«Zu 99 Prozent schaffe ich es, mittels Trojaner in ein Unternehmen einzudringen»

Herr Bütler, wie sicher sind Passwörter?

Ach, das ist ein Dilemma. Grundsätzlich gilt: Schützen Sie Ihren Gmail-Account mit einem achtstelligen Passwort, ist das gut. Was mir aus Hackersicht beim beauftragten Passwortklau aber auffällt: Zum einen werden Passwörter oft banal gewählt, zum anderen wird häufig ein und dasselbe für viele Accounts eingesetzt. Auch geänderte Passwörter sind oft vorhersehbar. Haben Sie sich etwa für «summer 69» entschieden, ist die Wahrscheinlichkeit gross, dass Ihre nächste Änderung einfach «summer70» heisst.

Wie oft sollte man seine Passwörter ändern?

Geht es um die Turnverein-Webseite, auf der Sie Mitglieder nachschauen, reicht dies einmal im Jahr. Handelt es sich aber um ein Passwort, über das Sie Zahlungen tätigen, sollte dies öfter sein. Ich mache das bei mir alle 90 Tage.

Wir besitzen alle Smartphones, sind im Netz auf Google, Facebook und Amazon unterwegs, und wissen spätestens seit dem NSA-Skandal, dass unsere Daten wertvoll für andere sein können. Welche Gefahren drohen im Alltag tatsächlich?

Vor allem der Verlust der Privatsphäre. Dass wir zu gläsernen Bürgern werden und unsere Krankenakte, finanzielle Situation, sexuelle Ausrichtung und politische Einstellung kein Geheimnis mehr ist.

Wollte man konsequent sein, dürfte man kein Handy nutzen

Weil wir digitale Spuren hinterlassen?

Ja, etwa durch kostenlose Apps oder der Nutzung von Gratisanwendungen. So liefern zum Beispiel Schrittmesser und Impulszähler Daten, deren sich Arbeitgeber in Zukunft vielleicht bedienen werden – um nur den fittesten Arbeitnehmer mit dem gesündesten Herzkreislaufsystem einzustellen.

Verzichten Sie als Experte deshalb auf Gratisanwendungen wie etwa WhatsApp?

Nein. Wollte man ganz konsequent sein, dürfte man überhaupt kein Handy nutzen. Ich persönlich schalte mein Handy so oft als möglich auf Flugmodus – weil ich weiss, dass es getrackt wird. Allerdings ist mir klar, dass ich dies am Wochenende, wenn ich mit Frau und Kindern unterwegs bin, ebenso gut bleiben lassen könnte. Denn diese haben auch Handys und benutzen die Funktion nicht. Ausserdem schalte ich auf Flughäfen mein Handy grundsätzlich aus – denn dort wird die Zuordnung von Gerät und Identität besonders genau verfolgt. Das mag vielleicht paranoid klingen, aber das ist für mich persönlich wichtig.

Wer es nicht ganz so weit treiben will: Welche grundlegende Sicherheitsvorkehrungen sind für Privatpersonen Ihrer Meinung nach ein Muss?

Man sollte die angebotenen Sicherheitsfunktionen nutzen. Also zum Beispiel sein Social Media Profil nicht allen zur Verfügung zu stellen, sondern nur ausgewählten Freunden. Wir sollten uns aber auch bewusst sein, dass wir erst am Beginn einer gläsernen Gesellschaft stehen. Heute mögen wir uns noch über die eine oder andere Begleiterscheinung aufregen, in ein paar Jahren aber wird da niemand mehr darüber reden. Schauen Sie sich nur die Jugend an: Da interessiert sich keiner für Privacy.

Vorsicht mit Clouds

Immerhin: Virenscanner zu benutzen ist heute mehr oder weniger Standard.

Ja, allerdings leben wir in einer Zeit, in der niemand Geld ausgeben will für Software. Alles soll kostenlos sein. Doch beim vermeintlichen Runterladen von kostenloser Antivirensoftware holt man sich oft Trojaner. Deshalb lohnt es sich, an dieser Stelle 15 Franken für eine richtige Software auszugeben. Gleichzeitig sollte einem klar sein: Jedem, auch mir, kann es täglich passieren, dass sein Compi gehackt wird. Sind Sie aber vorbereitet und verfügen über Backups, ist das kein Drama. Dann schaffen Sie es, Ihren Laptop in 20 Minuten neu zu installieren und wieder zum Laufen zu bringen.

