„Die Angreifer nutzen seit bald einem Jahrzehnt die gleichen Methoden“
Um die IT-Sicherheit in Deutschland steht es schlecht, sagt Experte Linus Neumann im Interview mit GDV.de. Das Problem sind weniger die Praktiken der Hacker, sondern die schwachen Schutzvorkehrungen der Unternehmen und Behörden.
Linus Neumann ist IT-Sicherheitsexperte und einer der bekanntesten Hacker Deutschlands. Er berät Unternehmen zum Thema IT-Sicherheit und tritt als Sachverständiger regelmäßig im Deutschen Bundestag auf.
Herr Neumann, selbst guten Köchen misslingt mal ein Essen. Wie ist es bei einem IT-Sicherheitsexperten: Wird man da auch mal Opfer von Cyberkriminellen?
Linus Neumann: Auszuschließen ist das natürlich nicht. Wer sich mit Sicherheit auskennt, kann aber die Wahrscheinlichkeit und das Schadenspotenzial gering halten. Ein Beispiel: Dass Dienste, bei denen ich registriert bin, nicht ordentlich mit meinem Passwort umgehen, liegt außerhalb meiner Kontrolle. Dadurch, dass ich nicht überall das gleiche Passwort verwende, halte ich aber das Schadenspotenzial gering, wenn einer der Dienste gehackt wird. Das hat mir in meinem Leben schon viel Ärger erspart.
Zuletzt haben die Angriffe laut Bundesamt für Sicherheit in der Informationstechnik zugenommen. Die Behörde hält die Gefahr im Cyberraum für „so groß wie nie“. Wie beurteilen Sie die Situation?
Neumann: Angreifer haben ein funktionierendes Geschäftsmodell, weil wir es ihnen ermöglichen. Dass ein funktionierendes Geschäftsmodell ausgebaut wird, ist nicht besonders verwunderlich. Wer jetzt keine Vorbereitungen trifft, den Schadensfall A in seiner Wahrscheinlichkeit und B seinem Schadenpotenzial zu verringern, darf sich nicht wundern.
Als IT-Sicherheitsexperte kennen Sie nicht nur die Gefahrenlage, sondern auch das Schutzniveau auf Seiten der Unternehmen und Behörden. Wie sieht es da aus?
Neumann: Ich bin ein unbelehrbarer Optimist, deswegen sage ich mal: „fürchterlich!“. Das liegt vor allem daran, dass IT-Sicherheit als technische Magie verstanden wird, als ein Add-on, um das sich die Nerds kümmern müssen. Tatsächliche Sicherheit verbirgt sich aber in Prozessen: Wie bilde ich meine Arbeit ab, was braucht das Unternehmen im Ernstfall? Ist es darauf vorbereitet? Funktioniert das Vorbereitete auch?
Was ist die größere Herausforderung für die IT-Sicherheit in Deutschland: der starke Angriff oder die schwache Verteidigung?
Neumann: Die Angreifer nutzen seit bald einem Jahrzehnt die gleichen Methoden. Noch Fragen?
Im Fall erfolgreicher Hackerangriffe raten viele Experten Unternehmen davon ab, Lösegeld zu zahlen, um keine Nachahmer zu motivieren. Mit ihrer Praxiserfahrung: Ist das für eine betroffene Firma, deren gesamter Geschäftsbetrieb lahmliegt, wirklich die beste Option?
Neumann: Das lässt sich nur im Einzelfall beurteilen. Entscheidend ist doch: Ich muss als Unternehmen individuelle Vorbereitungen und Sicherheitsmaßnahmen für einen Ransomware-Vorfall treffen und diese prüfen. Dann komme ich gar nicht in die Verlegenheit, dass das Zahlen eines Lösegeldes meine beste Option ist.
Wie beurteilen Sie die Leistungen von Cyberversicherungen – und ihren Stellenwert in einem IT-Sicherheitskonzept?
Neumann: Es gibt einerseits Versicherungen, die vor dem Abschluss der Versicherung viele Fragen stellen, und andererseits Versicherungen, die erst im Schadensfall viele Fragen stellen. Erstere sind starke Partner, letztere suchen nach Wegen, sich mithilfe des Kleingedruckten aus der Deckung zu ziehen.
Manche Experten befürchten durch den Einsatz von Künstlicher Intelligenz in Zukunft noch raffiniertere Angriffsmethoden. Teilen Sie diese Einschätzung?
Neumann: Die traurige Wahrheit ist, dass schon heute keine enorme Raffinesse notwendig ist: Stellen Sie sich eine Organisation mit Tausenden Mitarbeitern vor. Die Wahrscheinlichkeit, dass Sie dort eine Person finden, die Ihren bösartigen E-Mail-Anhang öffnet, ist 100 Prozent. Deswegen muss sich IT-Sicherheit auch nicht nur auf die Prävention, sondern auch auf Detektion und Wiederherstellung konzentrieren. Durch sogenannte „künstliche Intelligenz“ werden die Angriffe glaubwürdiger und häufiger, weil sie automatisierter sind. Allein die ganzen Kleinkriminellen aus allen Teilen der Welt können jetzt überzeugende Nachrichten in perfektem Deutsch, Englisch, Dänisch, Hebräisch und allen Sprachen der Welt schreiben. Wer sich selbst oder sein Unternehmen schützen möchte, muss sich darauf konzentrieren, durch Vorbereitung eine potenzielle Katastrophe in ein einfaches Problem zu verwandeln.
Mit der Digitalisierung steigt die Zahl der vernetzten Geräte – auch im Privatbereich. Für manche gibt es schon nach wenigen Jahren keine Sicherheits-Updates mehr. Wie beurteilen Sie das Risiko?
Neumann: Zum Glück interessieren sich Kriminelle gerade eher für Unternehmen als für irgendwelche Privatgeräte zweifelhaften Ursprungs. Die dienen weniger als Einfallstor, sind aber hervorragend geeignet, um sich darauf einzunisten, wenn man es einmal in die Organisation geschafft hat.
Die EU will mit Cyber Resilience Act die IT-Sicherheit verbessern. Welche Maßnahmen sind aus ihrer Ansicht besonders wichtig?
Neumann: Die Pflicht zum Bereitstellen von Updates ist eine ganz klare Anforderung. Produktmangel, die potenziell Personen oder ganze Unternehmen in den Ruin treiben können, müssen natürlich kostenlos abgestellt werden. Dafür müssen die Leute dann aber auch die Updates installieren!
