Interview mit einem Hacker
Interview mit einem
White Hat Hacker
Unsere Hacker Story
„Mich ins System hacken? Eine Sache von Minuten.“
Markus Opfer-Rodrigues, CEO IT-Consulting Ebikon, arbeitet als Informatik-Sicherheitsberater. Zu seinen Aufgaben gehört es auch, Schwachstellen in Unternehmensnetzwerken aufzuzeigen. Er arbeitet allerdings auf der guten Seite. Er sucht Schwachstellen in den IT-Systemen oder der Organisation, die von Unternehmen in Auftrag gegeben werden. Und jedes Mal wird er dabei fündig. Aber auch auf Events, Konferenzen und Messen zeigt er eindrucksvoll, wie schnell in Systeme eingebrochen werden kann und wie schnell dabei Daten gestohlen werden können
Frage der Redaktion
In welchem Moment entgleisen Ihren Kunden die Gesichtszüge?
„Das kommt ganz auf die Situation drauf an. Jedoch spätestes dann, wenn ich den Kunden zeigen kann, wo ich mich im System befinde und welcher Schaden daraus entstehen kann. Besondern beliebt sind Datenbanken und Datenstämme, wo sich personenbezogene Daten befinden, also Buchhaltung, Mitarbeiterdatenstämme oder Kundendaten. Insbesondere Kundendaten sind dann auch heikel.
Aber auch besonders betriebsinterne Angelegenheiten, zum Beispiel Daten, die die Konkurrenz nicht erfahren darf oder Patente und dergleichen.“
Was ich aber auch schon gehört habe ist, dass Zitat: „Wir als Betrieb haben gar keine wichtigen Daten„
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Mit welchen Fragen oder Bedürfnissen kommen die Auftraggeber auf Sie zu?
„Häufig werden IT-Audits angefragt. In diesem Rahmen bewegen wir uns auch auf der Seite der Schwachstellensuche. Mit einem IT-Audit wird jedoch auch gleichzeitig die Organisation mit überprüft und stellt eben nicht nur einen reinen Penetrationstest auf die technische Umgebung dar.
Allerdings sollten Betriebe nicht vergessen, dass auch in der Schweiz die DSGVO bereits ein gewichtiges Thema ist und die Unternehmer gewisse Sicherheitsstandards erfüllen müssen, sowie verpflichtet sind, regelmässige Überprüfungen durchzuführen. Das neue Datenschutzgesetz (nDSG) wird ab 1. September 2023 Geltung erlangen und dann müssen ohnehin alle Schweizer Unternehmen die neuen Datenschutzrichtlinien umsetzen.
Ein bestehender IT-Dienstleister sollte diese Überprüfung jedoch nicht durchführen. Einfach aus dem Grund, dass sonst die Qualität des Audits darunter leidet. Welcher Dienstleister deckt schon gerne seine eigenen Schwachstellen auf
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Wieviele Unternehmer sagen, dass bei Ihnen alles OK ist?
„Viele. Sehr oft hören wir, selbst wenn ein Betrieb einem Angriff unterlegen war, dass bei ihnen alles OK ist und die Sache gerade behoben wird. Die Unternehmer denken, es wird eine neue Firewall installiert und ein Antivirenscanner und das es eben Pech gewesen ist.
Das ist an der Stelle leider Schade, dass so gedacht wird. Heutiger Cyber-Kriminalität kann man nicht mehr mit „Einwegsystemen“ entgegentreten. Da benötigt es ganz andere Sicherheitsmechanismen (Stichwort: Mehrstufensicherheit), als die heutigen Standard-Methoden es hergeben und oftmals ist es noch so, dass Sicherheitssysteme so teuer sind, dass sich KMU Betriebe diese sich oftmals gar nicht leisten können.
Informatik-Sicherheit ist nicht etwas, was IT-Dienstleister nebenbei betreiben sollten, weil ganz einfach oftmals das Fachwissen fehlt
Informatik-Sicherheit ist ein
Fundament der Digitalisierung
Antwort: Markus Opfer-Rodrigues
Dieses Interview als PDF downloaden
Frage der Redaktion
Nachdem Sie Ihren Audit / Schwachstellen Scan durchgeführt haben, sagen die Unternehmer dann immer noch, dass bei Ihnen alles OK sei?
