IT-Security - immerhin besser als Fußpilz E-Book

INHALT

VORWORT

RAHMENBEDINGUNGEN

A

NREDE

G

ENDERN UND

G

LEICHBEHANDLUNG

G

ESCHICHTEN AUS DEM

L

EBEN

D

ARF ICH VORSTELLEN

– E

DUARD

M

OLLNER

1 FÜR WEN IST DIESES BUCH?

2 IT-SICHERHEIT – BRAUCHE ICH DAS?

2.1 W

AS IST

S

ICHERHEIT EIGENTLICH

?

2.2 V

OR WEM ODER WAS MUSS ICH MICH DENN FÜRCHTEN

?

G

ESCHICHTEN AUS DEM

A

LLTAG

: F

ÜR DIE GANZ

C

OOLEN UNTER

I

HNEN

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

2.3 W

ER SIND DIESE

P

ERSONEN

,

DIE MICH ANGREIFEN

? D

IE

NSA?

G

ESCHICHTEN AUS DEM

A

LLTAG

: "D

AS

W

IEDERHOLUNGSOPFER

"

U

NTERNEHMEN

E

INZELTÄTER

S

TAATLICHE

I

NSTITUTIONEN

G

RUPPIERUNGEN

2.4 W

IE HOCH IST SCHON DIE

C

HANCE

,

DASS

ICH

ANGEGRIFFEN WERDE

?

G

ESCHICHTEN AUS DEM

A

LLTAG

: »D

ER UNGEBETENE

G

AST

«

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

3 DIE ANGRIFFSTYPEN

3.1 D

ER GEZIELTE

A

NGRIFF

3.2 D

ER

M

ASSENANGRIFF

3.3 D

ER

Z

UFALLSANGRIFF

B

EISPIEL

1: D

ER

N

ACHBAR

B

EISPIEL

2: K

OLLATERALSCHADEN

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

4 DAS FAHREN OHNE FÜHRERSCHEIN

4.1 D

IE

P

ROTOKOLLE MIT DEM WEIßEN

B

ART

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

4.2 D

ER FALSCHE

F

OKUS

G

ESCHICHTEN AUS DEM

A

LLTAG

: »D

ER

H

ÜTER DER

V

IREN

«

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

5 DIE FIESEN FÜNF

5.1 R

ANSOMWARE

– E

RPRESSUNG OHNE AUSGESCHNITTENE

B

UCHSTABEN

W

AS IST

R

ANSOMWARE

?

W

IE FUNKTIONIER

R

ANSOMWARE

?

W

IE KANN ICH MICH VOR

R

ANSOMWARE SCHÜTZEN

?

5.2 F

RAUD

– B

ETRUG MIT

K

REATIVITÄT

W

AS IST

F

RAUD

?

E-M

AIL

-F

RAUD

CEO-F

RAUD

W

IE FUNKTIONIERT EIN

F

RAUD

?

W

IE KANN ICH MICH VOR EINEM

F

RAUD SCHÜTZEN

?

5.3 R

EMOTEZUGRIFF OHNE

VPN – T

AG DER OFFENEN

T

ÜR

,

NUR BESSER

W

AS IST EIN

R

EMOTEZUGRIFF OHNE

VPN?

W

O LIEGT DAS

P

ROBLEM

?

W

IE KANN ICH MICH VOR DIESEN

Z

UGRIFFEN SCHÜTZEN

?

5.4 P

HISHING

– P

ETRI

H

EIL

!

W

AS IST

P

HISHING

?

W

AS ABER IST DENN NUN

S

PEAR

-P

HISHING

?

W

IE KANN ICH MICH VOR

P

HISHING SCHÜTZEN

?

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

5.5 S

OCIAL

E

NGINEERING

– »A

UGEN ZU

,

VERTRAUE MIR

…«

W

AS IST

S

OCIAL

E

NGINEERING

?

W

IE UND WARUM FUNKTIONIERT

S

OCIAL

E

NGINEERING

?

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

6 DAS PROBLEM MIT DER HARMONIE

6.1 V

ERTRAUEN

–

WIR HABEN VIELE

F

REUNDE

!

I

CH SEHE DICH NICHT

–

DU MICH

?

H

EY

,

DAS BRAUCHE ICH NOCH

!

T

HINK POSITIVE

! I

CH KANN ES NICHT MEHR HÖREN.

G

ESCHICHTEN AUS DEM

A

LLTAG

: O

HNE

M

AUER GEHT ES AUCH

G

ESCHICHTEN AUS DEM

A

LLTAG

: V

ERSCHLÜSSELE ES NOCH EINMAL

, S

AM

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

7 DAS WORLD WIDE WEB – SO MUSS DIE HÖLLE SEIN

7.1 I

CH BIN DANN MAL WEG

8 AB HEUTE WIRD ALLES ANDERS

8.1 W

ANN IST EIN

N

ETZWERK SICHER

?

8.2 A

LLES BEGINNT IM

K

OPF

G

ESCHICHTEN AUS DEM

A

LLTAG

: »Z

URÜCKBLEIBEN

,

BITTE

!«

8.3 W

ER

U

NTERNEHMER SEIN WILL

,

MUSS LEIDEN

–

ODER SO ÄHNLICH

8.4 A

UF DEN

K

OPF FOLGT DIE

P

LANUNG

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

8.5 D

IE

B

ASICS

–

OHNE UNS WACKELT

'

S

BASIC #1 –

DIE

F

IREWALL

BASIC #2 –

DER

V

IRENSCHUTZ

BASIC #3 –

DAS

B

ACKUP

BASIC #4 –

DER

P

ENETRATIONSTEST

BASIC #5 – S

ECURITY

-C

ONSULTING

BASIC #6 - A

WARENESS

-T

RAINING

–

BESSER MAL AUF DIE

M

UTTER HÖREN...

