Interview mit Immanuel Bär, Co-Founder (Mitgründer) der ProSec GmbH
Herr Bär, Sie sind von Berufs wegen Hacker und testen die IT-Sicherheit von Unternehmen. Warum ist Cybersicherheit so wichtig?
Cyberattacken sind sehr gefährlich und können ungeahnte Ausmaße annehmen. Wenn ein Unternehmen ganzheitlich gehackt wird – egal, ob es eine digitalisierte Schreinerei mit Webshop oder einen Konzern trifft – leiden darunter Privatpersonen. Denn bei einem schweren Cyberangriff droht der Arbeitsplatzverlust. Und damit schlimmstenfalls der Existenzverlust. Cybersicherheit schützt Arbeitsplätze. Hinzu kommt: Cybercrime ist die mit Abstand effektivste Art, Geld zu verdienen. Es gibt keinen Wirtschaftszweig, der so rasant skaliert und so umsatzstark ist. Die Attacken werden also weiter zunehmen. Das verlangt eine permanente Optimierung der IT-Sicherheit.
Mit Beginn des Ukraine-Krieges nahmen die Cyberattacken sprunghaft zu. Wie schätzen Sie das gegenwärtige Angriffsgeschehen bei Cyber ein?
Hackerangriffe sind 2022 tief in unserer Gesellschaft angekommen. Der Cyberangriff auf die Industrie- und Handelskammern (IHK) im vergangenen September war meiner Meinung nach die folgenschwerste Attacke auf die deutsche Wirtschaft in den letzten Jahren. Man hat mit der Attacke nicht nur die Kammern lahm gelegt. Auch das Ausbildungssystem innerhalb der IHK-Mitgliedsunternehmen sowie bürgernahe IHK-Dienstleistungen wurden vollständig ausgeknipst.
Was genau macht ein Ethical Hacker oder Penetrationtester?
Es gibt sehr viele Unternehmen, Konzerne und Behörden, die wissen wollen, wie gefährdet sie beim Thema Cyber sind. Diese Unternehmen fragen unsere Dienstleistung für ihre IT, Online-Shops, Apps, aber auch für die Sensibilisierung ihrer Mitarbeiter nach. Für unsere Auftraggeber leisten wir drei Dinge: Hacken und Schwachstellen aufdecken durch echte Penetrationtests. Beraten und unterstützen beim „Sichermachen“. Und Schulen zu technischen Themen und zu Awareness-Maßnahmen wie „Faktor Mensch“. Wir testen die IT-Sicherheit eingehend, indem wir Schwachstellen aufspüren und kontrolliert ausnutzen – wie der echte Angreifer. Aus ethischen Gründen agieren wir als weltweit und professionell tätiges Team ausschließlich per Auftrag – außer im Falle der Gefährdung der nationalen Sicherheit. Im Sommer 2022 haben wir die Kommunikationsplattform von knapp 70.000 pro-russischen Hacker-Aktivisten auffliegen lassen.
Welche Schwachstellen identifizieren diese simulierten Attacken?
Drei von vier Angriffen starten über den Menschen als Einfallstor mit schadhaften E-Mail-Anhängen. Einer der ersten prominenten Angriffe lief im Jahr 1999 über das sogenannte Melissa-Virus. Und mehr als 20 Jahre später funktioniert es noch immer – was soll man dazu sagen? Im Grunde sind die beiden Bereiche der Schwachstellen primär „Technik“ und „Mensch“. Backups sind auch eine Schwachstelle. Denn kaum ein Backup ist in der Lage, ein vollständig verschlüsseltes Unternehmen wiederherzustellen. Und natürlich der Klassiker: Standardpasswörter.
Und wie schätzen Sie die Cyberverletzlichkeit in der Wirtschaft ein?
Das größte Risiko für Unternehmen ist es, gehackt zu werden. Im Jahr 2023 sind Cyberangriffe mit fatalen Folgen aber vermeidbar. Denn es gibt gegen alle Cyberattacken ein Gegengift. Verdächtige Codes aus unbekannten E-Mail-Anhängen und URLs können zum Beispiel mittels der Sandboxing-Technologie – einer isolierten Umgebung, in der potenziell unsicherer Softwarecode ausgeführt werden kann – wirksam blockiert werden.
Auch Cyberversicherer würden beim Underwriting vom Einsatz eines Ethical-Hacking-Teams profitieren. Wird ProSec auch für die Versicherer aktiv?
