TK: Experten sagen, hacken kann heute jeder 14-Jährige. Stimmt das?

Anselm Rohrer: Ja, allerdings kann hier nicht von zielgerichteten Angriffen auf einzelne Unternehmen oder Behörden gesprochen werden. Vielmehr geht es darum, sich selbst zu beweisen 'ich kann das auch‘. Wer dabei das Opfer ist, spielt keine Rolle. Genutzt werden Werkzeuge aus dem Internet, die vieles automatisieren. Dies reduziert das für den Einstieg nötige Wissen. Dass zum Teil bereits der Besitz derartiger Werkzeuge illegal ist, erhöht nur den Nervenkitzel.

TK: Wo gibt es Ihrer Meinung nach die größten Sicherheitslücken hinsichtlich Cyberkriminalität?

Anselm Rohrer: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt im aktuellen Lagebericht der IT-Sicherheit in Deutschland die "Sicherheitslücke Mensch" als den Faktor, der mit dem geringsten Mitteleinsatz den größten Erfolg verspricht. Hierzu zählen verschiedene Zielgruppen: Anwendern sind häufig die Methoden der Angreifer nicht bewusst. Daher können sie Angriffe auch nur schwer als solche erkennen. Führungskräfte haben erweiterte Kompetenzen, was sie zu einem besonders lohnenswerten Ziel macht. IT-Administratoren vernachlässigen nicht selten Sicherheitsupdates bei Technik, welche man nicht täglich im Blick hat. Gerade Komponenten wie Telefonanlagen, die einmal installiert jahrelang ihren Dienst tun, sind hier gefährdet.

Das Bild ist noch nicht vollständig geladen. Falls Sie dieses Bild drucken möchten, brechen Sie den Prozess ab und warten Sie, bis das Bild komplett geladen ist. Starten Sie dann den Druckprozess erneut.

Anselm Rohrer

TK: Wie wird denn eine Telefonanlage zur Gefahr, außer dass sie abgehört werden kann?

Anselm Rohrer: Eine Telefonanlage ist nichts anderes als ein Computer mit Betriebssystem, Anwendungslogik und einem Webserver für die Konfigurationsoberfläche. Sie ist in der Regel auch in der Lage E-Mails zu versenden. Ist eine Telefonanlage infiziert, besteht somit nicht nur die Gefahr des Abhörens von Gesprächen. Vielmehr kann die Anlage zum Angriff auf weitere IT im internen Netzwerk genutzt werden. Da sind Langzeitanrufe auf kostenpflichtigen Nummern häufig noch das kleinere Übel.

TK: Was würde die Sicherheit erhöhen?

Anselm Rohrer: Es wird viel zu oft rein auf technische Maßnahmen gesetzt. Diese schränken die Anwender ein. Wird der Sinn einer Maßnahme nicht begründet und keine alternative Lösung zur Erledigung der Arbeit bereit gestellt, versuchen sich die Anwender mit Lösungen zu helfen, welche sie aus dem Privatbereich kennen. Ein hoher Anteil sensibler dienstlicher Informationen liegt beispielsweise auf privaten Cloud-Speichern, um sie mit Projektpartnern auszutauschen. Dort liegen sie dann völlig außerhalb der erforderlichen Schutzmaßnahmen.

TK: Was sind die typischen Einfallstore für Schadsoftware, also Viren und Trojaner?

Anselm Rohrer: Seit Jahren führt die Verbreitung per E-Mail die Statistiken an. Aber auch der Dateiaustausch per USB-Stick oder aktuell vermehrt über private Cloud-Speicher ist nicht zu unterschätzen. Kostenlose Programme aus dem Internet werden gerne durch Angreifer infiziert und dann wieder zur Verfügung gestellt. Dazu kommt das Surfen auf infizierten Webseiten mit Software, bei der nicht alle Sicherheitsupdates eingespielt wurden.

TK: Wie kann man denn als Laie eine sichere Website von einer nicht sicheren bzw. infizierten unterscheiden?

Anselm Rohrer: Gar nicht. Die Zeiten in denen man sich Schadsoftware nur durch zwielichtige Seiten eingefangen hat, sind längst vorbei. In den letzten Jahren haben Angreifer Schadsoftware auf großen Nachrichtenportalen oder Behördenseiten platziert. Das erkennen viele Profis kaum. Zu den gefährlichsten Seiten gehören Seiten mit pornografischem Inhalt, illegale Downloadseiten für Videos, Musik und Software sowie Seiten für Computerspiele. Die Gefahr reduziert sich, wenn man derartige Seiten meidet und beim Herunterladen von Programmen aus dem Internet darauf achtet, von welchen Seiten der Download erfolgt. Frei verfügbare Software zu infizieren und wieder ins Internet zu stellen ist eine häufige Masche von Angreifern. Zum Herunterladen von Software und Dokumenten bieten sich Seiten großer Verlage an.

