„Die Cyberkriminalität ist eine extrem professionalisierte Industrie geworden“, statiert Wilhelm Dolle, Head of Cyber Security bei KPMG. Welche Angriffsszenarien Unternehmen im Blick haben sollten und an welchen Stellschrauben im Namen der Sicherheit nachgezogen werden muss, erklärt er im Gespräch mit HI:TECH CAMPUS-Chefredakteurin Bettina Riedel.
Herr Dolle, wie kamen Sie zur Cyber Security?
In den Achtzigern habe ich mich aus Interesse mit Schadcodes, Rootkit-Analysen und Co. beschäftigt, in den Neunzigern kamen organisatorische Themen hinzu – eine Mischung, die auch jetzt noch aktuell ist: Als Head of Cyber Security leite ich derzeit eine Abteilung bei KPMG mit zirka 150 Mitarbeitern.
Was dürfen unsere Leser sich unter dieser Abteilung vorstellen?
Vielleicht setze ich erst einmal an den Begrifflichkeiten an. Oftmals taucht „der Coder“ auf, genauso „der Hacker“. Ersterer entwickelt Software, das ist grundsätzlich nichts Kriminelles – abgesehen davon, dass es auch viele Angreifer ohne eigenes Know-how, sogenannte Script-Kiddies, gibt, die sich Angriffswerkzeuge am Markt einkaufen. Ein Hacker ist jemand, der Spaß an technischen Geräten und technischen Prozessen hat und sich einfach um des Erkenntnisgewinns willen auch Sicherheitslücken ansieht. Die negative Konnotation der Begriffe ist also meistens völlig ungerechtfertigt.
Gegen wen kämpfen Sie also in Wirklichkeit?
Der „wahre Feind“ unserer Unternehmenskunden entstammt nicht der naiv-romantischen Vorstellung, die Vorstände und Aufsichtsräte manchmal noch haben: die nerdigen Jungs bei Mama im Keller. Stattdessen ist eine hochprofessionell ausgebaute Industrie entstanden: Cyberkriminelle bilden teilweise große Gruppen, sind top ausgebildet, arbeiten mit der neuesten Hard- und Software und teilweise sogar im Schichtdienst. Die Organisierte Kriminalität hat festgestellt, dass die Margen in Cyberkriminalität viel höher sind als etwa beim Menschen-, Drogen- oder Waffenhandel. Außerdem fällt die physische Komponente der Warenübergabe weg, sodass auch das Risiko verringert wird. Der einfachste Fall von Cyberkriminalität ist, dass eine Schadsoftware irgendwo eingeschleust wird, die die Festplatte verschlüsselt und ein Lösegeld für die Freigabe einfordert – sogenannte Ransomware. Dafür muss ich als Angreifer mein sicheres Land nicht verlassen. Man nutzt beispielsweise einen Sprungserver, ändert so seine IP und agiert aus einem Land heraus, wo die Strafverfolgungsbehörden nicht mit Deutschland zusammenarbeiten, es einen Zeitzonenunterschied gibt und Sprachbarrieren on top.
Meine Gegenseite ist also hochprofessionell. Sie entwickelt Schadsoftware im Auftrag, die aktuelle Schwachstellen in Systemen ausnutzt, stiehlt selbst Daten … und sobald eine von Kriminellen verkaufte Software von gängigen Antiviren-Scannern erkannt wird, kann man sich als Kunde melden und eine neue Version fordern – dann erhalte ich ein Update, wie bei einer typischen Gewährleistung.
Idealerweise: Augen auf vor dem Datenklau.
Sicherheitsbewusstes Verhalten im Internet
Wie schützt man sich als Unternehmen dagegen?
Es braucht eine gute Mischung aus organisatorischer und technischer Sicherheit. Dazu muss zum anderen ein ganzheitlicher, strategischer Ansatz kommen, der unter anderem auch die Weiterbildung der Mitarbeiter in den Fokus rückt. Man kann noch so viel Technik kaufen – wenn die Kolleg:innen auf alles klicken, was sich bewegt, bringt das nichts. Gerade in der jetzigen Zeit, in der Home Office so angesagt ist wie nie.
