What the HACK?

Geht es um Hacker, haben viele Menschen die berühmt-berüchtigten Anonymous-Masken vor ihrem geistigen Auge. Mystisch, geheimnisvoll und irgendwo zwischen Gut und Böse – die Robin Hoods des Internets. Trotz des Kults um solche Hackerkollektive haben die „Good Guys“ der Branche ein Nachwuchsproblem. Im Interview sprechen die IT-Security-Experten von SEC Consult über das Image der Szene und wieso es trotz aller Sicherheitsmaßnahmen ratsam für Unternehmen ist, einen ausgereiften Krisenplan bei der Hand zu haben.

Herr Prinz, wann haben Sie mit dem Hacken begonnen? Wie wird man Security-Hacker?

PRINZEs gibt Studienrichtungen wie „IT Security“ oder „Penetration Testing“, in denen man die Grundlagen des Hackens lernen kann. De facto gibt es aber nach wie vor keinen Studiengang, der sich ausschließlich diesem Thema widmet. Wenn man diesen Beruf professionell ausüben möchte, braucht es daher schon einiges an Eigenregie und Eigeninteresse. Ich bin damals durch Internetrecherche auf sogenannte „Capture the Flag“-Events aufmerksam geworden. Dabei organisieren sich Gruppen gemeinsam in Teams und versuchen in verschiedenen Challenges, Schwachstellen von Websites ausfindig zu machen oder Mailserver zu übernehmen – alles legal natürlich. Mittlerweile gibt es dafür sogar große Turniere. So kann man sich verschiedene Angriffsmethoden spielerisch selbst beibringen und im Austausch mit Gleichgesinnten immer besser werden.

Wieso ist es so schwierig, gute Nachwuchshacker zu finden?

FLECKIch glaube, dass man generell das Ansehen von MINT-Berufen aufwerten muss. Manager, Juristen und Ärzte sind höchst angesehen, aber der Techniker hat in unserer Gesellschaft immer noch nicht den Stellenwert, den er eigentlich haben sollte – vor allem, wenn man bedenkt, wie wichtig Technik für unsere Gesellschaft ist. MINT-Fächer müssen cool sein und diese Wahrnehmung muss gefördert werden. Da ist sicher auch die Politik gefragt. Es sollte so sein, dass sich die Warteschlangen an den Hochschulen nicht vor Psychologie bilden, sondern vor Informatik.

Apropos unterbewertet: Was sind die häufigsten Sicherheitslücken, die Sie bei Unternehmen entdecken?

PRINZDie allermeisten Hacks werden initial durch E-Mails ausgelöst. Der Hacker verlässt sich dabei darauf, dass er den Empfänger dazu bringen kann, auf einen Link zu klicken oder eine Datei zu öffnen, und schon ein bis zwei falsche Klicks führen dazu, dass der Rechner infiziert ist. Nachdem das bei den allermeisten Unternehmen so gut funktioniert, erspart man sich als Angreifer die Mühe, nach einer spezifischen Schwachstelle im System zu suchen – der Mensch erledigt das.

FLECKWobei es auch immer ein wenig auf die Art des Angriffs ankommt. Wenn Hacker ganz konkret auf eine Organisation abzielen, sind nicht nur E-Mails ein beliebtes Eintrittstor, sondern sämtliche IT-Services, die diese Organisation anbietet. Beispielsweise sind auch Bewerbungsportale eine gängige Zielscheibe, weil man da typischerweise Anhänge hochladen kann. Wenn die Systeme up to date sind, sollten bösartige Dateien erst gar nicht den Weg zum Empfänger finden. Hier wird dann oftmals veraltete Software ausgenutzt, um sich Zugang zu verschaffen. Aber natürlich spielt dabei auch wieder der Faktor Mensch eine große Rolle, der die Datei letztendlich öffnet.

Ist der Mensch die größere Schwachstelle als die technische Komponente?

PRINZEs ist die Kombination. Menschen werden immer Fehler machen – egal wie gut sie informiert sind. Im Idealfall wird daher der Angriffsversuch bereits durch technische Gegenmaßnahmen abgewehrt, wie Antivirensoftware, Endpoint-Protections und Anomalie-Erkennungen im System. Wenn man wirklich ganz gezielt in das Visier von hochprofessionellen Hackern gerät, werden aber wahrscheinlich auch die besten Schutzmechanismen nicht greifen. Man darf nicht vergessen: Als Verteidiger muss man alle möglichen Sicherheitslücken im Blick haben und kontrollieren können, während die Angreifer nur einen einzigen Weg hinein finden müssen. Dieses Ungleichgewicht macht es für die Angreifer natürlich wesentlich einfacher. Aber vielschichtige Vorkehrungsmaßnahmen sorgen dafür, dass zumindest eine überwältigende Mehrzahl der Angriffe abgewehrt werden kann.

