Vielen Dank für Ihre Registrierung. Sie haben jetzt den Aktivierungslink für Ihr Benutzerkonto per E-Mail erhalten.

Vielen Dank für Ihre Anmeldung.

Ihr Konto ist aktiviert. Wir wünschen Ihnen viel Lesevergnügen.

Vielen Dank für Ihre Bestellung. Wir wünschen Ihnen viel Lesevergnügen.

Interview

«IT-Sicherheit sollte Chefsache sein»

Gunnar Porada leitet die in Weggis ansässige Innosec GmbH. Spektakulär sind seine Live-Hacks wie etwa Angriffe auf Bankkonten. Solche führt er aber nur zu Demonstrationszwecken durch.
Stefan Borkert
Gunnar Porada.

Gunnar Porada.

Gunnar Porada, wann wurden Sie das letzte Mal gehackt?

Wir werden alle permanent gehackt. Die Frage ist also nicht, wann oder ob ich gehackt werde, sondern, ob ich es merke. Und das bemerke ich sehr oft.

Welche Barrieren, Firewalls haben Sie an Ihre Grenzen gebracht?

Die Ahnungslosigkeit vieler Entscheider, wenn sie gegen jeden Rat und Hinweis, selbst von den eigenen Mitarbeitern, wieder ein System durchpeitschen, von dem alle wissen, dass es einem bald um die Ohren fliegt.

Welchen Fehler würden Sie nie wieder machen?

Schwachstellen den Opfern melden und dann auch noch hoffen, dafür angemessen behandelt und entlöhnt zu werden.

Viele Personen glauben immer noch, dass alle Hacker böse sind.

Sind Ihre privaten Geräte sicher?

Ich trenne Arbeitsgeräte, bei denen ich paranoid bin und mich um die Sicherheit kümmere. Und dann nutze ich auch Geräte, bei denen es egal ist. Ich behandle die Technik aber entsprechend und vermeide Schäden grundsätzlich schon im Vorfeld durch Datensparsamkeit.

Sie treten als Ex-Hacker auf. Wie wird man ein solcher?

Der Begriff Hacker ist nicht definiert. Viele Personen glauben immer noch, dass alle Hacker böse sind. Ich versuche mit dem Ex zu entschärfen. Gleichzeitig möchte ich aber zeigen, dass wir die Technik tatsächlich kennen und die Angreifer natürlich auch.

Sie arbeiten mit sogenannten Live-Hacks bei Ihren Vorträgen. Dabei kommt es schon mal zu Überweisungen in Millionenhöhe, allerdings nicht bei der echten Deutschen Bank. Verliert Ihre Argumentation dadurch nicht an Durchschlagskraft?

Es gibt Menschen, die es erst dann glauben, wenn es ihnen im realen Leben passiert. Ich versuche die Leute abzuholen. Beim Thema Onlinebanking hören zumindest alle zu, und ein paar Teilnehmern öffnet es auch die Augen. Im Rahmen der Legalität versuche ich den Hack möglichst realitätsnah zu zeigen. Zudem möchte ich das Thema verständlich und anschaulich vermitteln.

Könnten Sie in das System einer realen Bank eindringen?

Wir haben Kunden im Bankenumfeld mit dem Auftrag, sie zu hacken.

Wo sind Sicherheitslücken heute grösser, bei Gross- oder bei Kleinbanken?

Grosse Konzerne und auch Banken tendieren oft dazu, mit der Masse zu gehen, was im Sicherheitsumfeld nicht immer ratsam ist. Gleichzeitig haben sie eine grössere Angriffsfläche. Nehmen Sie Google als Beispiel. Ich habe Mitarbeiter, die sich eine goldene Nase verdient haben, weil Google für das Auffinden von Schwachstellen bezahlt, genannt Bug-Bounty. Das machen viele andere Unternehmen auch.

Welche Fehler machen Firmen beim Systemschutz?

IT-Sicherheit sollte Chefsache sein. Diese aber zieren sich oft und sind überfordert. Dabei vergessen viele, dass, wenn der Schadensfall eintritt, dieser am heftigsten genau in der Chefetage aufschlägt. Ich denke, die Zukunft wird eine Art natürliche Selektion durchführen. Es werden Unternehmen überleben, die das Thema besser verstehen.

Ist die zunehmende Digitalisierung, autonomes Fahren und die Robotik nicht ein Einfallstor für böswillige Manipulationen?

Natürlich. Alle sind angreifbar. Die Möglichkeiten nehmen auf beiden Seiten zu.

Gibt es eine Zahl, wie hoch der Nachholbedarf in puncto digitaler Sicherheit bei Schweizer KMU ist?

Die Definition KMU gibt es bei mir nicht. Zum einen finde ich es vermessen, einem Unternehmer zu sagen, dass seine Firma klein ist, obwohl sie für den Gründer oder Chef sicher das Grösste ist. Dazu zähle ich auch meine Firma. Zum anderen haben wir Kunden, die nur eine Handvoll Computer haben, aber mit Milliarden-Beträgen arbeiten oder solche gar besitzen. Allgemein ist das Sicherheitsbewusstsein in der Schweiz aber leider oft mit Hochmut, Trägheit und Unwissenheit gepaart. Das halte ich für gefährlich. Oft habe ich den Eindruck, dass in ganz Europa inklusive der Schweiz die halbe Welt an diesem Thema vorbeirennt. Gleichzeitig klopfen wir uns gegenseitig auf die Schulter und verdrängen die Wahrheit. Denken wir nur daran, dass in den USA die NSA über ein Jahresbudget von mehr als zehn Milliarden US-Dollar verfügt. Andere Länder wie China, Russland und Israel haben die Bedeutung schon vor Jahrzehnten erkannt. Aber auch Länder, von denen wir bislang weniger in diesem Bereich erwarten, holen auf. Wir ­geraten zunehmend ins Hinterfeld, und das ohne ersichtlichen Grund. Schliesslich haben wir auch gute Leute.

Wir sind auch als Privatperson betroffen. Vertraut man beispielsweise dem Vorhängeschloss im Browser zu Recht?

Wenn sie hinter dem Schloss das verwendete PKI und das Prinzip von SSL verstehen, durchaus. Dann wüssten Sie aber auch, dass Google den Zertifikaten von Veri­sign von Symantec das Vertrauen entzogen hat. Diese sind noch Marktführer und werden auch in der Schweiz sehr oft eingesetzt.

Was kann, muss ich also tun?

Es ist wie bei der Medizin. Wenn Sie es selber nicht können, gehen Sie zum Arzt. Aber bitte hören Sie auf, zum Nachbarn zu rennen, im Glauben, dass er sich auskennt mit Innerer Medizin, weil er mal ein Kalb auf die Welt gebracht hat. Zu oft wird eher auf Beziehungen geachtet als auf tatsächliches Know-how. Das bringt speziell beim Thema IT-Sicherheit deutliche Nachteile mit sich.

Die in Weggis ansässige Innosec GmbH ist vor acht Jahren gegründet worden. Ziel der Firma ist es, innovative und effektive IT-Security-Beratung und Penetrationstests durchzuführen. Der deutsche Gründer und Geschäftsführer Gunnar Porada ist seit mehr als 25 Jahren in der IT-Security-Branche aktiv. Bekannt wurde er vor allem durch seine spektakulären Vorträge zum Thema «Live-Hacking».

Merkliste

Hier speichern Sie interessante Artikel, um sie später zu lesen.

  • Legen Sie Ihr persönliches Archiv an.
  • Finden Sie gespeicherte Artikel schnell und einfach.
  • Lesen Sie Ihre Artikel auf allen Geräten.