Endverbraucher benötigen also ein neues Cyberbewusstsein.
Absolut. Das beginnt bei einfachsten Dingen, wie dem privaten Handy und wie leichtfertig neue Apps installiert werden, die es weder bräuchte noch besonders auf Sicherheit und Datenschutz geprüft werden. Essenzielle Berechtigungen, die auf wichtige Daten des Endverbrauchers zugreifen, werden gegeben, ohne groß darüber nachzudenken. Ich würde mir wünschen, dass sich hier jeder mehr Gedanken dazu machen würde.
Aktuell wird eine Art Gütesiegel für Cyber Security entwickelt, ähnlich wie die Lebensmittelampel – kann man auch kritisch sehen. Aber es wäre ein Werkzeug für den Alltag, um jedes Produkt sehr schnell einschätzen zu können. Hintertüren wird es aber in prinzipiell jeder Software geben, bei einigen Unternehmen wurde dies sogar schon nachgewiesen. Meistens sehen diese Hintertüren aus wie Entwickler-Fehler, als könne man sie mit einem Update beheben. In Wirklichkeit hat man sie eingebaut, um ganz bewusst eine leicht ausnutzbare Sicherheitsschwachstelle zu kreieren und später deren Kenntnis abstreiten zu können. Entsprechend müssen User meines Erachtens einen Schritt Richtung Datensparsamkeit machen. Wer Daten an Orten speichert, die aus dem Netz zugänglich sind, muss davon ausgehen, dass sie abhandenkommen können. Ein Gedanke, der auch der IT-Sicherheit bei den meisten Unternehmen selbst zugrunde liegt: Diese setzen beispielsweise nicht nur auf gute Verschlüsselung, sondern operieren auch auf einer Need-to-know-Basis; also Leute, die Zugriff auf Daten nicht brauchen, kriegen ihn nicht, fertig. Verpflichtendes Verschlüsseln ist ein anderes Beispiel – ein System erzwingt, dass ich einen USB-Stick verschlüssele, bevor ich überhaupt etwas darauf speichern kann, um dem Datenverlust bei Verlieren des Mediums oder beim Diebstahl zu vermeiden. Berufseinsteiger sollten beispielsweise auch intensiv geschult werden, bevor sie beginnen, im Netz aktiv zu werden und auf Kunden treffen.
Typische Projekte in der Cyber Security-Abteilung
Wilhelm Dolle, Head of Cyber Security bei KPMG
Mit welchen sicherheitsbezogenen Aufträgen haben Sie mandantenseitig zu tun?
In unserer Arbeit gibt es sehr unterschiedliche Aufträge. Ein Klassiker wäre ein Penetrationstest, bei dem wir versuchen, uns in Systeme zu hacken, Daten zu stehlen und so Sicherheitslücken für den Kunden aufzudecken. Ein Praxisbeispiel ist die IT in der Produktion eines produzierenden Unternehmens. Ein anderer möglicher Auftrag wäre, dass ein Unternehmen bereits einen Sicherheitsvorfall hatte und ein Cyber Security-Programm-Management aufgesetzt werden soll, um mögliche Schwachstellen zu beheben. Das kann im Übrigen durchaus drei bis fünf Jahre dauern. Ein weiteres Beispiel ist die UNECE-Richtlinie und betrifft neu zuzulassende Autos ab Mitte 2022: Die Fahrzeuge müssen ein Cyber Security-Management-System eingebaut haben, denn zukünftig wird es mit 5G-Entwicklungen hin zu Smart Citys geben, bei denen viele Daten übertragen werden.
