„Die Cyberkriminalität ist eine extrem professionalisierte Industrie geworden“, statiert Wilhelm Dolle, Head of Cyber Security bei KPMG. Welche Angriffsszenarien Unternehmen im Blick haben sollten und an welchen Stellschrauben im Namen der Sicherheit nachgezogen werden muss, erklärt er im Gespräch mit HI:TECH CAMPUS-Chefredakteurin Bettina Riedel.
Herr Dolle, wie kamen Sie zur Cyber Security?
In den Achtzigern habe ich mich aus Interesse mit Schadcodes, Rootkit-Analysen und Co. beschäftigt, in den Neunzigern kamen organisatorische Themen hinzu – eine Mischung, die auch jetzt noch aktuell ist: Als Head of Cyber Security leite ich derzeit eine Abteilung bei KPMG mit zirka 150 Mitarbeiterinnen und Mitarbeitern.
Was dürfen unsere Leser:innen sich unter dieser Abteilung vorstellen?
Vielleicht setze ich erst einmal an den Begrifflichkeiten an. Oftmals taucht „der Coder“ auf, genauso „der Hacker“. Ersterer entwickelt Software, das ist grundsätzlich nichts Kriminelles – abgesehen davon, dass es auch viele Angreifer:innen ohne eigenes Know-how, sogenannte Script-Kiddies, gibt, die sich Angriffswerkzeuge am Markt einkaufen. Ein Hacker oder eine Hackerin ist jemand, der/die Spaß an technischen Geräten und technischen Prozessen hat und sich einfach um des Erkenntnisgewinns willen auch Sicherheitslücken ansieht. Die negative Konnotation der Begriffe ist also meistens völlig ungerechtfertigt.
Gegen wen kämpfen Sie also in Wirklichkeit?
Der „wahre Feind“ unserer Unternehmenskunden entstammt nicht der naiv-romantischen Vorstellung, die Vorstandsvorsitzenden und Aufsichtsrät:innen manchmal noch haben: die nerdigen Jungs bei Mama im Keller. Stattdessen ist eine hochprofessionell ausgebaute Industrie entstanden: Cyberkriminelle bilden teilweise große Gruppen, sind top ausgebildet, arbeiten mit der neuesten Hard- und Software und teilweise sogar im Schichtdienst. Die Organisierte Kriminalität hat festgestellt, dass die Margen in Cyberkriminalität viel höher sind als etwa beim Menschen-, Drogen- oder Waffenhandel. Außerdem fällt die physische Komponente der Warenübergabe weg, sodass auch das Risiko verringert wird. Der einfachste Fall von Cyberkriminalität ist, dass eine Schadsoftware irgendwo eingeschleust wird, die die Festplatte verschlüsselt und ein Lösegeld für die Freigabe einfordert – sogenannte Ransomware. Dafür muss ich als Angreifer:in mein sicheres Land nicht verlassen. Man nutzt beispielsweise einen Sprungserver, ändert so seine IP und agiert aus einem Land heraus, wo die Strafverfolgungsbehörden nicht mit Deutschland zusammenarbeiten, es einen Zeitzonenunterschied gibt und Sprachbarrieren on top.
Meine Gegenseite ist also hochprofessionell. Sie entwickelt Schadsoftware im Auftrag, die aktuelle Schwachstellen in Systemen ausnutzt, stiehlt selbst Daten … und sobald eine von Kriminellen verkaufte Software von gängigen Antiviren-Scannern erkannt wird, kann man sich als Kund:in melden und eine neue Version fordern – dann erhalte ich ein Update, wie bei einer typischen Gewährleistung.
Sicherheitsbewusstes Verhalten im Internet
Wie schützt man sich als Unternehmen dagegen?
Es braucht eine gute Mischung aus organisatorischer und technischer Sicherheit. Dazu muss zum anderen ein ganzheitlicher, strategischer Ansatz kommen, der unter anderem auch die Weiterbildung der Mitarbeiter:innen in den Fokus rückt. Man kann noch so viel Technik kaufen – wenn die Kolleg:innen auf alles klicken, was sich bewegt, bringt das nichts. Gerade in der jetzigen Zeit, in der Home Office so angesagt ist wie nie.
Endverbraucher benötigen also ein neues Cyberbewusstsein.
Absolut. Das beginnt bei einfachsten Dingen, wie dem privaten Handy und wie leichtfertig neue Apps installiert werden, die es weder bräuchte noch besonders auf Sicherheit und Datenschutz geprüft werden. Essenzielle Berechtigungen, die auf wichtige Daten des Endverbrauchers zugreifen, werden gegeben, ohne groß darüber nachzudenken. Ich würde mir wünschen, dass sich hier jeder mehr Gedanken dazu machen würde.
