weil das schon vorgegeben ist. Also man muss das Rad nicht komplett neu erfinden. Es gibt so gewisse Themen. Es gibt auch massig Policies, die man ein bisschen ändern muss, damit es wirklich angepasst ist an das Unternehmen. Wenn ich zum Beispiel als Unternehmen sage, ich unterstütze B&O und die weiß überhaupt nicht, dann muss ich auch die Policy nicht bauen. Dann muss ich auch keine Maßnahmen entwickeln.
Joel Kaczmarek: Aber ich meine, das ist ja wirklich ein Thema. Ich erinnere mich, wir haben damals, als ich meine eigene Gründung Sessionbird gestartet hatte, wir waren ja irgendwie eine kleine Firma, vier Mann, gerade erst gestartet. Wir haben witzigerweise auch auf das Thema gesetzt, weil meine Mitgründer so auf dem Thema Serverhärtung und all sowas Experte waren. Und ich erinnere mich, wenn du diese ISO-Geschichten dir anguckst, ich musste, glaube ich, Zeugs unterschreiben. Was tue ich für den Erdbebenfall in Berlin? Wie kommen dann meine Mitarbeiter an den Rechner? Also die abstrusesten und wirklich komplexesten Themen teilweise. Also du hast ja gerade selber auch so ein bisschen schon angedeutet, Startup-tauglich?
Sven Weizenegger: Nee, überhaupt nicht. Also ich glaube, besonders junge Startups, die sich mit dem Thema beschäftigen, sollten sich vielleicht auf andere Dinge fokussieren, weil man will ja wachsen. Ich glaube, ab einer gewissen Größe, wenn es Richtung B, C runtergeht, muss man sich mit dem Thema beschäftigen, weil auch die Investoren das fordern, weil man wesentlich mehr exponiert ist.
Johannes Schaback: Ich finde dann einen Hinweis gut, dass du guckst, was hast du zu verlieren? Und dann wirklich schaust, okay, so ein Worst Case und dann runterbrechen, was muss ich wirklich erstmal schützen? Trotzdem ist es ja wirklich manchmal immer noch so, dass du gar nicht so sehr weißt, was das für ein Sicherheitsrisiko bedeutet, dass die Leute ihre eigenen Handys mitbringen und einfach im WLAN lustig halt laufen lassen. Das ist ja Wahnsinn. Und diese Awareness ist ja gar nicht da. Als Unternehmen schaut man häufig, okay, meine Kundendaten sind mir heilig, aber gleichzeitig schreibe ich meinen Mitarbeitern keine Two-Factor-Authentication vor. Auch wenn der Server total wasserdicht ist, muss halt nur der Systemadministrator-Account gehackt werden und schon bin ich drin. Also das finde ich sehr interessant, dass man eigentlich über Umwege, die insbesondere immer den Menschen als Schwachstelle haben, dann doch immer wieder reinkommt.
Joel Kaczmarek: Was Johannes ja so ein bisschen schon angedeutet hatte, ist, wie man sich extern helfen kann. Ich glaube, der wollte so ein bisschen auf dieses Thema hinaus. Ich habe das bei einem bekannten Social Network aus Deutschland mitgekriegt, dass sich irgendwie der Gründer vor den CCC gestellt hat, hat gesagt, meine Seite ist unhackbar. und so 30 bis 45 Minuten später kannst du dir vorstellen, was die Reaktion war?
Sven Weizenegger: Großer, großer Fehler. Also ich meine, so etwas herauszufordern, das würde ich mir nicht trauen.
Joel Kaczmarek: Aber was die witzigerweise daraus gemacht haben, war, die haben dann eigentlich Belohnungen. Also hier, da gibt es ja auch immer diese, wie heißt das? Bug-Bounty. Genau, Bug-Bounty-Geschichten daraus gemacht. Das war wohl nicht ganz unkritisch, weil in Deutschland musstest du damals wohl aufpassen, das war so Anstiftung zu einer Straftat, zumindest so, wie Sie es formuliert hatten. Aber long story short, dieses Bug-Bounty-Geschichte oder Penetration-Tests durch diese White-Hat-Hacker machen zu lassen, ist das was, was üblich ist, dass man sozusagen Leute dafür zahlt, genau solche Schwachstellen zu suchen?
