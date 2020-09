Interview Cyberkriminelle greifen Unternehmen an – Schutz ist möglich, aber IT-Projektleiter Marco di Giovanni weiss aus Erfahrung: «Einer klickt immer drauf» Er attackiert Unternehmen und verschickt infizierte E-Mails. Marco di Giovanni ist Profihacker in Gossau bei Inconet. Interview: Stefan Borkert 22.09.2020, 05.00 Uhr

IT-Projektleiter Marco di Giovanni hackt legal. Bild: Michel Canonica

Immer wieder werden Firmen Opfer von Hackerattacken. Erst jüngst ist der Fall der Brugg-Gruppe mit der Romanshorner Fatzer AG bekannt geworden. Und letzte Woche verstarb in Düsseldorf eine Frau. Wegen eines Hackerangriffs auf die Uniklinik musste sie in ein weiter entferntes Spital gebracht werden, was sie nicht überlebte.

Sind Sie White Hat oder Black Hat?

Marco di Giovanni: Der Vollständigkeitshalber sollten noch die Grey Hats erwähnt werden. Ob weiss, grau oder schwarz, hängt von der Motivation und Ethik sowie von den Gesetzen ab. White Hats handeln gesetzeskonform. Sie decken mit Erlaubnis der Firmen oder Behörden Sicherheitslücken in Systemen auf. Grey Hats brechen am Rande das Gesetz, um Gutes zu tun. Beispielsweise decken sie Dokumente auf, die gesetzeswidrige Handlungen Dritter beweisen. Sie sind sozusagen die Robin Hoods der IT.

Black Hats sind die Bösen?

Black Hats handeln im eigenen, meist finanziellen Interesse. Sie brechen das Gesetz und schädigen Unternehmen. So betrachtet sehen wir uns ausschliesslich bei den White Hats.

Sind Sie selbst auch schon in eine Cyberfalle getappt?

Ja, ich muss zugeben, in jüngeren Jahren bin ich aufgrund eines Phishinglinks im Rahmen eines Videospieles auch in die «Hacker-Falle» getappt. Auch wenn es wehgetan hat, habe ich daraus gelernt.

War Inconet auch Opfer?

Nein. Das Unternehmen nicht. Wir testen unsere Mitarbeiter in regelmässigen Abständen. Wissenslücken werden geschult und wir halten unsere IT-Infrastruktur immer up to date.

Aktuell ist im Thurgau ein Hackerangriff auf Fatzer erfolgt. Werden solche Vorfälle bei Inconet analysiert?

Gemäss diversen Medienberichten wurde die Brugg-Gruppe Opfer eines Ransomware-Angriffs. Bei Ransomware handelt es sich um einen Trojaner der Daten verschlüsselt. Die IT-Infrastruktur der Fatzer AG ist mit dem Netzwerk der Brugg Group verbunden und deswegen wurden die IT-Systeme von Fatzer ebenfalls heruntergefahren. Solche Angriffe bleiben bei uns nicht unbemerkt. Wir bedauern solche Vorfälle sehr, auch weil uns das Ausmass und der Schaden, den solch ein Angriff mit sich zieht, bewusst sind.

Wie viele Trojaner, Würmer, Schädlinge sind im Umlauf?

Sicherheitsbarrieren in Computernetzwerken werden immer wieder ausgehebelt. Michel Canonica

Eine genaue Zahl zu nennen, wäre unseriös. Jeden Tag entstehen neue Betrugsmaschen. Meist wird die Angst oder eine Notsituation der Menschen ausgenutzt wie in den letzten Monaten mit dem Coronavirus und Homeoffice. Wir orientieren uns an Melani Schweiz beziehungsweise am Nationalen Zentrum für Cybersicherheit (www.melani.admin.ch).

Erpressung ist vermutlich einfacher als Datenklau oder Geld abziehen?

Es ist nicht einfach, einzuschätzen, ob Erpressung einfacher als Datenklau und Geld abziehen ist. Erpressung ist vermutlich deshalb so wirkungsvoll, weil der Zeitfaktor eine Rolle spielt. Viele Unternehmen verlieren bei einem solchen Angriff nicht nur viel Geld, sondern haben auch Verluste bei Einnahmen, wenn beispielsweise ein Webshop lahmgelegt wird. Nicht zu vergessen ist der Reputationsverlust.

Werden Daten auch zum Zwecke der Industriespionage gestohlen?

Ich gehe davon aus. Solche Vorfälle werden jedoch selten publik.

Werden die Cyberangriffe tatsächlich aus Russland, der Ukraine und Indien initiiert?

Diese Frage kann nicht allgemein beantwortet werden. Grundsätzlich kann von überall auf der Welt aus ein solcher Angriff initiiert werden. Die Rückverfolgbarkeit ist allerdings in manchen Ländern schwieriger als in anderen.

Bei einem Angriff was muss als erste Notfallmassnahme getan werden? Stecker ziehen?

Wenn man den Angriff bemerkt, ist es leider in den meisten Fällen schon zu spät, um den Schaden zu vermeiden. Die IT-Systeme herunterfahren, Stecker ziehen ist eine der Möglichkeiten, um den Schaden zu minimieren und sich Zeit zu verschaffen, um den Vorgang zu analysieren. Wir bieten Produkte an, die sofort bemerken, wenn etwas in einem Bereich des Netzwerkes nicht stimmt, und die den infizierten Bereich vom Rest des Netzwerkes abkapseln. Dies ermöglicht, dass die IT-Infrastruktur weiterhin arbeiten kann, währenddessen nur der infizierte Bereich (PC, Router, Handy, Switch) bereinigt und wiederhergestellt wird.

