Im Gespräch mit Stefan Mettler

 

 

Interview mit LRM Risikomanagement AG, Felix Lechner und Stefan Mettler, ist Senior Consultant & Partner bei SEC Consult (Schweiz) AG in Zürich und berät weltweit Unternehmen im Bereich der Informationssicherheit.

 

1. Sie sind hauptberuflicher Hacker und IT Sicherheitsspezialist. Wie stark ist das Bewusstsein für Datensicherheit in Betrieben verbreitet und wie hoch ist Ihrer Erfahrung nach das Bewusstsein im Umgang mit vertraulichen Daten?

Das Bewusstsein gegenüber Datensicherheit sowie das Schützen vertraulicher Informationen oder personenbezogener Daten sind grösser geworden in den letzten Jahren. Das zeigt auch der jüngste Entscheid vom Europäischen Gerichtshof über das Safe-Harbor-Urteil ¹ vom 6. Oktober 2015.

KMUs und die Bevölkerung sind sensibilisiert, alleine durch die vielen Meldungen in den Mainstream Medien über gezielte Hackerangriffe auf Konzerne oder kritische Infrastrukturen wie im Juni 2010, wo eine Malware wie Stuxnet ² zum ersten Mal gezielt die Siemens Leittechnik einer Urananreicherungsanalge in Natanz oder des Kernkraftwerk Buschehr im Iran zu stören versuchte. Mit Erfolg!

Aktuell gibt es wenig Experten auf diesem Gebiet, die in der Lange sind, solchen Schadcode zu entwickeln und das nötige Budget dafür aufwenden können. Zwangsläufig kommen da Regierungseinrichtung oder Privatfirmen in Frage, die über die entsprechende Portokasse oder das politisches Interesse verfügen und in der Lage sind, solche Advanced Persistent Threat (APT) ³ Angriffe in die Tat umzusetzen.

Neben staatlich, koordinierten Cyberangriffen (APT) ist das Ziel von kriminellen Organisationen im Internet meist, monetäre Werte oder illegale Geldtransfers auf Kosten der Opfer zu tätigen oder zu verschleiern, indem Schwachstellen in Systemen ausgenutzt werden oder der Faktor Mensch bewusst ausgetrickst wird. Beispielsweise wird durch gezieltes Phishing  das Opfer gezwungen, persönliche Benutzerdaten wie Passwörter, Vertragsnummern oder mTANs auf einem Web-Formular einzugeben, die Daten werden meist auf einem Server in Russland und China speichert.
Viele Unternehmen haben begonnen, ihre elektronischen Informationen und Dokumente entsprechend zu klassifizieren und mit üblichen Bewertungen wie öffentlich, intern, geheim/vertraulich anzuwenden. Gleichzeitig muss das interne Regelwerk, sowie Sicherheitsdispositiv adäquat angepasst werden, um die Gesamtsicherheit in einem Unternehmen erhöhen zu können. Compliance Anforderungen wie bei Bankkundendaten (Client Identifying Data – CID) müssen gemäss FINMA ⁴ Rundschrieben „operationelle Risiken bei Banken“ müssen ohnehin einem Mindeststandard entsprechen. Das zwingt Finanzdienstleister und Unternehmen in der Schweiz mehr in die Informationssicherheit zu investieren um die schützenswerten Assets besser überwachen zu können.

Daher ist ein allgemeines Sicherheitsbewusstsein in den Betrieben schon vorhanden, doch 100% gibt es nicht und sicherheitsrelevanten Prozesse sollten laufend verbessert und an die aktuelle Bedrohungslage angepasst werden können.

¹  http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01320/index.html?lang=de

² https://de.wikipedia.org/wiki/Stuxnet

³ https://de.wikipedia.org/wiki/Advanced_Persistent_Threat

⁴ https://www.finma.ch/de/news/2013/10/mm-rs-opr-risiken-banken-20130110

 

2. Wie sicher ist die herkömmliche Emailkommunikation?

Primär gilt es festzuhalten, was herkömmliche E-Mail Kommunikation bedeutet. Viele Unternehmen oder Privatpersonen nutzen einen herkömmlichen E-Mail Client wie Microsoft Outlook oder Alternativen wie Thunderbird (Open Source). Das Problem bei klassischer E-Mail Kommunikation ist, dass ein Internet Service Provider (ISP) die Möglichkeit hat, den E-Mail Verkehr oder die Metadaten jederzeit zu überwachen. Auch potenzielle Angreifer sind in der Lage, klassische E-Mail Kommunikation mit diversen Angriffsmethoden überwachen zu können.

 Wir empfehlen prinzipiell, das die geschäftsrelevante E-Mail Kommunikation mit Technologien wie PGP ⁵ und S/MIME ⁶ verschlüsselt und aus Gründen der Integrität und Beweispflicht signiert und archiviert wird.

^{ 5}  https://de.wikipedia.org/wiki/Pretty_Good_Privacy

⁶  https://de.wikipedia.org/wiki/S/MIME

 

3. Sollte ich auf verschlüsselte Kommunikation achten? Setzen Hacker oft an genau dieser Stelle an und wie kann ich das verhindern?

Siehe Antwort auf Frage 2.

 

4. Wieso verwenden viele Anwendungen bisher keine 2-Faktor Authentifizierung?

Eine 2-Faktor Authentisierung dient primär als Identitätsnachweis. Die Verifizierung erfolgt über zwei separat, getrennten Kommunikationswege. (Bsp. E-Mail und Pin per SMS)

Das Problem bei 2-Faktor Authentisierungsformen liegt in der Ergonomie für den Endbenutzer. Obwohl bereits eBanking Systeme und Hersteller wie Google (2-Step Verification) oder Facebook damit begonnen haben, ihre Benutzer mit 2-Faktor Authentisierung auszustatten, gibt es noch viel zu tun.

2-Faktor Authentisierung sollte zum de facto Standard werden, damit automatisierte Brute Force Angriffe ⁷ , also das automatisierte durchprobieren von Benutzernamen und Passwörtern erschwert wird. Eine 2-Faktor Authentisierung kann solche Brute Force Angriffe zum Teil adressieren. Bei Web Applikationen können Schutzmassnahmen wie CAPTCHAs ⁸ ebenfalls zur Gesamtsicherheit beitragen.

⁷  https://de.wikipedia.org/wiki/Brute-Force-Methode