Aktuell wird eine Art Gütesiegel für Cyber Security entwickelt, ähnlich wie die Lebensmittelampel – kann man auch kritisch sehen. Aber es wäre ein Werkzeug für den Alltag, um jedes Produkt sehr schnell einschätzen zu können. Hintertüren wird es aber in prinzipiell jeder Software geben, bei einigen Unternehmen wurde dies sogar schon nachgewiesen. Meistens sehen diese Hintertüren aus wie Entwickler-Fehler, als könne man sie mit einem Update beheben. In Wirklichkeit hat man sie eingebaut, um ganz bewusst eine leicht ausnutzbare Sicherheitsschwachstelle zu kreieren und später deren Kenntnis abstreiten zu können. Entsprechend müssen User:innen meines Erachtens einen Schritt Richtung Datensparsamkeit machen. Wer Daten an Orten speichert, die aus dem Netz zugänglich sind, muss davon ausgehen, dass sie abhandenkommen können. Ein Gedanke, der auch der IT-Sicherheit bei den meisten Unternehmen selbst zugrunde liegt: Diese setzen beispielsweise nicht nur auf gute Verschlüsselung, sondern operieren auch auf einer Need-to-know-Basis; also Leute, die Zugriff auf Daten nicht brauchen, kriegen ihn nicht, fertig. Verpflichtendes Verschlüsseln ist ein anderes Beispiel – ein System erzwingt, dass ich einen USB-Stick verschlüssele, bevor ich überhaupt etwas darauf speichern kann, um dem Datenverlust bei Verlieren des Mediums oder beim Diebstahl zu vermeiden. Berufseinsteiger:innen sollten beispielsweise auch intensiv geschult werden, bevor sie beginnen, im Netz aktiv zu werden und auf Kund:innen treffen.
Typische Projekte in der Cyber Security-Abteilung
Mit welchen sicherheitsbezogenen Aufträgen haben Sie mandantenseitig zu tun?
In unserer Arbeit gibt es sehr unterschiedliche Aufträge. Ein Klassiker wäre ein Penetrationstest, bei dem wir versuchen, uns in Systeme zu hacken, Daten zu stehlen und so Sicherheitslücken für den Kunden oder die Kundin aufzudecken. Ein Praxisbeispiel ist die IT in der Produktion eines produzierenden Unternehmens. Ein anderer möglicher Auftrag wäre, dass ein Unternehmen bereits einen Sicherheitsvorfall hatte und ein Cyber Security-Programm-Management aufgesetzt werden soll, um mögliche Schwachstellen zu beheben. Das kann im Übrigen durchaus drei bis fünf Jahre dauern. Ein weiteres Beispiel ist die UNECE-Richtlinie und betrifft neu zuzulassende Autos ab Mitte 2022: Die Fahrzeuge müssen ein Cyber Security-Management-System eingebaut haben, denn zukünftig wird es mit 5G-Entwicklungen hin zu Smart Citys geben, bei denen viele Daten übertragen werden.
Die Sicherheit von Produktionsanlagen oder dem MRT- oder Röntgengerät im Krankenhaus ist ebenfalls ein brandaktuelles Thema. Sie alle laufen mit Betriebssystemen, die Sicherheitslücken haben – dieser Bereich benötigt dringend Verstärkung und die Regierung aktualisiert auch gerade mit dem IT-Sicherheitsgesetz und der entsprechenden KRITIS-Verordnung die gesetzliche Grundlage. Das wiederum führt dazu, dass bei unseren Kund:innen Veränderungen nötig werden.
Sie sind ja auch in der Lehre tätig. Inwiefern ist es wichtig, dass Wissenschaft und Forschung miteinander kooperieren?
Super wichtig, weil wir als Berater:in natürlich am Puls der Zeit sein müssen und zum Glück haben wir in Deutschland eine hohe Anzahl relevanter Forschungseinrichtungen. Kooperation kann aber auch anders aussehen: Einmal im Jahr melden wir ein Team bei einem digitalen Capture-The-Flag-Event an. Etwa fünfzig Hacker-Teams treten gegeneinander an und müssen sich gegenseitig Flaggen abjagen. Da nehmen wir seit einigen Jahren teil und kommen auch immer wieder mal unter die ersten drei. Es gibt nichts zu gewinnen außer Prestige.