Cyberkriminalität nimmt zu. Auch weil die Strafverfolgung fast machtlos ist?

Ich bestätige, dass Cyberkriminalität zunimmt, jedoch bin ich nicht der Meinung, dass die Strafverfolgung machtlos ist. Unser Rechtssystem und die Strafverfolgung funktionieren. Hacker sind aufgrund der grossen Geldbeträge anscheinend bereit, das Gesetz zu brechen, so, wie es auch Bankräuber oder Diebe tun. In all diesen Fällen gibt es immer Kriminelle, die erwischt werden, und andere, die damit davonkommen.

Die Technik ist da, aber der menschliche Faktor ist das grösste Leck in der Firewall, oder?

Das sogenannte «Social Engineering» hat in den letzten Jahren stark zugenommen. Hacker haben gemerkt, dass es einfacher und schneller geht, Menschen zu manipulieren, als IT-Systeme zu infiltrieren. Zu den bekanntesten Formen des Social Engineering zählt das Phishing-E-Mail.

Eine grosse Schwachstelle sind Phishing-E-Mails mit toxischen Anhängen. An was erkennt man diese?

Marco di Giovanni, IT-Projektleiter bei Inconet Michel Canonica

Grundsätzlich sollte man keine Anhänge von Personen öffnen, die man nicht kennt. Auch bei vermeintlich bekannten Personen lohnt es sich, zweimal hinzusehen, nämlich dann, wenn die E-Mail-Adresse Abweichungen aufzeigt. Ein «O» könnte beispielsweise durch eine Null ersetzt werden. Weitere Indizien sind viele Rechtschreibfehler und Handlungsaufforderungen wie: jetzt sofort, unbedingt, unmittelbar. Des Weiteren sollte nicht blind auf Links geklickt werden. Wenn Sie mit der Maus über einen Link fahren, ohne diesen anzuklicken, zeigt das E-Mail-Programm eine Vorschau der tatsächlichen Zieladresse. Hat diese Adresse keinen Bezug zum Text oder Absender, so empfiehlt es sich, diesen nicht zu öffnen.

Phishing ist weit verbreitet, längst bekannt. Es wird viel gewarnt. Warum funktioniert das doch so gut?

Weil wir nun mal Menschen sind und es in unserer Natur ist, gutgläubig zu sein und anderen Menschen zu vertrauen. Für viele Menschen ist IT nur ein Werkzeug im Alltag. Sie vertrauen der Technik. Der Begriff hört sich eigentlich auch harmlos an. Der Vorgang ist aber gefährlich, weil ganze Existenzen vernichtet werden können. Phishing, also Angeln, ist doch gerade bei uns am Bodensee was Tolles. In der Informatik möchte man dem jedoch aus dem Weg gehen.

Sie testen ja auch Unternehmen, greifen die Schwachstellen an, wie sieht das konkret aus?

Bei unseren Phishing-Kampagnen schlüpfen wir in die Rolle der Hacker und überlegen uns, wo die Schwachstellen beim Kunden sein können. Wir fälschen E-Mail-Adressen, Signaturen und bringen die User dazu, auf unsere Links zu klicken und im besten Fall die Zugangsdaten einzugeben. Zu keiner Zeit geht dabei von uns eine Gefahr aus. Ebenso wenig haben wir Einsicht in die Zugangsdaten. Haben wir einen Mitarbeiter erwischt, schulen wir ihn unmittelbar mittels E-Learnings.

Treten Sie von 9 bis 17 Uhr oder auch tief in der Nacht in Aktion oder lassen Sie das Programme, Bots erledigen?

Wir sind sieben Tage und 24 Stunden erreichbar. Die Angriffe werden in den meisten Fällen zu den Geschäftszeiten unserer Kunden ausgeführt. Wir haben auch die Möglichkeit, Angriffe zu terminieren.

Werden Sie engagiert, um einen Angriff durchzuführen, bevor Mitarbeiter informiert werden?

Wir werden beauftragt, die Mitarbeiter zu sensibilisieren und auch zu trainieren. Die eingesetzte Methode setzt voraus, dass der Mitarbeiter nicht informiert ist. Es wird eine reale Situation simuliert. Der Schreckmoment ist notwendig, damit das Training den höchsten Lernfaktor erzielt.

Lässt sich das belegen?

Ja. Dazu haben wir Zahlen. Die Anzahl der erwischten Mitarbeiter nimmt im Laufe unserer Phishingkampagnen rasant ab, sodass am Ende kein Mitarbeiter mehr in die Falle tappt.

Testen Sie auch Inconet selbst?

Ja wir testen uns regelmässig selbst.

Wie oft kommt es vor, dass ein Scheinangriff nicht funktioniert, dass das Unternehmen also gewappnet ist?

20 Prozent erwischter Mitarbeiter war bisher die niedrigste Quote, die wir erreicht haben. Einer klickt immer drauf.

Welche Unternehmen sind besonders gefährdet?

In vielen Fällen ist es für Kriminelle einfacher, kleine KMU zu hacken als ein grosses Unternehmen. Aber kleine Firmen werden oft zu Bauernopfern, um an grössere zu gelangen, weil sie mit dem grösseren Unternehmen vernetzt sind.