8.6 »E

S GING JA BISHER AUCH IMMER OHNE

…«

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

9 ZWEI KRISEN VERÄNDERN DIE WELT

9.1 CORONA –

DAS ERSTE

V

IRUS

,

DAS DIE

IT-W

ELT WIRKLICH BEEINFLUSSTE

H

OME

-O

FFICE UND

M

OBILE

W

ORK

D

IGITALISIERUNG ÜBERS

K

NIE GEBROCHEN

9.2 E

IN

K

RIEG

,

DER ALLES VERÄNDERTE

W

IR STEHEN IM

F

OKUS

9.3 D

IE

K

RISEN UND DAS

B

UDGET

9.4 G

ANZ NACH HINTEN UND NOCH EINEN

S

CHRITT ZURÜCK

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

10 KÜNSTLICHE INTELLIGENZ – FLUCH UND SEGEN

10.1 D

A IST SIE JA ENDLICH

,

ES WURDE AUCH

Z

EIT

10.2 KI –

DER

T

ODESSTOß FÜR DIE

IT-S

ICHERHEIT

?

11 WAS KANN ICH SONST NOCH TUN? – PRAXISTIPPS

11.1 W

O KANN ICH MICH DENN INFORMIEREN

?

D

AS

BSI

HEISE ONLINE

(

HEISE

S

ECURITY

)

S

EIEN

S

IE KREATIV

11.2 W

AS KANN ICH AKTIV UMSETZEN

?

12 SIE SIND SOWEIT

13 DANKSAGUNG

T

AGEBUCH AUS DEM

L

EBEN VON

E

DUARD

M

OLLNER

VORWORT

Ich möchte an dieser Stelle direkt ehrlich mit Ihnen sein. Ich hatte in meinem Leben bisher glücklicherweise noch nie Fußpilz, daher muss ich zugeben, kann ich nicht mit absoluter Gewissheit sagen, ob IT-Security wirklich besser ist als Fußpilz. Dennoch habe ich mich im Rahmen des Schreibprozesses natürlich sehr intensiv damit auseinandergesetzt und bin inzwischen stark in meiner Meinung gefestigt, dass der Buchtitel absolut zutrifft. Sollten Sie in beiden Themen Betroffene/Betroffener sein, steht es Ihnen natürlich frei, diese Einschätzung selbst vorzunehmen.

Als ich die Idee für dieses Buch hatte, ging es mir darum, ein Thema zu behandeln, das von vielen Menschen kaum oder gar nicht beachtet wird und wiederum von anderen zwar beachtet, aber als lästige Pflicht angesehen wird. Nun, das kann ich niemandem übelnehmen, denn sein Haus gegen Einbrecher abzusichern, sichere Schlösser einzubauen, eine Alarmanlage einzubauen und was alles dazugehört, ist sicher auch keine Aufgabe, der man mehrere Wochen voller Vorfreude entgegenfiebert.

Jetzt könnte ich Ihnen (zurecht) sagen, dass es aber ohnehin nichts nützt, da das Thema zu wichtig ist und man sich eben zwangsläufig darum kümmern muss. Das tue ich, wenn auch nicht in dieser Form, aber inhaltlich ähnlich seit vielen Jahren bereits in meinem Beruf als Geschäftsführer der CompiPower GmbH, einem Unternehmen im IT- und IT-Security-Umfeld, sowie als IT-Security-Consultant, Penetrationstester und IT-Forensiker. Das soll aber nicht der Ansatz in diesem Buch sein, denn ich bin der festen Meinung, dass IT-Security, wenn man sich damit unvoreingenommen beschäftigt, und zwar nur so weit wie es sinnvoll ist, durchaus ein gutes Gefühl hinterlassen, ja, sogar Spaß machen kann. Und zwar Ihnen! Mir macht Sie ohnehin seit vielen Jahren Freude und das in allen Bereichen. Denn in einem bin ich mir sicher: Auch Sie, die Sie dieses Buch in den Händen halten, wünschen sich Sicherheit in vielen, sogar vielleicht in allen Bereichen Ihres Lebens. Sicherheit ist toll! Wenn Sie ohne Aufwand und Geld bewirken könnten, dass niemals jemand bei Ihnen einbricht, Sie niemals krank werden oder niemals mit dem Auto einen Unfall haben werden, dann denke ich, würden Sie das sofort akzeptieren. Meistens ist es der Aufwand, egal ob finanziell, mental oder zeitlich, der uns hier im Weg steht. In manchen Fällen vielleicht auch die Überwindung, sich in ein Gebiet zu begeben, das uns komplett oder teilweise fremd ist.

Sicherlich ist auch IT-Security ein Thema, das dem einen sehr geläufig ist, vielleicht sind Sie sogar ein Experte, dem anderen aber komplett fremd und auch ist es natürlich richtig, dass viele Bereiche der Absicherung seiner Daten nur vom Experten geplant und durchgeführt werden können. Im Gegenzug dazu gibt es aber auch zahlreiche Bereiche, die jeder und damit auch Sie selbst absichern müssen. Kein IT-System, kein IT-Security-Consultant der Welt kann Sie und Ihre Daten schützen, wenn Sie nicht am gleichen Strang ziehen. Dabei spielt es keine Rolle, ob wir von Ihnen als Arbeitgeber, Arbeitnehmer, Privatperson oder in einer sonstigen Rolle sprechen. Jeder ist für seine Sicherheit in großem Maße selbst verantwortlich. Und in einem Zeitalter der Digitalisierung (wenn auch langsam) ist es an der Zeit, sich mit dem Thema auseinanderzusetzen. IT-Security wird Sie ab sofort für immer begleiten, ob Sie wollen oder nicht. Aber wie schon gesagt, sehen Sie es nicht als Zwang, sehen Sie es als Chance und als Möglichkeit, im besten Fall sogar ein wenig Freude daran zu haben und im schlimmsten Fall – nun, zumindest ein gutes Gefühl danach zu haben. Tatsächlich rufen mich ab und zu Kunden an und erzählen mir voller Stolz am Telefon, dass Sie nach meinen Vorträgen oder Schulungen nun selbstständig eine Phishing-Mail erkannt und sofort gelöscht haben. Das ist echte Freude und das ist großartig! Sie sehen, man kann sich daran auch erfreuen. Geben Sie der Sache eine Chance, sie hat es verdient. Es ist ohnehin - immerhin besser als Fußpilz.