Sven Weizenegger: Das ist sehr üblich. Also ich kenne viele Unternehmen, die das einmal im Jahr über ihre Infrastruktur machen lassen. Oder wenn Sie besonders kritische und neue Anwendungen ins Netz stellen, wie zum Beispiel so eine Bank, ein neues Online-Portal, dann wird das auf Herz und Nieren geprüft. Ersetzt aber glaube ich nicht, dass man sich darum kümmern sollte, dass man die Dinge von vornherein sicher macht in der Entwicklung. Also ich bin ein großer Fan davon. Ich finde so ein Bugbound ist eher so ein Placebo und sehr viel PR. Ich finde es spannend, wenn man sagt Secure by Design. Ich initiiere das Know-how, das Security-Know-how in die Entwickler, in die Entwicklungsteams hinein, weil man dann von Anfang an die Dinge richtig betrachtet und vor allem dann auch Geld spart. Weil wenn ich erst einen Bug entdecke, den ich in der Produktion habe, kostet mich das laut HP 30 Mal mehr, als wenn ich das ganz vorne im Design, in der Spezifikation schon aufnehme. verhindern kann. Ich weiß nicht, wie du das siehst. Absolut.
Johannes Schaback: Total. Ich frage mich gerade, was für Workshops gibst du dann den Entwicklern? Wie injizierst du dieses Wissen?
Sven Weizenegger: Also wir gehen immer über Policies. Liebe Leute, wir haben ein gewisses Mandat. Und unsere Entwicklungsumgebung sieht so aus. Wir haben diesen Technologie-Stack. Wir benutzen Java vielleicht oder auch PHP. Und du hattest gerade schon gesagt, dieses Konsortium, das ist immer ganz gut zu sagen, hier, das sind so die Top-Schwachstellen. Wir zeigen euch mal bei uns, das ist ganz wichtig, wenn man die Möglichkeiten hat und die Ressourcen, das bei sich selbst zu zeigen, weil die Leute dazu tendieren zu sagen, ach, bei uns, wir haben noch die neuesten Libraries und wir haben die neuesten Hipster-Libraries im Einsatz, da passiert schon nichts. Dass man den wirklich exemplarisch zeigt, doch Leute, das kann passieren. Und sie mit so auf die Reise nimmt. Weil was ja keiner will, ist, um Freitag um 23 Uhr angerufen zu werden vom Sicherheitschef und gesagt zu bekommen, du musst das mal eben fixen, weil wir gerade eine Injection haben. Lass uns doch vornherein das richtig machen und Teil deines Projektes werden lassen. Weil irgendwann, was nämlich passiert ist, dass man es gar nicht mehr mitkriegt, dass man sicher programmiert, weil es in einem drin ist. Sozusagen Part der DNA.
Joel Kaczmarek: Wie stehst du denn zu diesem ganzen Thema auditieren lassen? Also es gibt ja irgendwie mehrere TÜVs in Deutschland. Es gibt mehrere Beratungen, bei denen du sowas irgendwie machen kannst. Ist das irgendwie was, was irgendwie sinnvoll ist, sozusagen so einen externen Blick nochmal drauf zu haben?
Sven Weizenegger: Auditierung ist sehr teuer. Die Frage ist immer, gibt es überhaupt eine Obliegenheit, sich zertifizieren zu lassen? Was es nicht gibt, und das ist ein kleines Märchen, dass man eine komplette Organisation zertifizieren lassen kann. Das geht gar nicht. Das ist viel zu aufwendig, weil wenn du dieses ISO 27001 umsetzen würdest, komplette Organisation, du hast dann 2000 Mann Betrieb, dann werden die nicht mehr arbeiten können. Das ist unmöglich. Darum glaube ich nicht. Darum lässt man immer einen gewissen Teilbereich zertifizieren. Zum Beispiel sein Rechenzentrum oder die Entwicklungsumgebung. Aber man macht das nie für die komplette Organisation. Das ist Unsinn. Man braucht externe Leute, weil das ist relativ aufwendig. Das beginnt mit Policies. Und es wird ja auch die Wirksamkeit dieser Policies überprüft. Was habe ich davon, wenn da drinsteht, dein Passwort muss acht Zeichen drin sein, haben, aber ich habe es technisch gar nicht umgesetzt. Das gibt es in TÜV, die Deutsche Telekom macht das. Der Markt ist halt sehr fragmentiert. Am besten fragt man, habt ihr überhaupt ein Zertifikat, habt ihr trainierte Leute, wie oft habt ihr das schon gemacht? Gegebenenfalls Referenzkunden, wobei man über Referenzkunden nicht so gerne spricht. Und die Seite sollte relativ seriös aussehen. Wenn da irgendwie alles schwarz ist und die Schriftfarben stimmen nicht überein.
