IT-Sicherheit Gesucht: Der gute Hacker

Illustration: Stefan Dimitrov

Mit der Digitalisierung steigt die Gefahr von Cyber-Attacken. Doch Experten für IT-Sicherheit sind schwer zu bekommen. Es gäbe eine Menge zu tun.

Von Helmut Martin-Jung und Hakan Tanriverdi

Sergey Lozhkin passt nicht so recht in diese Umgebung in Den Haag. Polizisten sichern die Gegend, Anzugträger zeigen ihre Pässe und laufen durch Metalldetektoren - sie hoffen, ins Gespräch zu kommen mit hochrangigen Diplomaten und Experten, die für die Sicherheit des Internets in ihrem Land zuständig sind. Und mitten drin sitzt Lozhkin, in Pulli und Jeans. Er ist einer der Experten, die während der Global Conference on Cyberspace auf die Bühne gebeten werden, um über ihre Arbeit zu reden.

Lozhkin arbeitet für den russischen Antivirenhersteller Kaspersky. Das Team, dem er angehört, veröffentlichte kürzlich einen Bericht über den bisher größten Cyber-Bankraub. Betroffen waren 100 Geldinstitute in 30 Ländern, der Schaden belief sich auf eine Milliarde US-Dollar. Ein guter Grund also, jemanden wie Lozhkin einzuladen.

Firmen wie Kaspersky, Symantec oder Fireeye und andere Unternehmen der Branche veröffentlichen regelmäßig umfangreiche Berichte, in denen detailliert ausgeführt wird, wie Geheimdienste arbeiten - oder eben, wie Cyberkriminelle vorgehen. Das dient natürlich der Eigenwerbung, keine Frage. Doch die Angriffe finden auch statt. Das haben die Snowden-Enthüllungen gezeigt und das zeigen Attacken wie die auf die Bankenwelt.

"Die Kriminellen hätten nie gedacht, dass es so einfach ist, Banken anzugreifen", sagt Lozhkin. Damit Cyberkriminelle angreifen können, müssen sie in aller Regel mehrere Schritte planen: Schadsoftware entwickeln und Tausende Varianten davon generieren, eine digitale Infrastruktur aufbauen, über die der Angriff stattfinden soll und anschließend E-Mails an Opfer verschicken. Die Hoffnung ist, dass diese den Link anklicken oder einen Mail-Anhang öffnen - und sich die Schadsoftware damit auf den eigenen Rechner holen. So geht das bei Unternehmen, Privatpersonen und auch bei Banken, so der Experte.

Nach der Attacke wird das dafür errichtete Netz wieder aufgelöst

"Der Unterschied ist: Es gibt viel mehr Geld", sagt Lozhkin. Die Angreifer würden all diese Schritte unternehmen und sich anschließend auf zwei bis drei Banken festlegen. So sei es möglich, Millionen Dollar binnen Tagesfrist abzugreifen - und das gesamte zuvor errichtete Netzwerk anschließend wieder aufzulösen. Dadurch minimiere sich gleichzeitig auch das Risiko, entdeckt zu werden. Man könne dieses Vorgehen sehr gut mit der analogen Welt vergleichen, sagt Lozhkin: "Was ist sinnvoller? Wahllos Menschen auf der Straße auszurauben oder einen Bankangriff zu koordinieren?" Nur dass Banküberfälle sich weniger lohnen und die Gefahr groß ist, geschnappt zu werden.

Wenn es darum geht, Geld von Banken oder Informationen aus Unternehmen zu stehlen, verwenden die Angreifer auch immer öfter Psycho-Tricks. Da werden Mitarbeiter am Telefon umgarnt, mehrere Male angerufen, um dann am Ende den einen, fatalen Klick zu viel zu machen. Social engineering nennen die Experten diese manipulativen Methoden. Aber warum fallen so viele Menschen darauf herein und halten so Kriminellen und Spionen die Tür auf?

Eine psychologische Untersuchung, die die Kölner Sicherheits-Agentur known sense zusammen mit dem Chemiekonzern Lanxess, der TH Wildau und der Fachzeitschrift kes vorgenommen hat, sieht vor allem die Unternehmen in der Pflicht. Sie müssten durch Schulungen, Vorbilder und ein motivierendes Umfeld die Voraussetzungen dafür schaffen, dass nicht nur die Technik, sondern der "human firewall" genannte menschliche Schutzwall weniger durchlässig wird.