RAHMENBEDINGUNGEN

Anrede

Da wir uns wahrscheinlich noch nie begegnet sind und wir uns nicht gut kennen, vielleicht ein paar Rahmenbedingungen von meiner Seite, die ich gerne loswerden möchte, bevor es ans Eingemachte geht. Ich habe mich dazu entschieden, »Sie« als Anrede zu benutzen. Das mache ich nicht, weil ich besonders spießig bin (wobei das an dieser Stelle vielleicht jeder behaupten würde), sondern weil dieses Buch zum einen für viele verschiedene Zielgruppen gedacht ist und mit einem höflichen »Sie« kann man hier nichts falsch machen. Zum anderen ist es zwangsläufig mit meinem Arbeitsalltag verknüpft und ich würde ohnehin immer wieder ins Förmliche verfallen. Der Lektor/die Lektorin würde sich hier bedanken und ich könnte das nicht bezahlen.

Gendern und Gleichbehandlung

Und hier sind wir auch gleich beim nächsten Thema. Ich habe mich ebenfalls dazu entschieden, auf das Gendern in diesem Buch zu verzichten. Wenn ich also von Nutzern spreche, dann sind schlichtweg alle gemeint. Wirklich alle. Sogar die, die gar nicht gemeint sein wollen. Aufgrund der besseren Lesbarkeit bin ich der Meinung, ist das der richtige Weg. Selbstverständlich versuche ich, in meinem Buch alle gleich zu behandeln.

Auch mache ich natürlich und aus eigener Selbstverständlichkeit keine Unterschiede bzgl. Herkunft, Gesellschaftsstatus und anderer Eigenschaften.

Hin und wieder in diesem Buch erwähne und beschreibe ich die Lage in Deutschland, sowohl technisch und organisatorisch, aber auch im Bereich diverser Krisen, die uns die letzten Jahre ereilt haben. Ich richte in vielen Situationen deshalb den Blick nur auf Deutschland, da es darum geht, die Situation in unserem Land zu erklären, die Situation, in der Sie sich vermutlich befinden. Das schließt selbstverständlich nicht aus, dass andere Länder ebenso oder noch stärker mit Auswirkungen der Krisen zu kämpfen haben und die Menschen dort darunter leiden. Es geht hier lediglich um die Betrachtung eines bestimmten Bereiches, nicht um eine Bewertung.

Geschichten aus dem Leben

In diesem Buch werde ich immer wieder einmal Geschichten und Ereignisse aus dem Alltag berichten. Die Namen der Unternehmen, Personen, Tiere etc. sind allesamt natürlich verändert. Die Geschichten selbst sind alle real, allerdings habe ich mir in nahezu allen relevanten Fällen die Erlaubnis der entsprechenden Personen und Unternehmen eingeholt, dies trotz Namensänderung hier niederschreiben zu dürfen, sofern der betroffene in einer Kundenbeziehung zu mir stand. Das ist keine rechtliche Notwendigkeit, hat aber etwas mit Vertrauen zu tun. Denn Vertrauen ist die Basis in der Zusammenarbeit. Was unter uns bleiben soll, das bleibt auch unter uns. Sollten Sie also eine Geschichte in diesem Buch entdecken, in der Sie sich wiedererkennen, haben wir entweder zuvor darüber gesprochen oder die Geschichte ist so oder so ähnlich mehrfach passiert. Sie glauben gar nicht, wie sehr sich diese Dinge wiederholen. Manchmal fühle ich mich wie Phil Connors.

Darf ich vorstellen – Eduard Mollner

In den Kapiteln dieses Buchs wird Ihnen hin und wieder einmal ein Herr namens Eduard Mollner begegnen. Dieser mehr oder weniger sympathische Herr hilft uns manchmal, die ein oder andere Situation noch einmal auf ironische und vielleicht auch alberne Art zu betrachten, und ein anderes Mal ist es nur eine kleine Prise nutzloser Humor, die es in einem schwierigen Thema manchmal braucht. Im ersten Moment wird es Ihnen vielleicht so vorkommen, als stammt Herr Mollner von einer anderen Welt. Doch werfen Sie noch einmal einen genauen Blick auf die Passagen mit ihm. Manchmal entdecken wir Gemeinsamkeiten, wo zunächst keine zu sein scheinen. Und vielleicht steckt ein wenig Eduard in uns allen. Ein ganz klein wenig vielleicht. Und wenn nicht, dann wird er Sie zumindest auf einer Reise durch die Welt der IT-Gefahren begleiten. Oder sagen wir vielleicht besser, Sie ihn.

1 FÜR WEN IST DIESES BUCH?

Diese Frage lässt sich relativ schnell und einfach beantworten: Für jeden, der ein PC, Notebook, Tablet, Smartphone oder anderes technisches Gerät besitzt. Oder einfacher gesagt – für alle, die digitale Daten besitzen. Dazu gehören Sie nicht? Das ist schwer zu glauben, aber ich lasse mich gerne überzeugen. Schreiben Sie mir gerne eine E-Mail an:

[email protected]

Erledigt? Glückwunsch, jetzt besitzen Sie digitale Daten und können das Buch weiterlesen.

Aber nun ernsthaft, letztendlich ist es so, wie ich zu Anfang des Kapitels erwähnt habe. Das Buch ist für jeden etwas, der sich in der Welt der Netze bewegt, sei es während der Arbeit oder privat, im Verein oder nur, um einen Film zu streamen. Wer nicht aufpasst, gerät schnell in eine unangenehme Situation, manchmal sind diese sogar entscheidend für die weitere Existenz. Und sind wir ehrlich, es kann nicht schaden, sich einmal Gedanken über die eigene Sicherheit zu machen.

Nun ist es natürlich möglich, dass Sie ein Security-Experte sind. Dann ist es gut möglich, dass Sie aus diesem Buch nichts Neues mehr erfahren. Auch das ist nicht schlimm, dann lassen Sie sich doch einfach ein wenig unterhalten und sehen Sie die IT-Security für ein paar Stunden einmal aus einem anderen Blickwinkel.

2 IT-SICHERHEIT – BRAUCHE ICH DAS?

Diese Frage höre ich sehr regelmäßig in verschiedensten Situationen. Ich bin grundsätzlich kein Fan davon, solche Fragen mit einem knappen »ja« zu beantworten, denn ich bin der Meinung, es ist viel sinnvoller, wenn sich das jeder selbst beantwortet. Niemand schreibt einem auch schließlich vor, dass er zur Vorsorgeuntersuchung gehen muss oder gar zum Zahnarzt. Nun werden Sie aber vermutlich mit Recht sagen: »Wenn ich es wissen würde, hätte ich nicht gefragt.« Stimmt! Also schauen wir uns die Sachlage einmal an, vielleicht hilft Ihnen das dabei, die Frage für sich zu beantworten.