TK: Wie schütze ich mich vor Datenspionage oder Passwortdiebstahl?

Anselm Rohrer: Die Nutzung von Links in E-Mails wenn möglich vermeiden. Vor allem, wenn man sich irgendwo anmelden muss. Dann lieber händisch über den Browser den bekannten Zugang des Anbieters aufrufen und sich dort anmelden. Programme und Dokumente, welche per E-Mail unaufgefordert zugeschickt werden, immer hinterfragen. Den Anschluss fremder USB-Sticks, aber auch Digitalkameras und Smartphones an den eigenen Rechner möglichst vermeiden. Rechner und Smartphone sperren, sobald sie nicht verwendet werden. Nicht überall das gleiche Passwort verwenden.

Einfache Systeme von Hobbyadministratoren sind oft ungeschützt. Dort können Angreifer recht einfach Kombinationen aus E-Mailadresse und Passwort erbeuten. Wenigstens für vertrauliche und weniger vertrauliche Systeme unterschiedliche Passwörter nutzen. Und: Besser ein Passwort nur einmal im Jahr wechseln, dafür aber ein langes und komplexes Passwort wählen.

Die Verwendung sogenannter Passwortsafes bietet die Möglichkeit, überall verschiedene Passwörter zu verwenden. Dabei ist jedoch zu beachten, dass der Hersteller dieser Software vertrauenswürdig sein sollte und man eine Sicherung der Passwortdatei macht. Sonst sind bei Verlust dieser Datei alle Passwörter weg.

TK: Smartphone, Computer, Digitalkamera und jetzt auch noch der WLAN-fähige Kühlschrank. Werden technische Geräte mittlerweile zur Gefahr für uns?

Anselm Rohrer: Ist es gefährlich, wenn Staubsaugerroboter den Grundriss meiner Wohnung schlecht geschützt im Internet speichern und mein WLAN Passwort gleich mit? Wenn Hersteller in smarten Steckdosen Mikrofone verbauen, ohne dass der Käufer dies weiß? Diese sogenannten smarten Geräte bergen viele Gefahren. Beim Kauf steht für den Kunden die Funktionalität im Vordergrund. Nach der Sicherheit wird meist gar nicht erst gefragt. Daher spielt dies auch bei vielen Herstellern eine untergeordnete Rolle.

TK: Von welchen Gefahren sprechen Sie?

Anselm Rohrer: Die neuen digitalen Assistenten Amazon Alexa, Google Assistant, Apple Siri und Microsoft Cortana hören stetig die Kommunikation mit, um Befehle erkennen zu können. Meinen sie einen Befehl identifiziert zu haben, wird das Gespräch über das Internet zum Hersteller geladen, um es zu interpretieren.

Das Marktwächter-Team der Verbraucherzentrale NRW hat einen Testbericht veröffentlicht, der zeigt, dass es ausreicht, wenn in einem Gespräch einfache, alltägliche Worte fallen wie "OK Kuchen", "OK gut", "Alexandra", "Ham wa schon" oder "Gecko", um den Vorgang auszulösen. Die Hersteller könnten Gespräche nicht nur für zielgerichtete Werbung nutzen. Wenn Angreifer das Kommunikationsverhalten analysieren, kann abgeleitet werden, ob ein Haushalt über längere Zeit nicht zuhause ist, um die Gefahr zu minimieren, bei einem Einbruch überrascht zu werden. Hierfür wird noch nicht einmal der Gesprächsinhalt benötigt.

TK: Was raten Sie den Verbrauchern? Was sollten Hersteller ändern?

Anselm Rohrer: Ich rate jedem Kunden beim Kauf derartiger Geräte dem Verkäufer folgende Fragen zu stellen: Wie schützt der Hersteller das Gerät gegen Angriffe? Wie spielt der Hersteller Sicherheitsupdates ein? Muss ich hierbei selbst aktiv werden? Wie lange verpflichtet sich der Hersteller Updates zur Verfügung zu stellen?

Der Hersteller sollte über die komplette typische Nutzungsdauer Updates zur Verfügung stellen. Stellen Sie sich vor, über eine bekannte Sicherheitslücke wäre jeder mit einer Anleitung aus dem Internet in der Lage, per WLAN die Waschmaschine so zu überlasten, dass große Mengen Wasser auslaufen. Dem Hersteller ist dies bekannt. Er stellt aber nach zwei Jahren keine Updates mehr zur Verfügung und rät, die alte Waschmaschine gegen ein neueres Modell zu ersetzen. Diese Vorgehensweise finden wir seit Jahren bereits bei den Smartphones, was für die Nutzer bedeutet, dass technische Geräte in immer kürzeren Zyklen ausgetauscht werden müssen, um Schäden zu vermeiden. Dabei ist es meist irrelevant, ob die schadhaften Funktionen genutzt werden. Allein ihr Vorhandensein gefährdet das Gerät und somit den Nutzer.