Johannes Schaback: Ist das wirklich ein Kriterium? Ich hätte gerade gedacht, dann sind die erst recht gut.
Sven Weizenegger: Nee, also wenn es um Zertifizierung geht, glaube ich nicht, weil man da sehr formell arbeitet. Das sind wirklich so die typischen Krawettenträger. Interessant.
Joel Kaczmarek: Ich habe das nämlich genauso kennengelernt. Da war mal in dieser Erdbebenkiste drin, mit was passiert, wenn da irgendwie
Sven Weizenegger: Aber das ist relativ spannend, weil Erdbeben ist. Business Continuity Management, also BCM, hat mit Sicherheit schon was zu tun. Das ist ja der Fall, der eintritt, wenn die absolute Katastrophe stattfindet. Ich glaube, damit muss man sich beschäftigen, wenn man irgendwie den Börsengang macht.
Joel Kaczmarek: Siehst du mal, was ich für ein geiles Start-up gebaut habe.
Sven Weizenegger: Ja, komisch.
Joel Kaczmarek: Oder für ein dämliches.
Sven Weizenegger: Aber viele Risiken kann man ja auch outsourcen. Zum Beispiel, wenn man in die Amazon-Cloud geht oder zur Telekom-Cloud oder zu Microsoft, sagt man, gewisse Risiken habe ich ja nicht mehr, weil ich muss mich um das Thema Zutrittskontrolle im Rechenzentrum nicht mehr kümmern, weil ich habe einen Dienstleister. Darum bin ich auch ein großer Fan von Cloud. Ich glaube, ein Cloud-Anbieter kann die Cloud-Umgebung besser absichern als eine Zweimann-IT-Abteilung irgendwie in Bayern bei den Mittelständern.
Joel Kaczmarek: Wie sehr würdest du dich denn generell bei dem ganzen Thema Security und IT auf externe Hilfe versus interne verlassen? Also wie viel sollte man extern abbilden? oder ist das eher nur ein Kontrollorgan, was man extern nutzen kann?
Sven Weizenegger: Ich meine, wenn das Hauptbusiness kein Security-Business ist, dann sollte man das relativ viel Outsourcing betreiben. glaube ich, ganz stark dran. Aber man sollte jemanden bei sich haben, der das Thema versteht, der das auch steuern kann. Weil wenn man es dann auch komplett abgibt, ist es auch schlecht. Weil wenn man den Dienstleister irgendwann wechselt, wie geht man mit dem Thema um? Man muss ihn dann neu auffrischen, man muss das neu bezahlen. Also man sollte mindestens einen haben, der sich mit dem Thema beschäftigt. Der muss vielleicht technisch gar nicht so drin sein, Aber da musst du einen guten Überblick haben.
Johannes Schaback: Was sind so spektakuläre Hacks, die dir einfallen? Ich finde The Fappening schon ziemlich abgefahren. Auch diesen Yahoo-Case fand ich interessant. Was sind so spektakuläre Hacks? Ein Case, den ich sehr spektakulär fand, war, dass die Leute sniffen, also mithören. Die Sequenz, die ein Autoschlüssel an das Auto schickt, wenn du auf den Knopf drückst, sozusagen so ein Fernöffnungsding,
Sven Weizenegger: das kannst du
Johannes Schaback: mitschneiden und einfach quasi genau dasselbe Signal nochmal schicken, weil die einfach zu dem Zeitpunkt nicht einen zeitdauerlichen Wert in dieses Signal mit enkodiert haben, sodass quasi nur wenn du auf beiden Seiten denselben Schlüssel hättest, könntest du sozusagen das dekodieren. Und dann konntest du das einfach wieder abspielen und das Auto öffnen. Das fand ich damals schon ziemlich, ziemlich abgefahren. Mittlerweile ist das, glaube ich, einfach lösbar. Was gibt es so für spektakuläre Hacks, die dir einfallen?