Ja, klar. Ab einer gewissen Schutzbedarfsklasse greifen die Versicherer auf Spezialisten wie uns zurück. Teilweise geht das Engagement so weit, dass die Versicherer bei der Zeichnung der Police die Kosten für unsere Dienstleistung beim Kunden vollständig übernehmen. Wenn ein Unternehmen mit Spezialisten wie uns zusammenarbeitet, erhöht das nämlich die Versicherbarkeit bei Cyber erheblich. Diese Synergieeffekte wurden verstanden.
Cyberversicherer verlangen von ihren Kunden mittlerweile strengere Voraussetzungen für die Gewährung von Risikoschutz. Wie schätzen Sie dieses Vorgehen ein?
Ich weiß, dass die Versicherer je nach Unternehmensgröße mit unterschiedlich komplexen Fragebögen die IT-Sicherheit eines Unternehmens bewerten wollen. Die Wahrheit ist: Fragebögen sagen nichts über die tatsächliche IT-Sicherheit eines Unternehmens aus. Ein Beispiel: Ein befreundeter Klient – 45 Mio. Jahresumsatz – hätte von einem Versicherer nach erfolgreichem Rating Cyberrisikoschutz bekommen. Als wir dieses Unternehmen angegriffen haben, kamen wir trotzdem mühelos an die Patientendaten ran. Das ist die Realität.
Vor welcher Herausforderung steht denn die Versicherungsbranche Ihrer Meinung nach beim Thema Cyber?
Ich sehe konkret drei Aufgaben für die Versicherer: erstens die Optimierung der Analyse. Das heißt die Entwicklung eines wirklich geeigneten Verfahrens für die Risikobewertung. Zweitens: Sensibilisierung der Unternehmen für digitale Resilienz. Das heißt die Realisierung einer dauerhaften IT-Sicherheit im Betrieb. Und dafür muss IT-Sicherheit in jedem Betrieb Chefsache werden. Und drittens: ein forciertes Marketing von Cyberversicherungsprodukten.
Die Versicherer sind aber nicht nur Risikoträger, sondern auch Ziel von Hackern. Was macht die Versicherungsbranche attraktiv für Cyberangriffe?
Die Versicherer besitzen sehr vertrauliche personenbezogene Daten. Hacker haben größtes Interesse daran, an die Daten zu gelangen, sie zu verschlüsseln und Stück für Stück zu veröffentlichen. Der klassische Ransomware-Angriff eben. Und Versicherer haben aus Datenschutzgründen enormen Druck, der Erpressung nachzugeben und das Lösegeld zu bezahlen. Hacker greifen Versicherer aber auch an, um zu checken, wer dort eine Cyberpolice inklusive Lösegeldzahlung abgeschlossen hat. Die Gangs greifen dann gezielt diese versicherten Unternehmen an. Denn sie wissen, dass das Lösegeld relativ sicher beglichen werden wird. Der höchste Monetarisierungsgrad existiert für Cyberkriminelle einfach nach wie vor bei Ransomware-Angriffen.
Apropos Ransomware-Angriffe: Was bringt die Zahlung der Lösegeldforderung?
Grundsätzlich sollte man die Zahlung des Lösegeldes verweigern. Man unterstützt damit ja eine Schattenwirtschaft. De facto verhält es sich anders: Bei professionellen Angriffen ist die Wahrscheinlichkeit sehr hoch, dass man nach Zahlung des Lösegeldes die verschlüsselten Datensätze wieder entschlüsseln kann. Anderenfalls würden die Cyberkriminellen ja ihr eigenes Geschäftsmodell kaputtmachen.
Und wie sinnvoll ist es, durch forensische Verfahren Ransomware-Gangs nachzuspüren?
Es gibt für die Wirtschaft keinen Sinn, eine Ransomware-Gang aufzuspüren. Das ist der Job staatlicher Behörden. Denn am Ende wird dadurch kein Unternehmen sicherer. Versicherer sollten stattdessen mehr in die Prävention des jeweiligen IT-Systems beim Kunden investieren. Entscheidend ist nicht, wer angegriffen hat. Entscheidend ist, wie und wodurch das Unternehmen angegriffen worden ist.
Dieses Interview lesen Sie auch in AssCompact 01/2023, S. 46 f., und in unserem ePaper.
Bild: © Immanuel Bär, ProSec GmbH