Was sind die wichtigsten Schritte, die sofort eingeleitet werden müssen, wenn man Opfer eines Cyberangriffs wurde? Wie sehen die konkreten Erstmaßnahmen aus?

FLECKZuerst muss man den Angriff überhaupt einmal bemerken. Neben den offensichtlichen Methoden wie der Ransomware, mit der Hacker die Systeme verschlüsseln und darauf abzielen, dass der Gehackte den Angriff mitbekommt, um Lösegeld zu verlangen, gibt es auch die Kategorie der Advanced-Persistant-Threats. Die APTs wollen ganz bewusst nicht auffallen. Sie finden extrem langsam und über einen längeren Zeitraum statt, um sukzessive Daten abzugreifen. Dabei versuchen die Hacker auch, ihre Spuren aktiv zu verwischen. In der Praxis machen wir regelmäßig die Erfahrung, dass solche Angriffe mehrere Monate gar nicht auffallen. Es gibt Studien, die sogar von bis zu 226 Tagen im Schnitt sprechen. Und dann wird die Ursachenforschung selbst für den IT-Forensiker schwierig.

PRINZMan muss also immer das Dreigespann „People, Process und Technology“ im Blick haben. Ein Unternehmen muss die technischen Vorkehrungen getroffen haben, um nachvollziehen zu können, was genau passiert ist: Ist nur ein Rechner betroffen oder das gesamte Unternehmen? Wurden Daten gestohlen? Wurde etwas manipuliert? Und neben diesen technischen Aspekten ist es dann ganz wichtig, einen Krisenmanagementplan zu haben. Bei größeren Unternehmen kann so ein Schaden in die Millionenhöhe gehen. Die Organisation muss wissen: Wen rufe ich jetzt an? Wie soll ich mich verhalten, um den Schaden zu begrenzen? Und was darf ich auf keinen Fall mehr machen? Da braucht man dann unbedingt eine Expertentruppe parat, die möglichst schnell den Normalzustand wiederherstellen kann. Wenn man sich erst Gedanken über die Lösung macht, nachdem man bereits gehackt wurde, verliert man wertvolle Zeit.

Ein gutes Drittel der österreichischen Unternehmen kann den finanziellen Schaden nach einem Cyberangriff nicht beziffern. Wie erklären Sie sich das?

PRINZWeil es enorm schwierig ist, den Finger auf eine konkrete Zahl zu legen. So ein Angriff zieht einen enormen Rattenschwanz nach sich. Eine Zeit lang muss man interne und wahrscheinlich auch externe Mitarbeiter auf den Vorfall abstellen und kann dadurch dem Tagesgeschäft nur eingeschränkt nachgehen. Wenn man beispielsweise als Aktiengesellschaft seine Zahlen nicht rechtzeitig ausschicken kann, weil die Daten verschlüsselt sind, hat das einen großen Einfluss auf den Unternehmenswert. Das lässt sich nicht so einfach beziffern.

FLECKAußerdem darf nicht vergessen werden, dass man sich in so einem Moment in einer Ausnahmesituation befindet, in der Unternehmer andere Sorgen haben, als den Fokus auf die genaue Erfassung des finanziellen Schadens zu richten. Und darüber hinaus kann man beispielsweise Faktoren wie einen Reputationsverlust in der Öffentlichkeit kaum quantifizieren.

Wo steht IT-Security in Europa im internationalen Vergleich? Angenommen, Sie hätten einen Wunsch bei der EU frei: Welcher wäre das?

FLECKIch würde mir wünschen, dass die Politik in Europa nicht nur als Lippenbekenntnis auf IT-Security setzt, sondern auch wirklich in die Technik dahinter investiert und dafür entsprechende Geldtöpfe zur Verfügung stellt. Ansonsten wird uns auf europäischer Ebene das Fundament fehlen, das andere Kontinente haben, um ihr Business digital sicher führen zu können. Die EU sollte sich trotz des Flickenteppichs an Mitgliedsstaaten mehr darauf besinnen, dass es in dem Bereich gewisse gemeinsame Aufgaben gibt, die auch eine gemeinsame Infrastruktur benötigen. Da muss noch viel mehr über Ländergrenzen hinweg gedacht werden. Wenn ich mir ansehe, mit welchen Budgets das Department of Homeland Security in den USA ausgestattet ist und wie die in Technologien und Know-how im Bereich der IT-Security investieren, dann haben wir noch einiges zu tun._

Wir machen regelmäßig die Erfahrung, dass Angriffe mehrere Monate gar nicht auffallen.