2.1 Was ist Sicherheit eigentlich?

Zunächst einmal sollten wir uns im Klaren sein, was Sicherheit überhaupt ist. Wikipedia sagt dazu Folgendes:

Sicherheit bezeichnet allgemein den Zustand, der für Individuen, Gemeinschaften sowie andere Lebewesen, Objekte und Systeme frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird.

Für Individuen und Gemeinschaften bezeichnet Sicherheit den Zustand des Nicht-bedroht-Seins der Freiheit ihrer ungestörten Eigenentwicklung in zweierlei Hinsicht:

im Sinne des tatsächlichen (objektiven) Nichtvorhandenseins von Gefährdung – als Sicherheit im objektiven Sinne, sowie

im Sinne der Abwesenheit von (subjektiver) Furcht vor Gefährdung – als Sicherheit im subjektiven Sinne.

Das klingt ja einigermaßen verständlich. Es gibt aber einen Unterschied zwischen objektiver Sicherheit und subjektiver, das können wir herauslesen. Und genau diese Unterscheidung ist bei der Beurteilung der Sicherheit auch ganz wichtig. Betrachten wir das an zwei Beispielen:

Stellen Sie sich vor, Sie schwimmen im Meer an der australischen Westküste, verkleidet als Robbe. Würden Sie sich sicher fühlen? Nein? Ich auch nicht sonderlich. Ich tippe darauf, dass Ihnen der vage Gedanke, die Vorspeise eines Hais zu werden, unter Umständen im Hinterkopf kreisen könnte. Warum ist das so? Weil Sie wissen, dass es in dieser Umgebung Haie gibt oder es sie dort zumindest geben könnte und diese auch ganz gerne mal eine Robbe zu sich nehmen. Nehmen wir nun an, Sie wüssten nicht, dass dort Haie leben oder nicht einmal, dass Haie existieren, dann wäre Ihr Sicherheitsgefühl um einiges höher, ggf. würden Sie sogar völlig sorgenfrei vor sich hin paddeln.

Beziehen wir das einmal auf unsere Kenntnis über Sicherheit, so können wir wohl sagen, Sie hätten weder ein subjektives Gefühl von Sicherheit aufgrund Ihres Vorwissens, noch wären Sie rein objektiv betrachtet wahnsinnig sicher. Ein Haiangriff wird zwar nicht zwangsläufig stattfinden, aber auch ohne wissenschaftliche Analyse können wir behaupten, so denke ich, Sie können Ihren Friseurtermin für die Woche darauf zunächst einmal jemand anderem überlassen.

Schauen wir uns ein zweites Beispiel an, oder besser gesagt, zwei Beispiele in einem: Kennen Sie das? Sie mussten als Kind vielleicht auch schon einmal am Abend in den Keller, irgendetwas für die Eltern holen? Nun steht man da als kleines Kind, schaut in den Keller, das Licht ist auch nicht mehr das, was es vielleicht einmal war, und muss dort hinuntergehen. Spätestens unten, wenn der Heizungskessel anspringt, das Licht ausfällt oder einfach auch schon beim Weg nach unten verspürt man Angst, also irgendwie auch wenig bis gar keine Sicherheit. Ist das ein rationales Verhalten? Eher nicht, denn die Chance, dass man als Kind im Keller des Elternhauses ermordet, gerissen oder verschleppt wird, einem Geist begegnet oder gar nie wieder ans Tageslicht zurückfindet, ist unglaublich gering, vielleicht sogar gar nicht vorhanden.

Das Gegenteil davon konnte man in Thailand verfolgen. Dort ist es tatsächlich passiert, dass die Tigerdame »Sai Mai« drei Ferkel kurzzeitig adoptiert hatte. Ihre Mutter war gestorben und so übernahm die Tigerin die Aufzucht der Ferkel und säugte sie sogar. Das Konzept mag merkwürdig erscheinen und ehrlicherweise weiß ich auch nicht, wie es ausgegangen ist, das spielt dabei aber auch nur eine untergeordnete Rolle. Wichtig dabei ist, dass das subjektive Gefühl von Sicherheit bei den Ferkeln stark ausgeprägt war. Sie kannten die Gefahr, die von einem Tiger ausgeht, schlicht nicht. Auch wenn es sich in diesem Fall vielleicht um eine ganz besondere Tigermama handelte, können wir zumindest objektiv sagen, dass es sicherlich Ferkel gibt, die sich in größerer Sicherheit nach ihrer Geburt befunden haben. Den Kleinen war das aber schlichtweg nicht bewusst.

Fassen wir das einmal zusammen: Das subjektive Sicherheitsgefühl kann mit der objektiven Sicherheitssituation deckungsgleich sein, wie in unserem ersten Beispiel. Sie fühlen sich wenig sicher an der australischen Küste, Sie sind es auch nicht. Es kann aber auch völlig auseinandergehen wie in unseren anderen beiden Beispielen. Sie hatten als Kind fürchterliche Angst im dunklen Keller? Überraschung, das war gar nicht notwendig. Rein objektiv betrachtet, waren Sie da ziemlich sicher. Naja, ich kenne zugegebenermaßen Ihren Keller von damals nicht. Gehen wir deshalb sicherheitshalber von einem gewöhnlichen Keller aus. Und zu guter Letzt noch die Ferkel, die sich total wohl fühlten (Sie finden entsprechende Bilder im Internet), aber im Grunde, glauben wir den Naturgesetzen, vielleicht gar nicht so sicher waren.

In diesem Buch geht es aber weder um Haie und Ferkel noch um Keller und Tiger. Unsere Erkenntnisse können wir nun aber auch auf unser Thema beziehen, die IT-Security. Allerdings ist hier die Situation durch äußere Umstände recht klar festgelegt.