TK: An immer mehr öffentlichen Stellen wie Rathäusern, Bahnhöfen, Restaurants oder Hotels gibt es kostenfreie WLAN-Zugänge. Worauf sollten die Nutzer hier besonders achten?

Anselm Rohrer: Rein technisch gibt es für WLAN-Anbieter Möglichkeiten die Kommunikation mit zu lesen. Unternehmen richten die Notebooks ihrer Mitarbeiter daher häufig so ein, dass eine verschlüsselte Verbindung ins Firmennetzwerk und von dort aus eine Internetverbindung hergestellt wird. Solche Lösungen gibt es auch für den Privatgebrauch. Sie sind jedoch in der Regel langsam oder teuer.

Grundsätzlich lässt sich sagen: Keine sensiblen Daten über ein öffentliches WLAN senden, wenn ich nicht darauf vertrauen kann, dass das Programm die Daten gut verschlüsselt. Das ist bei einer App auf dem Smartphone häufig nicht der Fall. Im Zweifel kann für das Onlinebanking auf dem Smartphone das WLAN kurz deaktiviert und die Mobilfunkverbindung genutzt werden.

TK: Wie können Arztpraxen oder Kliniken ihre Patientendaten schützen?

Anselm Rohrer: Viele Kliniken sowie einige Apotheken und Labore fallen unter die Verordnung zur Bestimmung kritischer Infrastrukturen (§ 8a BSI-Gesetz) und müssen somit ein funktionierendes System zur Identifikation und Aufrechterhaltung ihrer Informationssicherheit nachweisen. Arztpraxen zählen in der Regel nicht dazu.

Auf die Arztpraxen kam jedoch durch die Neuregelung des Datenschutzes einiges zu. Es müssen technische und organisatorische Maßnahmen umgesetzt werden, deren Aufzählung dieses Interview sprengen würde. Außerdem müssen Mitarbeiter sensibilisiert werden. Die Strafen, welche seit dem 25. Mai 2018 für einen Verstoß drohen, können für manche Praxis existenzbedrohend sein. So können von den Aufsichtsbehörden nach der Datenschutz-Grundverordnung (Art. 83 Abs. 5) Bußgelder von bis zu 20 Millionen Euro oder aber bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängt werden.

In vielen Arztpraxen und Kliniken ist das tägliche Arbeitspensum des Personals relativ hoch. Bei der Umsetzung von Maßnahmen ist daher darauf zu achten, dass die Erledigung der täglichen Arbeit nicht zu sehr eingeschränkt wird und folglich die Arbeitsbelastung des Personals unnötig steigt.

TK: Reichen bei sensiblen Gesundheitsdaten die normalen Sicherheitsvorkehrungen bald nicht mehr aus?

Anselm Rohrer: Was sind normale Sicherheitsvorkehrungen? Diese Frage wird ein Handwerker wahrscheinlich anders beantworten, als ein Mitarbeiter eines Atomkraftwerkes. Grundsätzlich müssen Maßnahmen angemessen sein. Eine hundertprozentige Sicherheit ist illusorisch. Da Gesundheitsdaten, welche in falsche Hände geraten oder gar gezielt manipuliert werden, massive Schäden anrichten können, sind besonders hohe Sicherheitsvorkehrungen zu treffen.

Technische und organisatorische Maßnahmen müssen stetig an sich verändernde Gefährdungen angepasst werden. Aber vor allem ist das Bewusstsein für den Umgang mit sensiblen Gesundheitsdaten bei allen Beteiligten zu schärfen. Das betrifft nicht nur die elektronische Verarbeitung, sondern auch die Papierakte auf dem Tisch, das Rezept sowie Gespräche auf dem Flur.

TK: Wie reagieren die Zuschauer auf Ihre Live-Hacking-Show?

Anselm Rohrer: Die zwei Akteure auf der Bühne, welche die Rollen von Anwender und Hacker übernehmen, visualisieren nachvollziehbar, was so alles passieren kann. Viele Zuschauer kommen nach der Veranstaltung zu uns und erklären, dass sie sich durch den Anwender auf der Bühne ertappt gefühlt haben und nun nachvollziehen können, wie ein Angreifer agiert und was ihn antreibt. Diese Erkenntnis ist die Grundlage für sensibles Verhalten. Zu allen vorgeführten Szenarien werden Schutzmaßnahmen aufgezeigt, welche die Zuschauer recht einfach umsetzen können. Dabei sorgt das Rollenspiel der Akteure für einige Lacher und erhöht somit die Aufmerksamkeit der Zuschauer.