Ulrich Fleck Geschäftsführer, SEC Consult

Vielschichtige Vorkehrungsmaßnahmen sorgen dafür, dass zumindest eine überwältigende Mehrheit der Angriffe abgewehrt werden kann.

Stefan Prinz Head of Defence, SEC Consult

#Ähnliche Artikel

„Die zweite Breitbandmilliarde muss jetzt zeitnahe kommen“

Bis 2030 soll Österreich flächendeckend mit festen und mobilen Gigabit-Anschlüssen versorgt werden. Erst Anfang März hat Bundesministerin Elisabeth Köstinger verkündet, das Tempo für den Breitbandausbau erhöhen zu wollen. Die neu gegründete Plattform „Internetinfrastruktur Austria 2030“, der auch der Verband Alternativer Telekom-Netzbetreiber (VAT) angehört, soll dabei eine wichtige Rolle übernehmen. VAT-Präsident Markus Fellhofer über die demokratiepolitische Bedeutung einer Gigabit-Society.

Das große schwarze Unbekannte

Eine Stunde Stromausfall. Echt ärgerlich. Schließlich wollte man gerade kochen. Oder das Handy anstecken. Oder einfach nur die Toilette aufsuchen. Nachts. Doch was passiert, wenn es europaweit tagelang zu einem Totalstromausfall kommt? Und (wie) kann man dafür vorsorgen? Wir haben bei Joachim Haindl-Grutsch, Geschäftsführer der Industriellenvereinigung, Herbert Saurugg, Experte für Blackout-Prävention, und Ernst Spitzbart, Energiesprecher der Sparte Industrie der WKOÖ, nachgefragt.

Social-Media-Trends 2021

Seit mehreren Jahren arbeiten die beiden Marketingunternehmen Hubspot und Talkwalker mit ihren Monitoring-Tools sowie externen Branchenexperten zusammen, um die wichtigsten Social-Media-Trends für das kommende Jahr abzuleiten. Und so viel steht fest: Gegen Covid-19 hilft keine Firewall. Die Coronakrise hat ihre Spuren in der digitalen Welt hinterlassen und bestimmt die Social-Media-Trends im Jahr 2021 – die Top Five im Überblick!

Ein Jahr total digital

Mit dem [Programm Digital Pioneers](https://digitalpioneers.at/) haben junge Frauen die Möglichkeit, in den Digitalsektor einzutauchen und sich neu zu orientieren.

„Digitalisierung ist mehr als nur Technologie“

„Österreichische Unternehmen befinden sich bei der Digitalisierung im Mittelfeld – es gibt definitiv noch Luft nach oben“, sagt Klaus Schatz. Er muss es wissen. Schließlich begleitet der Digitalisierungsstratege und Leiter des Bereichs CIO Advisory der [KPMG](https://home.kpmg/at/de/home.html) heimische Unternehmen bereits seit 15 Jahren dabei, digital fit zu werden. Worauf es ankommt, damit die digitale Transformation gelingt, erklärt er im Interview.

„Gerade jetzt wollen wir den Innovationsgeist fördern“

Gleich zwei Wettbewerbe will Oberösterreichs Landeshauptmann Thomas Stelzer dieses Jahr bestreiten. Erstens möchte er besser und schneller durch die Krise kommen als andere. Zweitens steht im Herbst die Landtagswahl an. Wir fragen ihn, ob der Termin dafür nun gut oder schlecht ist, wie er die Digitalisierung vorantreiben möchte und welche Rolle Kreativität in seiner Kindheit gespielt hat (und warum die beim Bewältigen von Krisenzeiten nicht unwesentlich ist).

„Wir wollen online und offline die gleichen hohen Standards“

Mit dem Digital Services Act und dem Digital Markets Act der EU soll das Internet zu einem sicheren und vertrauenswürdigen Ort werden, der den Gesetzen einer freien Marktwirtschaft folgt. Welche Rolle dabei die Vormachtstellung der US-amerikanischen Internetkonzerne spielt, wo die Grenzen zwischen Fake News und Meinungsfreiheit liegen und was das alles für ein digitales Europa bedeutet? Margrethe Vestager, Exekutiv-Vizepräsidentin der Europäischen Kommission sowie Kommissarin für Digitales und Wettbewerb, im Gespräch.

„Dort wird eine Jahrhundertchance geboren!“

Oberösterreichs Wirtschafts- und Sportlandesrat Markus Achleitner über Spitzenleistung, die im Sport Doppelweltmeister Vincent Kriechmayr gerade gelungen ist. Und die mit Projekten wie der neuen Technischen Universität auch in der Digitalisierung möglich werden soll.

Wir müssen reden! Und zwar digital.