🙂 „Wir gehen wie ein echter Hacker vor. Zuerst machen wir einen Schwachstellenscan. Das ist wie bei den Einbrechern, die sich ersteinmal ein Haus von allen Seiten anschauen. Ist dann ein Fenster oder eine Kellertür nicht richtig verschlossen, können wir mit virtuellen Hebeln dort einbrechen.
Im nächsten Schritt durchleuchten wir, welche Lücken wirkliche Gefahren darstellen und wie diese sich auf die Umgebung auswirken können, dazu benötigen wir das OK des Auftraggebers, indem wir dann schauen, wie weit wir in das System einbrechen können. Je einfacher eine Schwachstelle auszunutzen geht, desto weiter kommen wir in das System hinein und desto gefährlicher wird es für den Unternehmer. Ein echter Hacker geht mit brachialer Gewalt vor.
Um Ihre Frage zu beantworten. Nein, nachdem der Auftraggeber gesehen hat, welche Schwächen er tatsächlich hat, sagt er nicht mehr, dass bei ihm alles in Ordnung sei. Er fragt dann meisst, was getan werden könne, damit sein Unternehmen wirklich sicher ist.
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Denken KMU Betriebe nicht, dass sie viel zu klein sind für einen Hacker Angriff und das es sowieo immer nur die grossen trifft?
„Das ist ein Trugschluss. Grosse Unternehmen haben Abteilungen, in denen sich IT-Spezialisten mit nichts anderem beschäftigen, wie mit der Informatik-Sicherheit. Auch haben diese Unternehmen ganz andere Möglichkeiten, sich der Sicherheit zu stellen.
Laut Statistiken ist bei grossen Unternehmen die Cyber-Kriminalität etwas rückläufig, da viel in die Sicherheit investiert wird. Diese Summen kann sich ein KMU nicht leisten. Durch automatisierte Angriffsvektoren, die jeden Tag Millionenfach das Internet durchlaufen, sind prinzipiell alle Teilnehmer betroffen, die mit dem Internet verbunden sind. Insbesondere trifft es dann auch die kleineren bis mittleren Betriebe, die gar nicht gezielten Angriffen ausgesetzt sind, sondern einfach durch den Automatismus in Mitleidenschaft gezogen werden. Und diese Betriebe trifft es dann meist mit voller Wucht.
Oftmals stellen diese Betriebe auch gar nicht fest, ob sie betroffen waren / sind, da Ihnen das nötige Equipment dazu fehlt.
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Wie lange brauchen Sie in der Regel, bis Sie zugriff auf ein Unternehmensnetzwerk haben?
„Das kommt ganz auf die Situation und die Komplexität an. Sind Admin Zugriffsrechte schnell in unserem Besitz, ist es nur noch eine Sache von Minuten. Das klappt eigentlich fast immer und damit sind Tür und Tor geöffnet.“
Antwort: Markus Opfer-Rodrigues
Dieses Interview als PDF downloaden
Frage der Redaktion
E-Mail Attacken werden immer beliebter und es ist ein enormer Anstieg von Ransomware zu verzeichnen. Wie kommt diese Schadsoftware eigentlich in die Unternehmen?
„Leider immer noch so und als Klassiker zu verzeichnen: Mitarbeiter klickt auf E-Mail Anhang. Jedoch ist es mittlerweile auch so, dass e-Mails von scheinbar Bekannten oder Freunden versendet werden, wo sich jedoch ein „Schneeballsystem“ oder Dominoeffekt dahinter versteckt, nämlich zum Beispiel ein Lieferant eines bekannten Unternehmens wird mit Schadsoftware verseucht, welches das jedoch nicht erkannt hat oder erkennen konnte (siehe weiter oben) und dadurch werden weitere Unternehmen fast vollautomatisiert verseucht.“
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Der Mitarbeiter ist immer noch das grösste Risiko?
„Leider ist das so, ja. Deshalb bieten wir mit unserem ITCE Fortbildunszentrum Zentralschweiz spezielle Trainigs an. Dazu gehört auch, dass wir den Mitarbeitern Live Hacks zeigen, wie schnell ein Virus oder Trojaner in das Firmennetzwerk gelangt.