Beginnen wir mit dem subjektiven Gefühl. Fühlen Sie sich sicher in der Welt des Internets? Haben Sie das Gefühl, dass Ihre Daten, zunächst einmal egal, wo sie sich befinden, sicher sind? Das ist eine Frage, die sich natürlich jeder selbst beantworten darf. Das ist der Vorteil an subjektiven Einschätzungen. Für mich und für den Großteil der anderen Leser ist das vollkommen in Ordnung, dass Sie sich im Robbenkostüm schwimmend an der australischen Küste sicher fühlen. Ich lege noch einen drauf: Sie dürfen sogar unbeschwert dabei pfeifen. Objektiv betrachtet allerdings gibt es keinen Grund, dass Sie sich sicher fühlen. Im Grunde sind Sie sinnbildlich dauerhaft technischen Haibissen ausgesetzt. Glücklicherweise ist nicht jedes Schnappen ein Treffer. Dazu kommen wir aber später noch einmal genauer.

Nachdem wir nun geklärt haben, was Sicherheit eigentlich ist und Sie unter Umständen durch dezente Hinweise meinerseits auch schon vermuten, dass es um die objektive Sicherheit nicht so gut bestellt ist, sollten wir uns nun eine andere Frage stellen: Wer ist denn unser Hai?

2.2 Vor wem oder was muss ich mich denn fürchten?

Natürlich werden wir diese Frage noch deutlich genauer beantworten, doch sie ist ebenfalls kurz und knapp zu beantworten. Vor grundsätzlich erst einmal jedem! Sehen wir einmal ab von sehr nahestehenden Personen, Familienmitglieder etc., zu denen Sie (hoffentlich) ein enges Vertrauensverhältnis haben, kann es erst einmal grundsätzlich jeder auf Ihre Daten abgesehen haben. Warum? Nun, Daten sind Informationen jeglicher Art und diese können, je nach Typ, von großem Wert sein.

Lassen Sie uns einmal ein paar Beispiele betrachten, damit dieser Punkt vielleicht ein wenig klarer wird. Folgende Werte können Daten für eine dritte Person beispielsweise darstellen:

Finanzieller Wert (z. B. Zugriff auf Ihr Bankkonto, Lösegeld)

als Druckmittel (z. B. Verschlüsselung von Daten, nicht für die Öffentlichkeit bestimmte Daten/Bilder)

Wissen/Know-how (z. B. patentierte Produkte, Ideen)

Wettbewerbsvorteil (z. B. Angebote an Kunden)

Dies sind einige Beispiele, welchen Wert also Ihre Daten/Informationen für andere darstellen könnten. Sicherlich gibt es noch ein paar Ableger davon und manche Typen überschneiden sich auch. Beispielsweise kann die Verschlüsselung von Daten ein Typ finanzieller Art sein (das ist es meistens) oder aber auch ein Druckmittel. In diesen Beispielen würde ein Dritter also versuchen, an diese Informationen zu gelangen, sie also zu stehlen.

Nun haben wir zuvor festgehalten, dass Sie sich im Grunde vor jedem fürchten müssen, dem Sie nicht auf höchster Ebene vertrauen. Das klingt vielleicht in Ihren Ohren zunächst etwas dramatisch, doch wenn wir einmal ganz ehrlich sind, hätte ein jeder Mensch einen Vorteil davon, Ihre Bankdaten uneingeschränkt zu besitzen, oder? Ein Jeder könnte Sie auch mit Bildern, die unter keinen Umständen an die Öffentlichkeit geraten sollten, unter Druck setzen, korrekt? Sofern Sie welche besitzen. Und ebenfalls hätte jeder, der an ein geheimes Patent oder eine geheime wertvolle Idee von Ihnen gelangen würde, einen kleinen oder großen Schatz in den Händen, richtig?

Vielleicht werden Sie an dieser Stelle nun gedanklich wild gestikulieren und werden mir widersprechen und mir entgegnen, dass aber ja nicht jeder, der an den Zugriff auf Ihr Bankkonto gelangt, auch direkt böse Absichten hat und Sie bestiehlt. Das ist (zum Glück) absolut richtig. Allerdings sind Sie nach diesem Argument abhängig von den ethischen Grundsätzen der Person. Das ist nur ein völlig anderes Thema. Wertvoll sind die Daten aber auf alle Fälle für erst einmal fast jeden.

Neben dem Wert, den Ihre Daten für andere Personen darstellen, gibt es aber noch andere Eigenschaften dieser Informationen. Denn Sie werden nicht nur damit konfrontiert, dass jemand Ihnen diese entwenden möchte, Sie könnten auch einfach zerstört werden. Wenn Sie sich nun fragen, warum das jemand tun sollte, denken Sie einmal an zerstörte Gegenstände in der Öffentlichkeit, angefangen von Parkbänken, Autos über Straßenlaternen etc. Dinge zu zerstören und vor allem die Macht zu besitzen, diese zu zerstören, spielt in unserer Welt tagtäglich eine Rolle. Was die Ursache hierfür ist, kann vielleicht ein Psychologe beantworten. Ich für meinen Teil mache es mir hier einfacher und finde es einfach dämlich. Trotzdem findet es weiterhin statt und wir müssen damit jederzeit rechnen.

Und nun zeige ich noch ein drittes Thema auf, das einen unmittelbaren Angriff auf Ihre objektiv bewertete Sicherheitssituation darstellt. Was ist, wenn jemand gar nicht an unsere Daten möchte, sondern nur an unser Gerät? Eingangs habe ich die Frage beantwortet, für wen das Buch eigentlich gedacht ist. Und bewusst habe ich bei der Antwort zwei Faktoren gewählt. Sie erinnern sich vielleicht. Für jeden, der digitale Daten besitzt, das haben wir soeben bedacht, aber auch für jeden der ein Gerät benutzt. Denn auch Ihr Gerät stellt ein wertvolles gut für einen bestimmten Personenkreis dar, ohne dass er es wirklich erhält.

