23.07.2019 - 08:00 Uhr
Weiden in der OberpfalzOberpfalz

Zwei Welten verstehen

Um Sicherheitslücken in IT-Systemen von Firmen aufzudecken, macht der wissenschaftliche Mitarbeiter Tilo Fischer im Auftrag von Unternehmen "Penetrationstests". Was das bedeutet, erklärt er im Interview mit Oberpfalz-Medien.

Das Internet ist kein neues Phänomen, sagt Tilo Fischer, wissenschaftlicher Mitarbeiter beim "Fraunhofer AISEC" in dem Projekt "Lernlabor Cybersicherheit". Dennoch fehle es an Bewusstsein, wie man sich sicher in der digitalen Welt bewegen kann. Das birgt große Gefahren.
von Wolfgang Fuchs Kontakt Profil

Tilo Fischer (27) hat an der OTH in Weiden den Master of Applied Research in Engineering Sciences, Schwerpunkt IT-Sicherheit, erworben und arbeitet jetzt beim "Fraunhofer AISEC" in dem Projekt "Lernlabor Cybersicherheit" für Professor Dr. Daniel Loebenberger. Zu seinen Aufgaben gehört das "Penetrationstesten". Um illegalen Hackern einen Schritt voraus sein zu können, muss er ihnen überlegen sein.

ONETZ: Was machen Sie am Fraunhofer-Institut?

Tilo Fischer: Neben der Forschungstätigkeit im Bereich "Sichere Infrastruktur" gehört zu meinen Aufgaben, dass Unternehmen uns beauftragen, in Absprache und unter vorab vereinbarten Rahmenbedingungen einen Penetrationstest zu machen, also ihr IT-System zu hacken. Damit wollen sie sicherheitsrelevante Schwachstellen aufdecken.

ONETZ: Was reizt Sie daran?

Tilo Fischer: Ich muss ein System besser verstehen als der Entwickler selbst, um Schwachstellen aufzudecken. Das ist eine spannende Aufgabe.

ONETZ: Was unterscheidet Sie von kriminellen Hackern?

Tilo Fischer: Was ich tue ist legal.

ONETZ: Und darüber hinaus?

Tilo Fischer: Ein Hacker braucht nur eine einzige Lücke im System zu finden, die er dann für seine Zwecke nutzt. Ich muss gründlicher vorgehen, weil ich möglichst alle potenziellen Schwachstellen finden soll und dabei alles dokumentiere, was ich mache. Damit kann ich aufzeigen, wie ich zu meinen Ergebnissen gekommen bin, und das Unternehmen kann daraus Konsequenzen ziehen.

ONETZ: Woher wissen Sie, wann Sie alle Sicherheitslücken gefunden haben?

Tilo Fischer: Das weiß man nie genau. Es ist nicht möglich zu beweisen, dass man alle Schwachstellen gefunden hat. Aufgrund meiner Erfahrung kenne ich jedoch typische Sicherheitslücken und weiß, welche Sicherheitsmaßnahmen besonders schwierig umsetzbar sind.

ONETZ: Was sind denn typische Sicherheitslücken?

Tilo Fischer: Typische Angriffsziele sind alle Dienste, die das Unternehmen im Internet bereitstellt, wie Web- oder Mail-Server. Die häufigste technische Schwachstelle sind die Passwörter. Viele behalten etwa die Standardpasswörter bei, die vorgegeben sind, oder wählen schwache Passwörter. Ein weiterer wichtiger Punkt ist eine ungenügende Absicherung in der Netzwerk-Infrastruktur. Geräte wie Router, Switche oder interne Datenbankserver sind oft über das Internet erreichbar, obwohl sie das nicht sein sollten. Das hat meistens praktische Gründe, weil dadurch Arbeit auch von außerhalb der Firma erledigt werden kann. Gerade kleine und mittelständische Unternehmen verhalten sich oft sehr leichtsinnig. Das ist ein großes Problem.

ONETZ: Warum sind viele Unternehmer so leichtsinnig?

Tilo Fischer: IT-Sicherheit ist mit Kostenaufwand verbunden. Und oft herrscht einfach eine große Unwissenheit. Viele kennen die möglichen Gefahren nicht.

ONETZ: Welchen Gefahren sind Unternehmen durch Hacker ausgesetzt?

Tilo Fischer: Die schlimmste Situation wäre wohl der komplette digitale Datenverlust. Oder eine Internetseite wird missbraucht, um falsche oder illegale Daten zu verbreiten. Das nennt man Identitätsdiebstahl. Das fällt dann auf das Unternehmen zurück und kann einen immensen Schaden verursachen, in rechtlicher und finanzieller Hinsicht. Oder Kunden verlieren ihr Vertrauen in das Unternehmen. Bei Wirtschaftsspionage können Unternehmen ihre Wettbewerbsvorteile verlieren. Auch physischer oder personeller Schaden ist denkbar. Stellen Sie sich einmal vor, was alles passieren kann, wenn jemand per Knopfdruck von außerhalb eine Fräse ein- und ausschalten kann, ohne dass die Arbeiter damit rechnen. Das kann übel enden.

ONETZ: Warum hacken Hacker?

Tilo Fischer: Hauptsächlich des Geldes wegen. Zum Beispiel über Erpresser-Trojaner oder Phishing-Mails.

ONETZ: Wie bekommen Hacker Trojaner auf fremde Computer und was tun die dort?

Tilo Fischer: Oftmals über Anhänge in E-Mails. Oder über Download von unseriösen Seiten. Die Erpresser-Trojaner verschlüsseln dann die Daten auf dem Computer, so dass digitale Informationen nicht mehr für die Personen erreichbar sind, die an dem Rechner arbeiten. Der Schlüssel für die Entschlüsselung dieser Daten wird dem Opfer nur gegeben, wenn es Lösegeld für die Daten an den Hacker bezahlt.

ONETZ: Was empfehlen Sie Unternehmen? Sollten die lieber analog bleiben?

Tilo Fischer: Zumindest sollten sich die Verantwortlichen überlegen, ob ihnen die Digitalisierung Vorteile bringt. Wenn sich ein Unternehmen ein digitales Geschäftsfeld erarbeiten möchte, etwa Online-Handel, dann sollte es das Thema Sicherheit auf jeden Fall in seine Digitalisierungsstrategie aufnehmen. Dabei kann es sinnvoll sein, einen dauerhaften IT-Experten an Bord zu haben. Außerdem besteht die Möglichkeit, eine Drittfirma zu beauftragen, die den Internetauftritt übernimmt. Wenn ein kleines Unternehmen eine Webseite einrichtet, etwa ein kleiner Schreinerbetrieb, braucht es vielleicht nicht unbedingt einen dauerhaften IT-Experten. Für den Anfang kann dennoch eine einmalige professionelle Beratung sinnvoll sein. Das liegt dann auch eher im Budget eines solchen Unternehmens. Wichtig ist, dass alle Firmen gegen die geläufigen Schwachstellen gesichert sind.

ONETZ: Können Sie mit kriminellen Hackern Schritt halten? Oder sind die immer einen Schritt voraus?

Tilo Fischer: Gegen sogenannte „Skriptkiddies“ kann man mit methodischem Vorgehen gut ankommen, da sie wenig eigenes Know-how mitbringen und sich auf automatisierte Hacking-Programme verlassen. Darauf sind wir vorbereitet. Wenn es zum Beispiel um staatliche organisierte Industriespionage geht, kann es schwierig sein mitzuhalten. Die NSA zum Beispiel, der größte Auslandsgeheimdienst der Vereinigten Staaten, hat 30 000 bis 40 000 Mitarbeiter. Gegen diese Übermacht ist es schwer anzukommen. Das ist aber die Ausnahme. Darüber hinaus kann man sich auch vor professionellen Hackern gut schützen.

ONETZ: Welche Aufgaben stellen Sie in diesem Bereich vor eine besondere Herausforderung?

Tilo Fischer: Unternehmen mit besonders gut gepflegter IT-Infrastruktur, bei denen es jemanden gibt, der für die IT-Sicherheit zuständig ist. In solchen Fällen ist die Hürde für einen guten „Penetrationstest“ höher.

ONETZ: Welche Unternehmen sind besonders häufig Angriffen von Hackern ausgesetzt?

Tilo Fischer: Firmen mit kritischer Infrastruktur, also solche, die für das Funktionieren der Bundesrepublik wichtig sind, zum Beispiel Wasser- oder Energiekraftwerke. Wie die großangelegte Angriffswelle auf deutsche Energieversorger 2018 zeigt. Dabei warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der ungewöhnlich hohen Anzahl an Angriffen auf die Energiewirtschaft.

ONETZ: Sehen Sie die Digitalisierung eher als Gefahr oder als Nutzen?

Tilo Fischer: Das kann ich nicht gegeneinander abwägen. Die Digitalisierung bringt viele Vorteile und neue Möglichkeiten mit sich und man sollte sie nicht verteufeln. Es fehlt allerdings oft an Verantwortungsbewusstsein in der digitalen Welt.

ONETZ: Woran liegt das?

Tilo Fischer: Vielleicht wäre das eher eine Frage für Soziologen oder Psychologen. Das Internet ist kein neues Phänomen, daran kann es also nicht liegen. IT-Sicherheit lässt sich erlernen. Es fehlt ganz allgemein an Bewusstsein für IT-Sicherheit. Und es fehlt an Aufklärung. Ich hatte an der Schule zum Beispiel niemals verpflichtenden Informatik-Unterricht, obwohl damals bereits alle im Internet unterwegs waren und eine dem entsprechende Aufklärung sinnvoll gewesen wäre. Das wäre wohl auch eine Aufgabe der Politik, aber es gibt kaum öffentlichkeitswirksame Kampagnen, so wie es sie zu Themen wie Verhütung oder Aids gibt. Das Thema müsste in der Öffentlichkeit präsenter sein, damit jedem das Risiko bewusst wird. Dann wäre schon vieles geschafft.

Das Fraunhofer Lernlabor Cybersicherheit in Weiden:

Cyber-Sicherheit in der Forschung

Internet und Digitalisierung bringen Unternehmen viele Vorteile: Interne Prozesse lassen sich vereinfachen und automatisieren, Kundenwünsche zeitnah berücksichtigen und der Kundenkreis erweitern. Gleichzeitig steigen die Angriffsmöglichkeiten für Hacker, erklärt Professor Dr. Daniel Loebenberger vom "Fraunhofer Lernlabor Cybersicherheit" am Standort Weiden. Das Lernlabor ist eine Kooperation zwischen der OTH Amberg-Weiden und dem "Fraunhofer-Institut für Angewandte und Integrierte Sicherheit" (AISEC). Professor Loebenberger ist IT-Sicherheitsexperte und unterstützt die Fakultät Elektrotechnik, Medien und Informatik (EMI). Er wurde für das Lehrgebiet Cybersicherheit berufen und hat zudem die Standortleitung des Fraunhofer AISEC am Standort Weiden übernommen. "Das Lernlabor soll Anlaufstelle für mittelständische Unternehmen werden, an die Weiterbildungsfragen und Forschungsaufträge herangetragen werden können. Wir wollen das Sicherheitsbewusstsein der Mitarbeiter schulen. Denn wenn ein Mitarbeiter IT-Sicherheitslücken identifizieren kann und weiß, wie man auf Bedrohungen reagiert, dann ist ein Unternehmen den Hackern einen Schritt voraus", erklärt er.

Für Sie empfohlen

 

 

 

Kommentare

Um Kommentare verfassen zu können, müssen Sie sich anmelden.

Bitte beachten Sie unsere Nutzungsregeln.