Leider ist es auch so, dass es vorgefertigte Programme (Schadsoftware) im Internet gratis zu finden sind, die heute jeder 10-jährige zusammenbasteln kann. Er muss dann nur noch die Mail lossenden und warten, dass jemand draufklickt und schon hat er mit einem Trojaner Zugriff zum Firmennetz.“
Und mal Hand auf´s Herz: Welcher Unternehmer möchte sich schon eingestehen, er wurde von einem 10-jährigen gehackt.
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Die Augen sind bestimmt gross, wenn Sie Live Hacks zeigen. Aber dauert das auch an, resp. haben die Unternehmer auch respekt davor?
„Mitarbeiter und auch die Chefs haben erstmal alle Achtung vor diesen Gefahren und / oder wie schnell es geht. Das ganze hält jedoch nur eine gewissen Zeit an, bis sich der Alltag und die schlechten Angewohnheiten wieder einschleichen. Informatik-Sicherheit ist einem schnellem Wandel unterlegen. Die böse Seite ist uns dabei immer einen Schritt voraus. Wir empfehlen an der Stelle regelmässige Schulungen, damit die Organisation den aktuellen Sicherheitskritischen Methoden Schritt halten kann.
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Welche Risikoquellen gibt es, wo Sie empfehlen, dass diese konsquenter ausgeschlossen werden können?
„Erstaunlich ist immer noch, dass Standartpasswörter, wie Sie zum Beipspiel über Google gefunden werden können, in den Betrieben eingesetzt werden.
Oftmals kommt es dann noch vor, dass ein Passwort mehrere Systeme oder Applikationen bedient. Allerdings helfen selbst die besten Passwörter wenig bei Hackern. Das Wissen um Sicherheitslücken etwa bei einer bestimmten Software kann in Datenbanken im Internet frei durchsucht werden. Haben wir einen Auftraggeber, der diese Software nutzt, sind wir in einer Minute im System.“
Antwort: Markus Opfer-Rodrigues
Dieses Interview als PDF downloaden
Frage der Redaktion
Klingt beängstigend. Ist das den Unternehmern auch bewusst?
„Nein, vielen ist es nicht bewusst. Ich muss mir immer wieder anhören, „Uns passiert das nicht. Wir haben eine Firewall und einen guten Antivirenschutz“.
Dabei geht ein Trojaner im e-Mail Anhang bereits an der Firewall vorbei, weil viele nichtmals die zusätzlichen kostenpflichtigen Features einsetzen. Zudem der Antivirenschutz nicht am Stand ist und die Schadsoftware im Fall der Fälle auch nicht erkennt.
Das würde jetzt jedoch zu weit gehen, die Thematik besser zu beleuchten. Für solche Fragen stehen wir gerne auch persönlich zur Verfügung.„
Antwort: Markus Opfer-Rodrigues
Frage der Redaktion
Letzte spannende Frage:
Gibt es Unternehmen die so gut geschützt sind, dass Ihre Angriffe wirkungslos sind?
Wie Sie wissen, setzen wir eigene Produkte ein, die Mehrstufensicherheitssysteme besitzen. Nur damit gelingt es tatsächlich ein KMU Betrieb effektiv zu schützen und die sich jeder KMU Betrieb auch leisten kann.
Unser Credo lautet: Enterprise Security Technologie, KMU zu bezahlbaren Preisen zur Verfügung zu stellen, die obendrauf auch noch wirtschaftlich sind
Aber um Ihre Frage abschliessend zu beantworten. Die Technik kann noch so gut sein, wenn der Mensch dahinter die Sicherheit wieder unterwandert. Wir können so immer wieder auch neue Wege finden, weil sich ständig (jeden Tag) etwas ändert. Mit unseren Technologien (Adele FireWall und Selena Server) machen wir es den Hackern jedoch sehr schwer, in das System einzudringen.“
Wir wissen das, weil wir mit den Augen eines Hackers die Systeme entwickelt haben
Denke wie ein Hacker und du weisst, wie du dich schützen musst
Antwort: Markus Opfer-Rodrigues
Wir haben noch ein kleines Geschenk für Sie parat gemacht
Wie Sie Ihr Unternehmen Schritt für Schritt absichern können
Sie erhalten unser wertvolles e-Book im Wert von CHF 29.95 als PDF zum Download, nachdem Sie sich registriert haben