Stellen wir uns beispielsweise vor, ein Angreifer möchte einen weitreichenden Angriff auf ein beliebiges Ziel durchführen, eine sogenannte DDoS-Attacke, dann benötigt er Ihre Hilfe. Bei dieser Attacke geht es darum, ein Ziel für einen Zeitraum vom Netz zu nehmen. Hierzu werden, vereinfacht gesagt, eine Vielzahl an Datenpaketen an das Ziel geschickt, und zwar mehr als es abarbeiten kann, bis es unter der Last zusammenbricht. Für ein Unternehmen, das davon abhängig ist, erreichbar zu sein, kann der Schaden hier schnell in die Millionen gehen. Der Angreifer kann aber mit einem Gerät natürlich lange nicht so viele Pakete senden, wie er für einen erfolgreichen Angriff bräuchte. Was macht er also nun? Er beschafft sich mehr Geräte. Das macht er selbstverständlich nicht, indem er in den Elektronikfachmarkt um die Ecke fährt, sondern er nimmt sich dafür bereits laufende Geräte. Ihre Geräte! Er versucht also im Vorfeld, unbemerkt möglichst viele Geräte zu kapern und diese dann zum Zeitpunkt des Angriffs losfeuern zu lassen. Und was wäre dafür besser geeignet als Ihr Gerät? Das ist nur ein Beispiel, warum es sehr nützlich für bestimmte Personen sein kann, nur einen schlichten Zugriff auf Ihre Geräte zu haben, ohne wirklich an Ihren Daten interessiert zu sein.

Und zu guter Letzt schauen wir uns noch eine vierte Möglichkeit an. Stellen wir uns einen Angreifer vor, Maximilian, 19 Jahre alt, der keine Ahnung von Patenten und Produktideen hat. Eine DDos-Attacke ist ihm viel zu anstrengend und außerdem fällt ihm auch kein richtiges Ziel ein, das er nicht leiden kann und auf das sich ein solcher Angriff lohnen würde. Geld benötigt er aber trotzdem, da er dringend ein Motorrad bräuchte. Sie wissen schon, er möchte gerne die Mitschülerinnen ein wenig beeindrucken.

Sie auf der anderen Seite gehören zu der Sorte Mensch, die nichts zu verbergen hat. Man kann Sie sicherlich mit nichts erpressen. Aber wie fast jeder besitzen Sie Daten. Diese Daten finden Sie auch ganz toll, klar, sonst hätten Sie sie ja nicht.

Maximilian denkt sich das Gleiche. Das, was Sie besitzen, mögen Sie vermutlich auch behalten und deswegen hat er eine Idee. Er nimmt Ihnen diese Daten einfach weg mit der netten Notiz, sollten Sie die Daten wieder haben wollen, sollten Sie doch bitte mal das Motorrad subventionieren. Nun, vielleicht sind Sie ein herzensguter Mensch und freuen sich sogar, hier für die große Liebe die entsprechende Grundlage geschaffen zu haben. Im Normalfall werden Sie sich aber ärgern und in einigen Fällen, je nach Daten und Situation, kann das existenzbedrohend sein. Ich muss an dieser Stelle natürlich zugeben, dass unser Maximilian hier konstruiert ist. Die Situation der Datenzerstörung, um ein Lösegeld zu verlangen, ist aber völlig alltäglich.

Dies waren noch lange nicht alle Szenarien, in denen Personen an Ihren Daten oder Ihren Geräten interessiert sein könnten, aber ich denke, grundsätzlich sollte nun klar sein, dass es doch verdammt viele Personen sind.

Fassen wir das einmal zusammen:

Im Grunde hat jede Person einen guten Grund, an Ihre Daten gelangen zu wollen, da die meisten Daten für sie einen Wert darstellen.

Die Zerstörung Ihrer Daten stellt, auch wenn es sinnlos erscheinen mag, für einige Menschen eine Herausforderung und Motivation dar.

Ihre technischen Geräte sind für bestimmte Personen sehr interessant, da sie ihnen helfen, weitere Angriffe auszuführen oder anderweitig als Arbeitsgeräte zu benutzen.

Ihre Daten sind auch als »Entführungsopfer« für einige Menschen von großem Wert.

Betrachten wir dies nun in Summe, können wir im Umkehrschluss feststellen, dass es im Grunde nur eine verschwindend geringe Menge an Menschen gibt, vor der wir uns, auf die IT-Sicherheit bezogen, nicht fürchten müssen. Wie vielen Menschen vertrauen Sie so weit, dass Sie ihnen einen vollen Zugriff auf Ihre Daten erlauben würden, inkl. Kontozugriff? Sehen Sie – ziemlich wenigen, vermute ich.

Glücklicherweise gibt es zwei Punkte, die dafür sorgen, dass wir überhaupt noch nachts ein Auge zu machen können. Den einen haben wir bereits angesprochen. Viele besitzen in irgendeiner Form, nennen wir es ethische Grundsätze, die sie davon abhalten, jemandem zu schaden, auch wenn das Ergebnis dessen, was sich hier als Möglichkeit bietet, durchaus verlockend ist. Der zweite Punkt ist die technische Hürde, die hier noch im Weg steht. Es kann schlicht und ergreifend nicht jeder hacken oder IT-technische Angriffe durchführen.

Wenn Sie jetzt wieder ein wenig aufatmen und sich denken »Puh, nun nimmt das Kapitel ja ein versöhnliches Ende!«, sollten Sie sich allerdings selbst folgende zwei Fragen beantworten: Wenn Sie unsere Welt in den letzten Jahren so beobachten, haben Sie für die kommenden Jahre ein großes Vertrauen in die ethischen Grundsätze der Menschheit im Allgemeinen? Und ändert sich Ihre Gefühlslage unter Umständen, wenn ich Ihnen sage, dass man für einige Angriffe heute gar nicht mehr viel Aufwand betreiben muss oder gar jemanden beauftragen kann, der diesen dann durchführt? Und der dritte Stimmungskiller folgt auch sogleich, denn auch wenn nicht jeder Cyber-Angriffe durchführen kann oder will, so kann ich Ihnen sagen, es gibt dennoch eine ganze Menge Personen, die es tun. Und das reicht leider aus, um die gesamte IT-Welt einer hohen Bedrohung auszusetzen. Aber dazu später mehr.

