"Bei IT-Security geht es zu wie im Wilden Westen"
Wie einfach es ist, einen Trojaner in ein Computersystem einzuschleusen, zeigte Ivan Bütler, Gründer und CEO von Compass Security AG, am Hacking Day in Zürich. Im Interview erklärt er, welche Gefahren im Web lauern.
Herr Bütler, Sie zeigen in Live-Demos, wie einfach es ist, ein System zu hacken. Im Auftrag von Kunden greift Compass Security deren Computersysteme an, mit dem Ziel, Schwachstellen aufzudecken. Wo liegen die grössten Schwachstellen bei Schweizer Unternehmen?
In letzter Zeit haben wir viel von Sony gehört – hier handelt es sich meines Erachtens um einer der grössten realen Advanced-Persistent-Threats-Angriffe, kurz APT genannt. Und der Stuxnet-Trojaner ist nach wie vor ein grosses Thema. Schweizer Firmen sollten sich besonders gegenüber Wirtschaftskriminalität aus dem Internet schützen, sich laufend über die Gefahren im Netz informieren und proaktiv Anti-Hacker-Massnahmen umsetzen.
Was hat denn Sony Ihrer Meinung nach falsch gemacht? Hat das Unternehmen wirklich bei der Sicherheit seines Systems geschlampt oder kann man eine solche Attacke gar nicht verhindern?
Aus meiner Sicht hat Sony seine Systeme einfach nicht adäquat geschützt. In der Schweiz verlangt das Gesetz, dass ein System entsprechend dem Stand der aktuellen Technik geschützt sein muss. Das war bei Sony sicher nicht der Fall. Ausserdem gehe ich davon aus, dass Sony gegen die PCI Vorschriften verstossen hat. Jedes Unternehmen, das kritische Daten verwaltet, arbeitet mit den Data-Security-Standards der Payment Card Industry. Diese gibt vor, dass sich jedes Unternehmen auditieren lassen muss.
Dennoch gibt es heute nicht nur softwarebasierte Schwachstellen und Angriffe – eine ernstzunehmende Bedrohung ist auch durch Hardware gegeben.
Das ist richtig, diese sogenannten Hardware-Malware-Bedrohungen häufen sich in letzter Zeit. Bei 99 Prozent aller Unternehmen weltweit geschehen diese Angriffe über USB-Sticks oder andere Hardware, und nur die wenigsten können sich heute davor schützen. Die Hacker suchen nach immer neuen Möglichkeiten, sich unautorisierten Zugang zu verschaffen.
Wie kann sich ein Unternehmen vor dieser Art Malware schützen?
Hier kann sich ein Unternehmen die Sicherheitsmassnahmen von Museen zum Vorbild nehmen. Diese schützen die wertvollen Gemälde vor Diebstahl mit der sogenannten Compartment Security. Man kann sich im Louvre die Mona Lisa zwar anschauen, aber anfassen wäre keine so gute Idee. Das Bild ist durch ein ganzes System von Alarmanlagen geschützt. Man kann zwar nicht verhindern, dass ein möglicher Einbrecher ins Museum hineinkommt, aber hinaus kommt er bestimmt nicht mehr. Und diese Analogie könnte man zukünftig – im Fall des Schutzes vor Hardware-Malware – auch für IT-Security anwenden. Man grenzt damit den Wirkungskreis von bösartigen Programmen ein.
Sie zeigen oft, wie zuletzt am Hacking Day in Zürich, Live-Demos einer Hacker-Attacke. Wie reagieren Ihre Zuschauer, wenn Sie vor deren Augen ihre IT-Systeme knacken?
Viele sind erstaunt, wie einfach man ein Computersystem mit Malware infizieren kann. Bildlich gesprochen sind wir im Wilden Westen und leben noch nicht in der Zivilisation, die richtige "elektronische Hygiene" betreibt. Jeder kann jeden erschiessen und wird dafür kaum zur Rechenschaft gezogen. Der Umgang mit den neuen Medien wird sich ändern, nach dem Hype der Gadgets und unbeschränkten Möglichkeiten wird es eine Zeit der Normalisierung geben.
Wie wird denn die Privatsphäre in 20 Jahren aussehen?
Ich gehe davon aus, dass man das Gesundheitsdossier einer Person online einsehen kann. Dies hat sowohl positive als auch negative Folgen. Positiv betrachtet kann sich ein Patient besser über Heilungsverfahren informieren. Nachteilig könnte sich diese Information bei einer Stellenbewerbung auswirken.
Neben Ihrer Tätigkeit als Geschäftsführer bei Compass Security unterrichten Sie auch an der Hochschule für Technik in Rapperswil und an der Hochschule Luzern. In welchem Rahmen bilden Sie die Studenten aus?
Wir führen eine Sensibilisierung zum Thema Web-Security durch, und das nicht nur in der Theorie, sondern auch in der Praxis. Hierzu gehe ich mit den Studenten in das Hacking-Lab von Compass Security und zeige ihnen dort anhand praktischer Beispiele, wo die Schwachstellen im Web liegen. Die Studenten erhalten dann die Möglichkeit, selbstständig Angriffe und Abwehrmassnahmen zu testen und zu lernen, auf was es letztlich beim Schutz ankommt.
Was sind für Sie heute die grössten Sicherheitsbedrohungen für ein Unternehmen?
Inside-out ist für mich das Hauptproblem, dann kommen noch die mobilen Geräte hinzu, die immer mehr werden, damit steigen jedoch auch die Sicherheitsrisiken in Unternehmen. Ein weiteres Problem ist der Datenverlust über soziale Netzwerke. Tendenziell liegt ein Grundproblem nach wie vor in der Komplexität und im Wandel der Gesellschaft. Hacker werden noch viele Jahre relativ leichte Angriffsziele vorfinden.
Was wirklich zum Zwist zwischen Iron Man und Captain America geführt hat
"Akzeptanz ist die wichtigste Messgrösse"
Mit Daten wirksam steuern und Ziele sichtbar machen
Schweizer Crowdfunding-Markt stagniert
G7 rücken Energieaspekte der KI in den Fokus
Hacker stellen Daten von 130'000 UBS-Angestellten ins Darknet
Öffentlicher Sektor beschleunigt KI-Einführung trotz Verbesserungsbedarf bei IT
Warum Behörden mit Standardsoftware besser fahren
AWS erweitert sein Cybersecurity-Angebot