Dies setzt allerdings voraus, dass man regelmässig Backups macht.

Aber das geht heute ja fast automatisch – etwa bei Windows 8 mit File History oder OSX mit Time Machine. Wer das nicht schafft, sollte sich von Sohn oder Enkel helfen lassen. Kein Backup zu haben ist jedenfalls fahrlässig. Das ist wie wenn man sein Auto nicht zum Service bringt.

Wie sicher sind Ihrer Meinung nach Clouds, um Daten zu speichern?

Ich persönlich nutze keine. Lieber habe ich mir eine grosse USB Hard Disc gekauft und die Daten so lokal bei mir. Zwar glaube ich nicht, dass Daten in Clouds verloren gehen. Aber man sollte damit rechnen, dass jemand sich Zugang verschaffen könnte. Fotos von Grossmutters Geburtstagsfest kann man also gut dort speichern, Bilder von sich mit der Liebsten lieber nicht.

Der Mensch als grösstes Sicherheitsrisiko

Sie hacken im Auftrag von Firmen, um diesen Aufschluss über ihre Sicherheitslücken zu geben. Was ist dort die häufigste Schwachstelle?

Der Mensch.

Inwiefern?

Firmen investieren enorm viel Geld in Prävention von Angriffen, kontrollieren sämtliche Ein- und Ausgänge von E-Mails. Doch am Ende fällt der Mensch auf simpelste Tricks rein: Auf die E-Mail eines Onkels zum Beispiel, der in Ruanda angeblich in Schwierigkeiten steckt oder auf einen vermeintlichen Lotterie-Gewinn. Was 30 Zentimeter entfernt vor der Tastatur sitzt, ist deshalb das Hauptproblem.

Vor welcher Art Cyberkriminalität müssen Firmen sich schützen?

Generell gibt es bei Angriffen zwei Arten: Von Aussen, etwa auf Web-Anwendungen, und von innen mittels Trojanern oder Cyber-Spion. Was Ersteres angeht: Für Banken überprüfen wir zum Beispiel die Sicherheit ihres E-Bankings. Dazu simulieren wir einen bösen Bankkunden. Das heisst, wir bekommen von der Bank Passwort und Benutzername wie ein echter Kunde, loggen uns damit ein und versuchen dann auf die Konten anderer Kunden zuzugreifen. Früher ging das leicht, heute sind Schweizer Banken in diesem Bereich top, das schaffen Sie als Hacker praktisch nicht mehr. Die Gefahren drohen stattdessen eher von Innen: Infiltrieren mittels Trojaner oder Cyber-Spion geht sehr einfach und wird kaum entdeckt.

Cyberkriminalität ist komplexer geworden

Wie einfach?

Versuchen wir in ein Unternehmen einzudringen, das uns dazu beauftragt hat, Sicherheitslücken aufzuspüren, sind Trojaner ein erlaubtes Mittel der Überprüfung. Zu 99 Prozent gelingt uns dies dann auch. Nur bei Unternehmen, die nicht am Internet sind, wie etwa Atomkraftwerke, geht das nicht. Sonst aber eigentlich immer. Generell jedoch ist Cyberkriminalität sehr viel komplexer geworden.

Wie zeigt sich das?

Heute bestehen Hackergruppen auch aus Personen, die sich wirtschaftlich gut auskennen – die etwa Quartalszahlen vor der Veröffentlichung durch Hacken abgreifen, aufgrund dieses Insiderwissens Börsengeschäfte tätigen und dann riesige Gewinne einstreichen. Der Kausalzusammenhang von Hacking und Börsengeschäft ist viel schwieriger herzustellen als ein Angriff auf eine Web-Anwendung. Auch die Gewinne sind viel grösser.

Womit beschäftigen Sie sich aktuell?

Mit professionellen Hackergruppen, die sowohl monetäre Interessen als auch Spionage Absichten haben. Details kann ich wegen laufenden Untersuchungen leider keine abgeben.

Zur Person:

*Ivan Bütler ist Gründer und Geschäftsführer der Compass Security AG, mit Hauptsitz in Rapperswil-Jona und Niederlassungen in Bern und Berlin. Er ist Autor von IT Security Fachpublikationen, regelmässiger Speaker an diversen Konferenzen und Gründer von Hacking-Lab, einem weltweit genutzten Remote Security Lab für Security Professionals. Zusätzlich engagiert er sich als Lehrbeauftragter an der Fachhochschule Rapperswil und Luzern zu den Themen Hacking und Defense.