Sven Weizenegger: Also mir fallen spontan zwei Dinge ein. Alles, was mit Autos zu tun hat und Bluetooth-Technologie. Ich kenne halt Filme, die standen wirklich auf der Brücke und haben mit so einer Pringelsdose auf das Auto geschossen. und haben es zum Bremsen gebracht. Ja, total spannend. Weil die Auswärter sagen immer, ja, das Multimediasystem ist überhaupt nicht mit dem anderen System gekoppelt. Ist es manchmal, ja. Weil woher soll das Cockpit wissen, wie die Beschleunigung ist? Irgendwo müssen die Informationen herkommen. Was ich auch sehr spannend finde, was ich auch selbst gemacht habe, aber in erlaubten Umgebungen, ja, Handys ablauschen. Also sprich, ich baue ein Signal auf, was stärker ist. Was macht das Handy? Es geht meistens in das Netz rein, was das stärkste Signal hat. Das ist so der Standard. Und dann kann man halt zuhören. Also super spannend. Ich weiß nicht, ob das heute noch geht.
Joel Kaczmarek: Hast du nicht generell manchmal sozusagen die Verführung, dass du Dinge machen möchtest, wo du dir denkst, E-Mails auslesen, Handys abhören, Dienste hacken, Konkurrenten zum Erliegen bringen?
Sven Weizenegger: Also Konkurrenten zum Erliegen bringen wäre illegal.
Joel Kaczmarek: Handys abführen würde ich sagen auch.
Sven Weizenegger: Ja, ich durfte das damals. Das war so eine Testumgebung, das war so eine Demo, so CeBIT-mäßig war das. E-Mails lesen, was ich nicht weiß, macht mich nicht heiß. Also das tangiert mich jetzt ehrlich gesagt nicht so, ob jemand was in seiner E-Mail-Box hat.
Joel Kaczmarek: Es gibt E-Mail-Boxen, die abzuhören, glaube ich, sehr, sehr spannend wären.
Sven Weizenegger: Bestimmt, aber ich habe ja kein Interesse daran.
Johannes Schaback: Was weißt du über diesen Clinton-Case?
Sven Weizenegger: Das, was man so in der Presse liest, mehr weiß ich auch nicht. Aber die Vermutung liegt da sehr nah, was dort passiert ist.
Johannes Schaback: Dass sie auch gefischt wurde, also ein Fishing-Case, oder?
Sven Weizenegger: Ja, aber es war auch schön doof von ihr, den E-Mail-Server bei sich unterm Freitagstisch zu haben. Also da fängt es ja schon mal an. Es ist halt total unnötig, diesen Vektor, wir hatten ja vorhin gesagt, Angriffsvektor, da war ja offen, wie sonst was. Hätte sie das irgendwie über die Dienstadresse gemacht, wo die Server ja gehärtet sind, da sind irgendwie Leute, die passen darauf auf, die updaten die Server, da wäre es vielleicht gar nicht passiert.
Joel Kaczmarek: Ich meine, vielleicht, wo wir bei spannenden Hacks sind, sollte man einen Satz zu dieser Kabanjak-Gruppe sagen. Hast du das irgendwie verfolgt? Nee. Also das war irgendwie so. eine russische, ich habe es auch gerade nochmal nachgeschlagen, also Kabanjak war die, die ich kannte und Anunrak oder so ähnlich, die zweite, die im Prinzip russische Banken gehackt haben. Indem die eigentlich diesen Weg gegangen sind, wie was wir vorhin gesagt haben, den Filialleitern eine E-Mail geschickt mit irgendwie das Foto ihres letzten Events, haben dann die Rechner von denen gehijackt und dann haben die angefangen, die Kameras der Filialen und die Rechner sozusagen über Wochen anzuzapfen und haben wochenlang die Prozesse dieser Banken erstmal gescannt. Wie geben die ihre Daten ein? Was machen die, wenn jemand ein Konto eröffnet und so weiter und so fort? Und dann haben sie so ihren Fischzug gestartet und haben mit einem Schlag irgendwie 20, 30 Millionen Euro oder Rubel waren es wahrscheinlich, erbeutet. Teilweise sind sie dann wohl aufgeflogen, weil sie an den EC-Kartenautomaten gegangen sind, haben eine Karte reingesteckt und die Scheine flogen raus, wie bei so einer Kartenmischmaschine, die nicht funktioniert.