Wenn wir uns also die anfängliche Frage, ob Sie IT-Sicherheit wirklich brauchen, noch einmal durch den Kopf gehen lassen, so kommen wir vermutlich gemeinsam zum Ergebnis: JA, Sie benötigen IT-Security. Denn genau wie Sie Ihren Besitz in allen anderen Formen schützen, indem Sie Ihr Auto abschließen, in keiner allzu dunklen Gasse zwei Wochen stehen lassen oder wie Sie auch Ihre Haustür abschließen und Ihre Handtasche nicht unbeaufsichtigt im Zugabteil stehen lassen, so ist es völlig selbstverständlich, dass Sie auch Ihren digitalen Besitz auf irgendeine Form schützen sollten und sogar müssen. Warum »müssen«, fragen Sie sich nun vielleicht? Nun, dazu habe ich eine kleine Geschichte.

Geschichten aus dem Alltag: Für die ganz Coolen unter Ihnen

Bei meinen Live-Hacking-Shows suche ich mir unter anderem hin und wieder frei zugängliche Ziele aus dem Internet, die unwissentlich zu viele Informationen preisgeben, um meinen Zuschauern zu verdeutlichen, welchen fatalen Effekt es haben kann, wenn aus Unwissenheit Geräte, Systeme oder Netzwerke falsch konfiguriert werden oder anderweitig Daten preisgegeben werden. Im Normalfall sind diese Ziele danach auch schnell wieder vergessen. An diesem Tag habe ich allerdings den falsch konfigurierten und versehentlich frei zugänglichen Datenspeicher eines Unternehmens gefunden, auf dem wirklich jegliche Daten geradezu präsentiert wurden. Zu finden waren dort nicht nur Angebote an Kunden sowie diverse Kundenlisten und -daten, sondern auch Verträge mit Kunden, Arbeitsverträge und sogar Krankmeldungen von Mitarbeitern. Frei zugänglich für jeden Menschen, der mit dem Internet umgehen kann und weiß, wonach er suchen muss. Nun bin ich weder Spiderman (die Natur hat mir hier körperlich einen Streich gespielt), noch ist es aufgrund der Vielzahl an Zielen hier überhaupt möglich, jeden darauf hinzuweisen, dass hier offensichtlich ein kleiner Fehler vorherrscht, aber in diesem Fall habe ich mich dazu entschlossen, die Geschäftsleitung des Unternehmens zu informieren. Rauszufinden, um wen es sich hier handelt, war aufgrund der freundlich bereitgestellten Datenvielfalt nicht allzu schwer und so nahm ich nach der Show den Hörer in die Hand und rief an.

Zunächst hatte ich eine sehr freundliche Empfangsdame am Apparat, die nach meiner kurzen Einleitung, dass jegliche Unternehmensdaten für die halbe Welt sichtbar im Internet stünden, den Ernst der Lage sofort erkannte und mich an die Geschäftsführung durchstellte. Der Herr meldete sich mit seinem Namen. Nennen wir ihn hier, Achtung Spoiler, »Herr Mürrisch«.

Ich gebe das Gespräch einmal an dieser Stelle originalgetreu wieder:

Herr Mürrisch: »Mürrisch?«

Ich: »Guten Tag, mein Name ist Peter Debus. Sie werden mich nicht kennen, ich bin Geschäftsführer eines IT-Unternehmens und führe hin und wieder Live-Hacking-Shows durch, bei denen ich den Zuschauern zeige, wie einfach es ist, ungewollt bereitgestellte Daten im Internet zu finden. Und heute habe ich zahlreiche sensible Daten wie Arbeitsverträge, Kundenverträge und Krankmeldungen von Ihrem Unternehmen gefunden und habe mich dazu entschieden, Sie kurz darüber zu informieren.«

Anmerkung an dieser Stelle: Jetzt folgen bilderbuchmäßig die drei Phasen der klassischen IT-Security-Vorfall-Reaktion. Auf diese gehen wir später noch einmal ein.

Herr Mürrisch: »Das kann nicht sein!«

Ich schweige einen Moment und überlege, mich zu verabschieden, ich muss mich ja offensichtlich geirrt haben. Herr Mürrisch wird es ja wissen. Sind ja schließlich seine Daten.

Ich: »Naja, wissen Sie, ich habe Ihre Daten vor knapp 45 Minuten noch alle gesehen. Ich bin mir ziemlich sicher, dass ich mir das nicht eingebildet habe.«

Herr Mürrisch: »Wer sind Sie nochmal?«

Ich merke zwar, wie mich diese ablehnende und auch unfreundliche Haltung etwas nervt, schließlich will ich ihm ja helfen und das auch noch unentgeltlich, aber man ist vielleicht von so einem Anruf auch überrascht und unter Umständen auch etwas skeptisch. Also erkläre ich noch einmal ganz offen, wer ich bin.

Herr Mürrisch: »Und jetzt wollen Sie etwas verkaufen?«

Ich: »Nein, lediglich die Information weitergeben, damit Sie das beheben können.«

Herr Mürrisch: »Ich kann da überhaupt nichts dafür, das hat alles mein ITler installiert.«

Ich: »Ja, kein Problem, es geht ja hier gar nicht um Schuldzuweisungen, sondern darum, dass die Daten möglichst schnell aus dem Internet nicht mehr zugänglich sind.«

Herr Mürrisch: »Und was soll ich jetzt machen?«

Der Ton von Herrn Mürrisch wird zunehmend – Sie haben es geahnt – mürrischer.

Ich: »Am besten sprechen Sie einmal mit Ihrem IT-Dienstleister, teilen ihm das Problem mit und besprechen die weiteren Schritte mit ihm. Und wenn Sie gar nicht weiterkommen, kann der Administrator mich gerne anrufen, dann gebe ich ihm kurz ein, zwei Stichpunkte, was das Problem ist.«

Herr Mürrisch: »Wissen Sie, eigentlich ist es mir aber auch scheißegal, dass jeder die Daten sehen kann.«

Ich räuspere mich und hole tief Luft. Im Bereich IT-Security bringt mich so schnell nichts aus der Fassung, ich habe viel erlebt, viel gesehen und viele Reaktionen beobachten können. Mutwillig allerdings sensible Daten Anderer preiszugeben, das in dieser öffentlichen Form und dann auch noch keinerlei Bewusstsein zu besitzen, das ist und bleibt für mich immer ein rotes Tuch.