Viele Mitarbeiter, das brachte die Kölner Studie ans Licht, wissen nicht, wo ihr wunder Punkt liegt. Treffen ihn die Angreifer, denkt der Attackierte gar nicht daran, dass alles nur zum Schein geschieht. Er fühlt sich vielmehr geehrt, dass endlich einmal jemand ihn persönlich wichtig nimmt. Dass man ihn nur dazu bringen will, Dinge zu tun, die er unter normalen Umständen niemals tun würde, das vergisst er dann. Genau darauf hat es der Angreifer abgesehen.

Einfache Lösungen für dieses Problem gibt es nicht. Dietmar Pokoyski, Geschäftsführer von known sense, rät, das Bewusstsein zu schärfen und dazu, Opfer von social engineering-Angriffen nicht als Täter zu brandmarken. Und Chefs, die ihre Mitarbeiter immer nur unter Druck setzten, aber nie lobten, müssten sich auch nicht wundern, wenn die anfälliger seien für soziale Manipulation.

Unter Druck stehen in vielen Unternehmen auch die Mitarbeiter, die für die Sicherheit verantwortlich sind. Aus einem einfachen Grund: Es gibt zu wenige davon. In der jährlich vorgelegten Studie zur Lage auf dem Arbeitsmarkt für IT-Sicherheitsexperten der Beratungsfirma Booz Allen Hamilton sagen 62 Prozent der befragten Unternehmen, dass sie zu wenig Personal im Bereich IT-Sicherheit hätten.

Schädliche Software versteckt sich im Firmennetz und infiziert Software-Updates

Dabei wachsen die Aufgaben ständig. Immer neue Bedrohungen werden bekannt, immer mehr Sicherheitssysteme sollen installiert und gewartet werden. So stiegen zwischen 2013 und 2015 die Ausgaben für Sicherheitssysteme um 13 Prozent. Und dazu kommen dann auch noch die social engineering-Attacken. 54 Prozent der Studienteilnehmer - 14 000 Firmen- oder Sicherheitschefs von Unternehmen aus aller Welt beantworteten die Fragen der Berater - fürchten sich vor allem vor dieser Art Angriff. Denn dagegen hilft sogar die beste Sicherheitstechnik nur begrenzt.

Und nicht wenige Firmen schlampen auch bei der langfristigen Vorsorge: Bei 44 Prozent aller erfolgreichen Angriffe seien Sicherheitslücken ausgenutzt worden, die bereits seit zwei bis vier Jahren bekannt waren, berichtet der Computerkonzern HP in seinem jüngsten Cyber Risk Report. Besonders oft waren dabei Serverrechner nicht richtig eingerichtet. Diese Computer sollten daher regelmäßig mit sogenannten Penetrationstests auf Schwachstellen überprüft werden. Dabei verhalten sich interne Mitarbeiter oder auch damit beauftragte externe Firmen wie Hacker und versuchen, ins Netz einzudringen.

Doch es wird zunehmend schwieriger, geeignetes Sicherheitspersonal zu finden. Fehlte es noch vor zwei Jahren vor allem an Geld für neue Mitarbeiter, ist das Problem nun zunehmend, überhaupt geeignete Bewerber zu bekommen. Das Geld wäre jetzt dank gestiegener Aufmerksamkeit für das Thema da. Nur die Experten, die solche Stellen ausfüllen könnten, sind Mangelware. Das drückt sich in den Gehältern aus. Der Durchschnittsverdienst in diesem Bereich liegt bei knapp 100 000 Dollar.

Langweilig wird ihnen in ihrem Job bestimmt nicht. Die Angreifer lassen sich ständig neue Methoden einfallen. So berichtet etwa die Sicherheitsfirma Symantec, dass Cyberkriminelle schädliche Software im Netzwerk verstecken und dort Software-Updates infizieren, die sich die Nutzer herunterladen - was eigentlich der Sicherheit dienen sollte. Vielen Firmen fehlt es nach wie vor an Technologien und Prozessen, um mit der Cyber-Bedrohung umzugehen, wie das US-Sicherheitsunternehmen RSA feststellt. Zwei Drittel der Unternehmen hätten zum Beispiel keinen Plan, wie sie schnell und effizient auf Sicherheitsvorfälle reagieren. Das müsste sich ändern - sonst bleiben Vorfälle wie der Diebstahl von mehr als einer Milliarde Dollar im Februar kein Einzelfall mehr.