Die Sicherheit von Produktionsanlagen oder dem MRT- oder Röntgengerät im Krankenhaus ist ebenfalls ein brandaktuelles Thema. Sie alle laufen mit Betriebssystemen, die Sicherheitslücken haben – dieser Bereich benötigt dringend Verstärkung und die Regierung aktualisiert auch gerade mit dem IT-Sicherheitsgesetz und der entsprechenden KRITIS-Verordnung die gesetzliche Grundlage. Das wiederum führt dazu, dass bei unseren Kunden Veränderungen nötig werden.
Sie sind ja auch in der Lehre tätig. Inwiefern ist es wichtig, dass Wissenschaft und Forschung miteinander kooperieren?
Super wichtig, weil wir als Berater natürlich am Puls der Zeit sein müssen und zum Glück haben wir in Deutschland eine hohe Anzahl relevanter Forschungseinrichtungen. Kooperation kann aber auch anders aussehen: Einmal im Jahr melden wir ein Team bei einem digitalen Capture-The-Flag-Event an. Etwa fünfzig Hacker-Teams treten gegeneinander an und müssen sich gegenseitig Flaggen abjagen. Da nehmen wir seit einigen Jahren teil und kommen auch immer wieder mal unter die ersten drei. Es gibt nichts zu gewinnen außer Prestige.
Mehr zum Thema Cyber Security & IT-Sicherheit gibt es in deinem Karrierenetzwerk!
Biometrie versus Mehrstufenauthentifizierung
Aktuell gibt es eine Diskussion zu pro und contra von Biometrie als Sicherheitsstandard versus mehrstufige Authentifizierung: biometrische Zugänge zu PKW und Co. liegen immer mehr im Trend beim User. Aber sind sie auch sicher?
Jedes Biometrische System, das in der Praxis eingesetzt wird, kann auch umgangen werden. Wenn ein neuer Fingerabdrucksensor herauskommt, zeigt der Chaos Computer Club oft, wie man den umgehen kann. Kritischer ist eigentlich die Sicherheit der Datenbank, in der die mathematische Repräsentation der Rillen und Minuten auf der Hornhaut gespeichert sind, also kein Bild. Das zu besprechen würde an dieser Stelle aber zu ausführlich werden. Bei der Gesichtserkennung ist es ähnlich, hier geht es um Abstände zwischen Augen, die Maße der Nase, Mundwinkel und so weiter. Das heißt: Wenn ich die Datenbank stehlen könnte, könnte ich nicht einen Fingerabdruck oder das Bild eines Gesichts daraus entnehmen – zumindest nicht, wenn es richtig gemacht wurde. Biometrie ist bereits Teil der Mehrstufenauthentifizierung, die beispielsweise beim Onlinebanking mit Gesichtserkennung oder Fingerabdruck für die Freigabe der Überweisung schon Standard ist.
Mit Corona werden aktuell die Algorithmen so angepasst, sodass man sein Handy demnächst eventuell auch mit Maske entsperren kann. Es gibt noch andere biometrische Verfahren, die erstaunlich gut sind. Zum Beispiel kann man Leute anhand ihrer Stimme oder am Gangartzyklus identifizieren. Oder man kann Leute danach identifizieren, wie sie am Computer tippen, weil sie, je nachdem, wie sie schreiben gelernt haben, relativ gut wiedererkennbare Anschlagsdynamik auf Tastaturen haben. Selbst, wenn man sein Verhalten bewusst ändert, gibt es Software, die auffälliges Verhalten erkennt. Das klingt alles super spannend, aber man sollte es natürlich auch kritisch hinterfragen, denn die Frage ist ja, wohin sich diese Materie weiterentwickelt. Wer nutzt die Daten in 10 Jahren? Sie verschwinden ja nicht.
Vita: Wilhelm Dolle beschäftigte sich bereits in den Achtzigern mit Internettechnologien und verkaufte schon als 15-Jähriger seine erste Software. Er studierte zunächst Chemie, arbeitete dann in der Pharmazie, verlor die IT und deren Sicherheit aber nie aus den Augen und machte sie schließlich zu seinem Beruf: Aktuell ist er Head of Cyber Security bei KPMG und hält Vorlesungen an fünf Hochschulen.
