Sonntag, 17. Februar 2019

Hacker-Angriffe auf Manager "Per USB-Ladestation ins Telefon der Zielperson einbrechen"

Datenklau: "Ein Zugang zur Flugenhafenlounge und kleinere Manipulationen an USB-Ladestationen reichen aus"
Getty Images
Datenklau: "Ein Zugang zur Flugenhafenlounge und kleinere Manipulationen an USB-Ladestationen reichen aus"

Zahlreiche Politiker und Prominente wurden Opfer von Hacker-Angriffen. Die Unsicherheit in Politik und Wirtschaft ist groß. Jörg Asma, Leiter Cybersecurity der Prüfungs- und Beratungsgesellschaft PwC, erklärt, wie Manager sich gegen Cyber-Piraten schützen können - und welche Relevanz das Thema in deutschen Chefetagen hat.

mm: Herr Asma, fast 1000 Politiker und Prominente wurden zuletzt Opfer eines Hacker-Angriffs. Privateste Informationen gelangten öffentlich ins Netz - bis hin zum Facebook-Chat mit Ehefrau und Kindern. Kann das Managern auch passieren?

Jörg Asma: Selbstverständlich. Das kann jedem passieren, der ins Fadenkreuz von Cyber-Kriminellen, Hackern oder wie im aktuellen Fall einem Zwanzigjährigem kommt, der eine Person öffentlich diskreditieren will.

Gibt es bekannte Fälle aus der Wirtschaft?

Jörg Asma
  • Copyright: PwC
    PwC
    Jörg Asma leitet den multinationalen Bereich Cyber Security and Privacy Europe bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Asma hat Elektrotechnik in Jülich und Aachen studiert.

In der Form wie wir es zuletzt bei Politikern und seit vielen Jahren auch schon bei Prominenten gesehen haben nicht. Identitäten von Top-Managern wurden zuletzt vor allem genutzt, um zum Beispiel Finanzabteilungen zu illegalen Transaktionen zu bewegen, dem so genannten CEO Fraud. Wären die digitalen Angriffstechniken von heute aber schon während der Finanzkrise so weit entwickelt gewesen, hätten auch Banker und Wirtschaftsführer Opfer werden können. Jeder, der öffentlich in Erscheinung tritt, ist potentiell stark gefährdet.

Sollte man also dem Beispiel von Grünen-Chef Robert Habeck folgen? Raus aus den digitalen Identitäten?

In der Tat sollte man stets genau überprüfen, welche dieser Identitäten man wirklich braucht. Dennoch kann der Schluss nicht sein: Wenn ich mich angreifbar mache, mache ich eben nicht mehr mit. Im Fall Habeck spielte auch nicht nur das Thema Sicherheit eine Rolle. Entscheidend ist, die eigenen digitalen Identitäten genau zu kennen und sie so sicher wie möglich zu gestalten.

Das sagt sich einfacher, als es anscheinend ist. Wieso war es sonst möglich, mehr als 1000 Prominente auszuspähen?

Abschied von Twitter und Facebook: Grünen-Chef Robert Habeck

Die einzelnen Fälle dieser jüngsten Hacker-Attacke kann ich nicht kommentieren. Bekannt ist aber: Die meisten sozialen Netzwerke, Cloud-Dienste oder sonstigen Anbieter, bei denen es um sensible Daten geht, bieten heute mehrfache Sicherheitsmaßnahmen an, welche die Nutzer auch einsetzen sollten. Auch wenn die doppelte Anmeldung über Browser mit Passwort, Smartphone mit PIN und anschließende Nutzungsbenachrichtigung im ersten Moment sperrig erscheinen mag: Man sollte es Angreifern so schwer wie möglich machen. Das ist wie bei der Sicherung eines Hauses: Je schwerer es ist, hereinzukommen, desto mehr geben frühzeitig auf. Und wenn es dann doch einer schafft, wissen Sie zumindest frühzeitig Bescheid und können sich wehren.