Ich: »Herr Mürrisch, das mag Ihnen grundsätzlich egal sein, dass Ihre Daten jeder aus dem Internet einsehen kann, und grundsätzlich ist es mir das auch, wenn Sie damit leben können. Hier geht es allerdings um die Daten Ihrer Kunden und vor allem, ich wiederhole das noch einmal, hochsensible Krankheitsdaten Ihrer Mitarbeiter. Ich bin mir absolut sicher, dass den betroffenen Personen das nicht egal ist, und Sie sind in der Pflicht, sich darum zu kümmern.«

Der Rest des Gespräches ist dann nicht mehr relevant. Herr Mürrisch machte keine klare Aussage darüber, ob er sich nun darum kümmert oder das Problem überhaupt verstanden hat, aber mehr war an dieser Stelle nicht herauszuholen. Ich will also nicht ausschließen, dass die Daten auch heute noch frei einsehbar sind, hoffe aber, Herr Mürrisch hat seine Erleuchtung eines Tages noch erhalten. Es wäre ihm und vor allem seinem unmittelbaren Umfeld zu wünschen.

Abgesehen davon, dass diese erlebte Geschichte zeigt, wie schwierig es ist, flächendeckend ein Bewusstsein für eine dringend notwendige IT-Security zu erlangen, lässt sich aber auch daraus ableiten, dass es nicht zwangsläufig wichtig ist, wie Sie selbst zu diesem Thema stehen. Manchmal gibt es auch gesetzliche, ethische oder andere Gründe, warum ich IT-Sicherheit benötige, ohne, dass das Thema mir selbst vielleicht sehr wichtig ist. Überlegen Sie einmal Folgendes: Ihnen wäre es vermutlich weitgehend egal, ob Herr Mürrisch in einem Robbenkostüm an der australischen Westküste schwimmen geht, richtig? Verständlich. Wäre es Ihnen auch egal, wenn er Sie dabei hinter sich auf einer Luftmatratze ziehen würde? Nein? Genau. Schnell stellen wir also fest, dass in unserer Geschichte Menschen zu Schaden kommen können, wenn ihre Informationen verbreitet werden, und in diesem Fall spielt es eine sehr untergeordnete Rolle, ob es Herrn Mürrisch es passt, dass er eine Verantwortung trägt oder eben nicht. Er trug sie aber ab dem Moment, als er für die Sicherheit dieser Daten verantwortlich wurde. Wenn er diese Verantwortung nicht möchte, hätte er kein Unternehmer werden dürfen. So einfach ist es in diesem Fall.

Abgesehen von der rechtlichen Lage, in der Herr Mürrisch nicht wahnsinnig gut dasteht, indem er gegen einige Regelungen verstößt, so ist es unsere moralische Pflicht, Daten anderer Personen so zu schützen, als wären es unsere eigenen oder seit dem Fall von Herrn Mürrisch sagen wir vielleicht besser, so zu schützen, damit diese nicht kompromittiert werden. Kann oder möchte ich das nicht leisten, so muss ich eben einen anderen Weg einschlagen, sodass ich mit diesen Daten erst gar nicht in Berührung komme. Schließlich kaufe ich mir auch keinen Hund, wenn ich eine starke Tierhaarallergie habe. Verantwortung ist hier das Stichwort.

Tagebuch aus dem Leben von Eduard Mollner

23.03.

17:56

Sitze noch im Büro. Backup ist mal wieder seit Wochen nicht gelaufen. Chef-Etage weiß nichts davon. Sollte mich trotzdem darum kümmern. Werde es schnell lösen und dann endlich nach Hause fahren.

19:21

Fange jetzt an, das Backup zu prüfen. Musste die ganze Zeit warten, bis mein PC die Updates des Betriebssystems durchgeführt hat.

19:32

Ist schon recht spät. Habe das dringende Bedürfnis nach Feierabend. Beschließe, das Backup morgen zu prüfen. Morgen habe ich Zeit und heute Nacht wird schon nichts passieren. Auf einen Tag kommt es nicht mehr an. Fahre nach Hause und genieße den Feierabend.

Nächster Tag – 24.03.

8:16

Bin auf dem Weg zur Arbeit.

8:21

Kann von weitem Rauch am Horizont sehen.

8:23

Rauch in der Straße wird dichter. Musste im Auto die Umluft anschalten.

8:25

In der Straße sind mehr Feuerwehrfahrzeuge als es Windows-Versionen gibt.

8:30

Konnte den Firmenparkplatz nicht nutzen, da überall Schläuche liegen. Einer meiner Chefs hält seine Frau im Arm und hat Tränen in den Augen. Frage mich, ob es hier einen Zusammenhang gibt. Denke über seine Frau nach und entscheide mich für »ja«.

8:31

Überlege, ob ich heldenhaft das Bürogebäude betrete, um jemanden oder etwas zu retten.

8:32

Kann Bürogebäude nicht mehr finden. Feuerwehr teilt mir mit, dass es den Flammen erlegen ist.

8:40

Versuche, ungesehen zu meinem Auto zu gelangen. Denke darüber nach, wann das Backup das letzte Mal gelaufen ist. Im Radio läuft »Time to say goodbye«.

2.3 Wer sind diese Personen, die mich angreifen? Die NSA?

Nun, die im ersten Schritt erst einmal eher nicht. Zumindest nicht, wenn Sie kein gesuchter Terrorist, wichtige Institution in einem anderen Land oder Ähnliches sind. Falls doch, können wir das zumindest nicht gänzlich ausschließen.

Witzigerweise ist die Angst, dass Behörden oder gar die NSA unsere Gespräche aufzeichnet und unsere Geräte hackt, immer wieder in den Köpfen der Personen, mit denen ich zu tun habe. Das Kuriose dabei ist, dass die Angst vor den tatsächlichen Angreifern im Gegensatz dazu deutlich kleiner ist. Warum haben wir Angst vor einem viel unwahrscheinlicheren Risiko als vor dem Eigentlichen, das den Kopf schon durchs Fenster streckt?

Da ich kein Psychologe bin, habe ich versucht, der Sache anderweitig auf den Grund zu gehen. Über die letzten zwei Jahre habe ich immer wieder Kunden, Zuschauer auf Shows und Privatpersonen, die mich in ein Gespräch über IT-Security verwickelt haben (diese beginnen übrigens immer mit dem Satz »Könntest du mich jetzt einfach hacken, wenn du wolltest?«), folgende Fragen gestellt und die Antworten festgehalten: