4
4 RISIKO MANAGER 02|2019 Cyber-Risiken durch Unwissen und Leichtfertigkeit Identitätsdiebstahl und Schadsoftware Die globale Vernetzung von Menschen und Maschinen hat noch nie bekannte Ausmaße erreicht – und die Entwicklung geht rasant weiter. Die Anzahl der vernetzten Geräte im „Internet der Dinge (IoT)“ wird weltweit bis zum Jahr 2020 auf rund 20,4 Milliarden Geräte prognostiziert. Die mikroelektronische Revolution führt zu einem Wandel nahezu aller Lebensbereiche. Doch auch die Schattenseite dieser digitalen Welt ist unübersehbar. Mit der Zunahme des Informationsaustauschs wächst auch die Gefahr der Cyber-Kriminalität. Mit der Vernetzung steigen vor allem der Grad der Abhängigkeit und die Zahl der Angriffe: „Havex“, „Locky“ oder „WannaCry“ sind nur wenige Beispiele für die Risiken der Digitalisierung. Ein führendes Institut im Kampf gegen Cyber-Risiken ist das Hasso-Plattner-Instituts in Potsdam. Wir sprachen mit dem Direktor Prof. Dr. Christoph Meinel über Cyber-Risiken und Möglichkeiten, diese zu verhindern. Die Fragen stellten Frank Romeike und Prof. Dr. Matthias Scherer. RISIKO MANAGER: Viele Internetnutzer gehen äußerst vertrauensselig mit ihren Daten um und speichern persönliche Daten bis hin zur Kreditkarte in den Weiten des Internets oder in der Handy-App. E-Mails werden unverschlüsselt verschickt und Computer haben keinerlei Schutz. Warum fehlt vielen Nutzern Sensibilität für die dunklen Machenschaften in den Weiten des Internets? Christoph Meinel: Häufig siegt die Bequemlichkeit. Es ist viel einfacher, sich ein unsicheres Passwort wie 123456 zu merken, als eines, das mindestens 15 Zeichen hat, groß- und kleingeschriebene Buchstaben enthält sowie Ziffern und Sonderzeichen. Vielen Menschen ist zudem offenbar immer noch nicht bewusst, dass Identitätsdiebstahl jeden treffen und verheerende Auswirkungen haben kann. Ich würde mich freuen, wenn die Doxing-Affäre und die Veröffentlichungen riesiger Datenleaks in den letzten Wochen dazu beitrügen, das öffentliche Bewusstsein für diese Gefahren zu schärfen. RISIKO MANAGER: Täglich werden persönliche Identitätsdaten durch kriminelle Cyber-Angriffe erbeutet. Ein Großteil der gestohlenen Angaben wird anschließend in Internet-Datenbanken veröffentlicht und dient als Grundlage für weitere illegale Aktivitäten. Was bietet Ihr neues Tool? 1 Wo stammen die Daten her? Meinel: Am Hasso-Plattner-Institut bieten wir seit 2014 einen kostenlosen Online-Sicherheitscheck an, den sogenannten Identity Leak Checker. Mit ihm kann jeder durch die Eingabe seiner E-Mail-Adresse sehr einfach überprüfen lassen, ob persönliche Daten von ihm frei im Internet verfügbar sind und missbraucht werden könnten. Mittlerweile ermöglichen unsere Sicherheitsforscher einen Abgleich mit mehr als 8 Milliarden gestohlener und im Internet frei verfügbarer Identitätsdaten. Die eingepflegten Daten stammen aus Leaks, die im Internet frei verfügbar sind und in den sozialen Medien oder auf dedizierten Webseiten angekündigt und veröffentlicht werden. Dabei liegt unser Fokus auf Leaks bei denen deutsche Nutzer betroffen sind. Insgesamt hatte der Identity Leak Checker schon 12,5 Millionen Anfragen. RISIKO MANAGER: Das HPI bietet ergänzend kostenlose Sicherheitskurse auf der IT-Lernplattform openHPI an.
Marktrisiko 5 Wie intensiv wird das Angebot von Unternehmen oder auch Privatpersonen genutzt? Meinel: Auf der interaktiven Online-Lernplattform www.openHPI.de bieten wir seit 2012 kostenlos Kurse zu IT- und Innovationsthemen an. Die Kurse richten sich bewusst an ganz unterschiedliche Zielgruppen, da wir möglichst viele Lerner mit ihnen erreichen möchten. Mehrheitlich genutzt wird die Plattform von Berufstätigen, die bei den IT-Themen auf dem Laufenden bleiben oder sich weiterbilden möchten. Es gibt spezielle Kurse für Juristen, Unternehmer oder auch Jugendliche. Kürzlich fand ein Kurs zum Thema „Digitale Identitäten – wer bin ich im Netz“ statt, für den sich rund 4.000 Teilnehmer angemeldet hatten. Insgesamt konnten wir mehr als 550.000 Kurseinschreibungen verzeichnen. Außerdem bieten wir Firmen die Möglichkeit, ihre Mitarbeiter über eine eigene Plattform zu schulen. SAP und VW, aber auch die WHO verfügen beispielsweise über solch eine eigene Plattform. RISIKO MANAGER: Was bedeutet es für eine Privatperson bzw. den Mitarbeiter eines Unternehmens, wenn Passwörter online zu finden sind? Meinel: Es ist wichtig, dass der Betroffene in diesem Fall sofort sein Passwort bei dem jeweiligen Dienst ändert und gegebenenfalls auch bei anderen Diensten, wenn er dort das gleiche Passwort nutzen sollte – wovon abzuraten ist. Das alte Passwort bitte durch ein neues sicheres Passwort ersetzen. Wem das zu aufwendig ist und wer so viele Nutzerkonten besitzt, dass er sich seine Passworte nicht alle merken kann, der kann auch einen Passwort-Manager nutzen – das ist eine Software, bei der man sich nur ein Masterpasswort merken müssen. Die Passwörter für ihre Nutzerkonten vergibt und verwaltet dann das Programm. RISIKO MANAGER: Was sind die größten Sicherheits-Versäumnisse im E-Mail-Verhalten von Privatpersonen bzw. Mitarbeitern eines Unternehmens? Wie aufwendig ist der Umstieg zur verschlüsselten E-Mail? Meinel: Bei E-Mails unbekannter Herkunft sollte jeder generell vorsichtig sein und keine Anhänge öffnen. Auch Aufforderungen, den eigenen Account zu verifizieren, sollten immer misstrauisch machen. Im Hinblick auf gezieltes Phishing bitte immer die E-Mail-Adresse des Absenders genau überprüfen. Generell ist eine gewisse Datenhygiene zu empfehlen. Dazu gehört beispielsweise, nicht immer nur auf Reply zu drücken und damit lange E-Mail-Threads zu erzeugen – sondern einfach eine neue Mail zu öffnen und zu schreiben. Die Programme zur Mailverschlüsselung sind mittlerweile recht komfortabel, das am weitesten verbreitete „Pretty Good Privacy“ (PGP) gibt es in kostenlosen Versionen. Das größte Hindernis dabei ist, dass auch der Empfänger mit PGP arbeiten muss, um eine verschlüsselte Kommunikation möglich zu machen. Wer sich intensiver mit der Verschlüsselung von E-Mails beschäftigen möchte: auch zum Thema „Sicher per E-Mail kommunizieren“ bieten wir im Mai einen Online-Kurs auf openHPI.de an. RISIKO MANAGER: Welche präventiven Maßnahmen sollten IT-Verantwortliche in einem Unternehmen einleiten, um die Sensibilität für das Thema Informationssicherheit zu erhöhen? Prof. Dr. Christoph Meinel Quelle: HPI/K. Herschelmann. Prof. Dr. Christoph Meinel ist Direktor des Hasso-Plattner- Instituts in Potsdam. Davor (1992 – 2004) war er Professor für Informatik an der Universität Trier und Leiter des von der Fraunhofer-Gesellschaft betreuten Instituts für Telematik e. V. (1998 – 2002). Er ist Gastprofessor an verschiedenen internationalen Universitäten. Meinel: Es ist wichtig, dass Unternehmen ihre Mitarbeiter schulen und für das Thema Social Engineering sensibilisieren. Bei gezieltem Phishing versuchen Betrüger beispielsweise das Vertrauen von Mitarbeitern über gefälschte Anrufe, E-Mails oder Links zu gewinnen, um dann an vertrauliche Informationen