Sven Weizenegger: Also es war halt sehr zielgerichtet, was du gerade erzählst. Das heißt, da hat wirklich jemand Ressourcen reingesteckt, Geld reingesteckt, Organisationen aufgebaut, um das überhaupt zu planen und durchzuführen.
Johannes Schaback: Was sind gängige Security-Mechanismen? Also mein Eindruck ist, dass Security eigentlich eine Commodity ist. Also zumindest, das ist alles offen. Der Algorithmus ist immer bekannt, die Schlüssel sind versteckt oder sind geheim. Also HTTPS, weiß jeder, wie HTTPS funktioniert, aber natürlich die Schlüssel sind
Sven Weizenegger: Auch die wurden schon gehackt. Ich meine, es gibt ja nicht so viele Anbieter, die diese Schlüssel verteilen.
Johannes Schaback: Du meinst die Zertifikate?
Sven Weizenegger: Ja, genau. Also Komodo, glaube ich, wurde letztens auch gehackt. Wenn man da reinkommt und selbst sich Zertifikate ausstellen kann und ich verleite jemanden, auf eine böse Website zu gehen, aber der Balken oben im Browser sagt, alles sicher, was machst du denn als Benutzer?
Johannes Schaback: Das finde ich interessant, weil HTTPS ist etwas, was wirklich auch unsere Zuhörer kennen. Vielleicht sollten wir darüber nochmal ein bisschen sprechen, wie das genau funktioniert. Also wieso ist HTTPS eigentlich sicherer als HTTP?
Sven Weizenegger: HTTP ist ja Klartext, was ja per se nicht gut ist.
Johannes Schaback: Was heißt das Klartext?
Sven Weizenegger: Nehmen wir mal an, du bist im Internetcafé und du gehst jetzt auf eine unsichere Seite, die kein HTTPS hat und jemand liest das WLAN, liest mit, snifft mit.
Johannes Schaback: WLAN kann man mitlesen.
Sven Weizenegger: Das ist relativ einfach. Dann sieht er den Datenverkehr, was nicht gut ist.
Johannes Schaback: Und im schlimmsten Fall, wenn du jetzt gerade suchst nach rote Schuhe, dann kriegt er mit, er sucht nach rote Schuhe. Aber wenn du deine Kreditkarte eingeben würdest, würde er die auch mitsniffen können.
Sven Weizenegger: Wenn es Klartext wäre. Wenn es nicht Klartext ist und HTTPS angeschaltet ist auf der Gegenseite und dein Browser macht das auch mit, was er standardmäßig macht, dann würde er nicht mitlesen können. Theoretisch gesehen könnte er sich natürlich dazwischen schalten. Man in the Middle, habe ich auch früher ganz gerne gemacht bei so Lifehacks. Waren immer ganz erstaunt, oh, der hat ja die Pindaten abgefangen. Da kriegt der Benutzer aber natürlich so eine Warnung. Das Zertifikat ist ungültig. Viele Menschen tendieren dazu zu sagen, ach, ich ignoriere das mal. Weil das kommt ja jeden Tag so nach dem Motto.
Johannes Schaback: Aber das fände ich interessant mal zu erklären, wie genau diese Zertifikate und Schlüssel und wie genau hängt das zusammen? Also ich bin jetzt in meinem Internetcafé, ich mache irgendwie eine Seite auf, zum Beispiel von meiner Bank. Was passiert jetzt genau? Also jetzt schickt mein Browser einen Request an die Bank und jetzt will die Bank, will SSL oder HTTPS sprechen. Was passiert dann?
Sven Weizenegger: Also das Wichtigste erstmal, deine Bank muss das Zertifikat beantragen bei einer Zertifizierungsstelle. Die Zertifizierungsstelle sagt, okay, du bist wirklich die Bank, ich glaube dir das.
Johannes Schaback: Genau, die checkt das in der realen Welt. Die guckt, ist diese Bank
Sven Weizenegger: Bei einigen ja. Also es geht auch manchmal ganz schnell online bei bestimmten Zertifikaten, die extrem, extrem sicher sind. Ich packe das mal in Anführungszeichen, das sieht man jetzt nicht. Gibt es auch so Perso-Geschichten, da muss man Personalausweis hinterlegen, da wird man glaube ich auch angerufen. Handelsregister. Und so weiter und so fort, genau. Dann kriegt man das Zertifikat, das legt man auf seinem Webserver ab und sagt vorher, auf welchem Webserver soll es dann landen. Also IP-Adresse, Hostname.
Johannes Schaback: Dieses Zertifikat ist eigentlich nur so eine kurze Zeichenfolge, wenn man so will.
Sven Weizenegger: Exakt. Die relativ kryptisch aussieht. Das sind ein paar Zeilen, die wird hinterlegt. Dein Webbrowser geht auf die Website zum Beispiel DeutscheBank.de mit HTTPS vorneweg natürlich. Und dein Browser erkennt, das Zertifikat wurde ausgestellt von einer vertrauenswürdigen Instanz, zum Beispiel Komodo oder Deutsche Telekom. Und dann wird dem vertraut. Weil da gewisse Algorithmen hinterlegt sind. Jetzt will ich da nicht zu sehr ins Detail. Was aber passieren kann, wenn du zum Beispiel auf einmal nicht vertrauenswürdig mehr bist, weil der Browser sagt, dass vor Jahren passiert, einigen Anbietern, wenn dort eingebrochen wurde, du bist nicht mehr vertrauenswürdig und du gehst auf die Webseite, dann wird der Browser sagen, mhm. Dieses Zertifikat ist nicht in meinem Stammbaum, weil Chrome oder Firefox gesagt hat, du bist nicht mehr vertrauenswürdig.
Johannes Schaback: Und dann wird so eine Art Tunnel-Verbindung aufgebaut. Also sagen wir mal, das Zertifikat wird akzeptiert oder insbesondere der Ersteller des Zertifikats der Deutschen Bank wird als sauber angenommen. Und dann akzeptiert dein Browser das Zertifikat der Deutschen Bank. Und dann baut der technisch gesehen und wirklich gesprochen der Web-Server der Deutschen Bank einen Tunnel auf.
Sven Weizenegger: Beziehungsweise der Client?
Johannes Schaback: mit zu dem Client. Das heißt also, alle Kommunikationen, die zwischen deinem Browser und der Deutschen Bank ablaufen, sind dann komplett verschlüsselt.
Sven Weizenegger: Im Idealfall. Manche machen den Fehler, dass sie zum Beispiel Bilder von anderen Webseiten holen. Die sind teilweise nicht verschlüsselt. Also auch da muss man ein bisschen aufpassen. Aber idealerweise, du hast richtig gesagt, ist der komplette Datenverkehr zwischen der Bank
Johannes Schaback: Und dann ist es auch im WLAN sicher, weil es ist dann getunnelt im WLAN. Exakt.
Sven Weizenegger: Was noch besser wäre, ich mache natürlich einen VPL-Tunnel auf in meinem Unternehmensnetzwerk und gehe dann auf die Bank-Webseite. Ja, das wäre noch der beste Fall.
Johannes Schaback: Es ist natürlich auch entscheidend für viele Länder, in denen die Kommunikation mitgeschnitten wird, staatlich. Das ist total entscheidend, dass du da quasi TPS unterwegs bist. Wie schaffen es jetzt solche Länder wie China, solche Kommunikation dann doch mitzuschneiden?
Sven Weizenegger: Also ich stecke ja nicht so technisch drin in chinesischen Maßnahmen. Aber ich nehme mal an, dass die eben diese Zertifizierungsstelle haben und sich die Zertifikate vielleicht selber ausstellen und ein Man in the Middle vielleicht machen. Das wäre eine Möglichkeit. Die haben ja diese China Firewall, die große. Und die machen ja Deep Packet Inspection, nennt sich das. Die gucken ja wirklich tief in den Datenverkehr mit hinein. Das fängt bei Metadaten an. Wer ruft was auf, mit welchen Inhalten und wann. Ich glaube, man muss sogar so einen Personalausweis, wenn man ins Internetcafé geht, muss man sich, glaube ich, registrieren.
Johannes Schaback: Ist wirklich so.
Sven Weizenegger: Also ich war selbst noch nie dort. Ich kenne es nur von Erzählungen. Aber hier kannst du in den Internetcafé gehen und bist ja anonym.
Joel Kaczmarek: Wie würdest du mit sowas kommunikativ umgehen, wenn man sagt, ich wurde gehackt? Weil es gibt ja manchmal im Börsenumfeld ist es wahrscheinlich nicht selten sogar notwendig, dass du da so Ad-Hoc-Mitteilungen machst.
Sven Weizenegger: Es ist sogar Pflicht ab 2018. Sobald Kundendaten abhanden kommen, muss ich die betroffenen Kunden informieren.
Joel Kaczmarek: Wie würdest du damit umgehen, wenn du jetzt noch ein junges Unternehmen bist, das Opfer eines Hacks wurde? Das wäre sozusagen kommunikativ der richtige Weg?
Sven Weizenegger: Ich würde mir einen Krisenexperten holen auf jeden Fall. Wenn man so eine Cybersecurity-Versicherung hat, ist das sogar Standard. Im Fall des Falles kommt dann wirklich ein PR-Experte und berät einen. Man muss natürlich wissen, was überhaupt passiert. Wie groß ist denn überhaupt der Schaden? Man sollte gegebenenfalls mit dem, der es gemacht hat, wenn er sich dann wirklich gemeldet hat und man identifizieren konnte, reden. Und ihn bitten, das vielleicht nicht öffentlich zu stellen. Wie am Anfang schon gesagt, man muss zur Polizei. Weil man braucht Unterstützung, weil wenn man sich mit dem Thema nicht auskennt, muss da jemand zur Hand gehen. Und die Polizei würde auch dafür sorgen, dass zum Beispiel forensische Maßnahmen getroffen werden, weil man vielleicht sogar vor Gericht will. Also man sollte nicht unbedingt gleich den Rechner runterfahren, weil wenn man das macht, sind die Daten vielleicht weg im Arbeitsspeicher. Im Idealfall holt man sich dann einen Berater, der wirklich die ganze Zeit dabei ist. So ein klassischer Forensiker, der wirklich alles sieht, was ist passiert, wie ist passiert, das versucht zu rekonstruieren und dann die Lücke auch schließt vor allem.
Joel Kaczmarek: Ist das so, wenn du zur Polizei gehst, dass dir solche Leute an die Seite gestellt werden oder musst du da de facto teures Geld in die Hand nehmen, dir solche Experten einzukaufen?
Sven Weizenegger: Also über die Versicherung wäre das mit dabei. Ich weiß nicht, weil ich noch nie involviert war in sowas persönlich, ob die Polizei jetzt wirklich jemanden extern dazu holt. Aber ich glaube, sie haben teilweise sogar selbst Experten. Ob sie jetzt vom Skillset so gut sind, weiß ich nicht. Weil viele gute Leute gehen halt nicht zur Polizei und wollen nicht bei den Behörden arbeiten, wie man sich vorstellen kann. Weil die Bezahlung nicht so optimal ist. Ich würde aber einen externen Experten dazu holen.
Joel Kaczmarek: Und dann aber proaktiv kommunizieren? Also sollte man da möglichst ehrlich mit rumgehen oder eher erstmal abwarten und checken, was so passiert ist?
Sven Weizenegger: Ich würde erstmal abwarten und checken, ob das wirklich so groß ist, wie man es vermutet. Weil vielleicht kommuniziert man zu viel zu früh und am Ende stellt sich heraus, der Datensatz ist gar nicht abhandengekommen. Oder jemand hat auch nur geschwindelt, um vielleicht reinzulegen.