Eines muss man der Coronakrise lassen. Sie hat die Digitalisierung vorangetrieben, als wären wir plötzlich in der Zukunft gelandet. Online kommunizieren? Völlig normal. Und Lockdown hin oder her, die Kommunikation im Netz wird bleiben. Umso wichtiger die Frage: Wie kommunizieren wir digital am besten? Worauf müssen wir achten, damit wir gehört, gesehen und vor allem verstanden werden?

Insane in the Brain

… und damit ist nicht der kultige 90er-Jahre-Hit von Cypress Hill gemeint. Ein bisschen „loco“ ist das Ganze trotzdem: Ein Bürogebäude mit eigenem „Brain“ – das ist seit letztem Jahr Realität in Berlin. Das elfstöckige Gebäude ist einer der ersten Bürokomplexe, der mithilfe Künstlicher Intelligenz von den Menschen lernt, die in ihm arbeiten. Eine große Chance im Kampf gegen den Klimawandel. Aber sind wir überhaupt schon bereit für selbstlernende Gebäude?

Top secret – und doch verfügbar

Identität erfinden, bei der Konkurrenz einschleusen, Vertrauen erschleichen und voilà – Zugang zu allen Betriebsgeheimnissen! Das wäre zumindest eine Möglichkeit, um Betriebsspionage zu betreiben. Wer seinen inneren James Bond noch nicht entdeckt hat, wird aber eher versuchen, Wissen aus den Produkten der Konkurrenz zu extrahieren. Das Software Competence Center Hagenberg (SCCH) forscht daher aktuell daran, Software vor dem Diebstahl von geistigem Eigentum zu schützen.

5G-Roboter unterstützt im Seniorenzentrum

Seit Juni hat das Seniorenzentrum Spallerhof in Linz einen neuen Mitarbeiter. Was daran besonders sein soll? Er ist nicht menschlich: „Dieser Gesundheitsroboter ist die erste Echt-Anwendung von 5G in Österreich“, verkündet Erich Haider, Generaldirektor der [Linz AG](https://www.linzag.at/). Dass ausgerechnet Senioren zum „First Mover“ bei der 5G-Technologie werden, haben wohl die wenigsten erwartet.

PR

ICH MACH DIR DEN CHEFREDAKTEUR !

Hey, ich bin’s. Newsabot. Ich arbeite vor allem im Hintergrund, aber ich denke ich bin trotzdem der wichtigste Mitarbeiter im Newsadoo-Team. Immerhin, ohne mich läuft hier gar nichts, und ich arbeite rund um die Uhr, sieben Tage die Woche. Sehen kannst du mich selten. Manchmal spreche ich dich kurz an, wenn du [Newsadoo](https://newsadoo.com/de) verwendest, geb dir einen Tipp oder helfe dir bei Einstellungen. Die Ergebnisse meiner Arbeit siehst du aber permanent. Personalisierte, digitale News sind mein Ding. Deins auch?

Kein U für ein X vormachen

Die User Experience, kurz UX, ist in den letzten Jahren zum heiligen Gral der Softwareentwicklung avanciert: Programme werden um die Bedürfnisse und Gewohnheiten des Nutzers herumgebaut. [Parkside Informationstechnologie](https://www.parkside-interactive.com/de/) war diesem Trend dreizehn Jahre voraus und hat es mit Verlässlichkeit und hoher Qualität in den US-Markt geschafft.

Ehrlich ist nicht entbehrlich

„Unsere Branche kann viel zum Umweltschutz beitragen, aber die Themen sind eben nicht immer so sexy wie Elektromobilität oder Photovoltaik“, kritisiert Josko-Geschäftsführer Johann Scheuringer. „Die Diskussion über Nachhaltigkeit wird viel zu oft von scheinheiligen Marketingmaßnahmen getrieben und blendet dabei realitätsbezogene Ehrlichkeit aus.“ Beim Besuch am Firmenstandort in Andorf hat der Firmenchef und Fensterspezialist einiges zu dem Thema zu sagen.

20 Fragen, die wir einem Data Scientist immer schon mal stellen wollten …

Lukas Fischer stellt sich gerne Herausforderungen und scheinbar unlösbaren Problemen. Er leitet und koordiniert die wissenschaftlichen Agenden im Bereich Data Science am Software Competence Center (SCCH), wo sich die Lösungen der Probleme wie kleine Puzzlesteine zusammenbauen lassen. Im besten Fall. Unsere 20 Fragen beantwortete er mit links …

What’s up? Start-up!

In Oberösterreich tummelt sich die Start-up-Szene. Nicht nur die Tabakfabrik in Linz ist ein Sammelpunkt für das Jungunternehmertum, auch die FH Oberösterreich bietet künftig eine Weiterbildung im Bereich der beruflichen Selbstständigkeit an – von der Idee zum Unternehmen.