Joel Kaczmarek: Gut, also wenn wir jetzt nochmal zusammenfassen, weil wir so ein bisschen gesagt haben, Checkliste, was ich in Sachen Security beachten soll. Wir haben gesagt, es ist wichtig, dass es dafür eine Person gibt, die das irgendwie den Hut dafür auf hat. Es sollte Top-Level-Management-Thema sein. Wir haben irgendwie so ein bisschen über diese ganze Geschichte von extern geredet, Penetration-Tests auditieren lassen, Beratung, Dienstleister, ISO, genau. Du hast gesagt, diese ganzen Kisten mit, was sind meine Hausarbeiten, dass man sich einfach mal so ein bisschen auch irgendwie Standards auferlegt, dass manchmal ganz einfache Sachen sind, wie diese Two-Level-Authentification. Hast du noch irgendwie so drei Tipps? oder vielleicht haben wir noch Sachen vergessen, die irgendwie auf diese Liste drauf sollen?
Sven Weizenegger: Ich glaube, was ich relativ spannend finde, ist das Thema Encryption von Datensätzen per se.
Johannes Schaback: Also das Ablegen auf der Festplatte oder das Verschlüssel von ganzen Fallsystemen?
Sven Weizenegger: Nee, ich würde sogar noch einen Schritt weiter gehen. Ich würde sogar sagen, dass man einzelne Datensätze in der Datenbank selbst, verschütteln sollte. Weil im Falle des Falles und jemand bricht ein und klaut den Datensatz, was hat er? Den verschüttelten Datensatz? Der bringt ihm nichts. Mit dem kann er nichts verkaufen. Das wird auch ab 2018 eine bestimmte empfohlene Maßnahme sein, dass man wirklich auf Datensatzebene in der Datenbank direkt einzelne personenbezogene Daten nochmal extrem absichert. Das ist komplex, aber es funktioniert.
Joel Kaczmarek: Okay, das wäre so ein Thema. Hast du sonst irgendwie noch Tipps, wo du sagst, das soll man mitnehmen aus einem Security-Podcast heute?
Sven Weizenegger: Ich bin ein großer Fan von einer neuen Antivirenlösung, die nennt sich Silence. Die hatte ich am Anfang schon erwähnt. Die ist relativ klein, die stört den Mitarbeiter nicht. Die nennt sich Silence. Die basiert auf Machine Learning. Das heißt, diese ganze Symantik und was es da so gibt, die eher groß sind und schwerfällig, die braucht man nicht mehr. Weil die haben folgenden Charakterzug, diese Silence-Lösung, dass sie den Angriff erst gar nicht stattfinden lässt. Sobald es bemerkt, da versucht jemand Böses zu tun und ein Exploit auszuführen, wird der Prozess getötet. Prävention ist immer besser, glaube ich, ganz stark dran.
Johannes Schaback: Solange es keine False Positives sind, ne? Exakt. Solange mein Computer spielt, was ich seit fünf Stunden spiele, nicht plötzlich halt Exploit geht, wenn ich gespeichert habe.
Sven Weizenegger: Musst du in der Cloud spielen, da wird immer gespeichert, wie bei Google Docs.
Joel Kaczmarek: Hervorragend. Das war ein schöner, spaßiger Ritt. Also auch wenn es ein ernstes, gefährliches Thema ist, es hat ja doch einen gewissen Entertainment-Faktor, darf man ja so sagen. Also in diesem Sinne, dann danke ich dir ganz herzlich, dass du das alles Wissen mit uns geteilt hast. Ich muss mal zu Leuten wie dir mal einen Live-Chat machen oder sowas. Frag mich jetzt zu euren Sicherheitsfaktoren. Dir kann man stundenlang zugehören.
Sven Weizenegger: Super, vielen Dank für die Einladung.
Joel Kaczmarek: Und danke natürlich auch Johannes für deine, wie immer, dass ich dir eigentlich beiwohnen durfte. So muss man das ja sagen.
Johannes Schaback: Vielen Dank, sehr cool. Das ist ein Riesenthema. Ich glaube, wir werden davon auch häufiger hören.