Abseits von öffentlichen Profilen: Welche Einfallstore gibt es noch, um an die Daten von Managern zu kommen?

Die Wege sind vielfältig. Spear Phishing, also das gezielte Zusenden von vermeintlich interessanten Internet-Links, die dann aber dem Angreifer Tür und Tor öffnen, führt nach wie vor erstaunlich häufig zum Erfolg. Wenn nicht beim Chef selbst, dann bei seinen Mitarbeitern. Aber auch technisch gibt es viele Möglichkeiten: Sie glauben nicht, wie viele CEOs und Top-Manager ich schon dabei erlebt habe, wie sie arglos an öffentlichen Stationen ihre Smartphones in USB-Ladestationen stecken. Ein einfacher Zugang zur Flugenhafenlounge und kleinere Manipulationen an den Ladestationen reichen aus, um direkt ins Telefon von Zielpersonen einbrechen zu können.

Unterschätzen deutsche Manager das Risiko?

Nein und ja. Nein, weil eigentlich jeder seit Jahren um die Gefahren aus dem Cyberspace weiß - dazu gibt es dutzende empirische Studien. Und es wird auch im persönlichen Gespräch niemand anders sagen. Ja, weil Sicherheit in deutschen Chefetagen nach wie vor nicht in ausreichendem Maße angekommen ist. Wir haben zuletzt untersucht, in wie vielen der 80 deutschen Dax- und MDax-Unternehmen ein Vorstand öffentlich erkennbar verantwortlich für Cybersicherheit ist. Es waren insgesamt neun Vorstände, also elf Prozent. Cybersicherheit ist in vielen Fällen erst auf der zweiten oder dritten Ebene von Unternehmen anzutreffen. Häufig ist sie noch der IT untergeordnet.

Einige Chief Digital Officer haben es dagegen in die Vorstände geschafft ...

Es ist eigentlich widersprüchlich. Seit Jahren ist die Gefahr bekannt. Und während es die ersten Chief Digital Officer in deutschen Vorständen gibt, so fehlt nach wie vor der erste Sicherheitschef. Ein Grund war die Fokussierung auf Wachstum in den vergangenen Jahren. Cybersicherheit dagegen wurde stets vor allem als notwendiges Übel, als Kostenfaktor betrachtet. Ein zweiter Grund: IT-Security hat bis heute etwas wenig Anfassbares. Da sieht mancher den blassen Kapuzenpulli-Träger im Keller, der vor sich hinhackt. An diesem Image sind Cyber- und Sicherheitschefs nicht ganz unschuldig: Im Vergleich zu ihren Kollegen aus der digitalen Transformation haben sie bisher die Sprache des Managements nicht ausreichend getroffen.

Muss es noch mehr Manager öffentlich treffen, bis Unternehmen stärker vorsorgen?

Seit ich an dem Thema arbeite, werbe ich für eine gesunde Paranoia wenn es um Sicherheit und Daten geht. Ich halte es für entscheidend, dass die Sicherheitsexperten in Unternehmen, beim Staat und auch die Berater sich stärker darum bemühen, das Thema so zu transportieren, dass es Relevanz für das Management erlangt - noch vor einer möglichen Kompromittierung und damit persönlichen Betroffenheit eines Top-Managers. Ein gutes Argument für die Verantwortlichen: IT-Sicherheit nicht nur als Kostenfaktor zu verstehen.

Aber Cybersicherheit ist ein Kostenfaktor. Er führt nicht zu Produktivität.

Zunächst einmal vermeiden hohe Sicherheitsstandards Kosten - nämlich im Fall eines erfolgreichen Angriffs. Je weniger Unternehmen vorbereitet sind, desto höher im Regelfall der Schaden. Zum anderen lässt sich Sicherheit auch als Wettbewerbsfaktor betrachten. Kunden, die Anbietern von Produkten und Dienstleistungen vertrauen, werden sich eher diesen als anderen zuwenden. Digitales Vertrauen - und damit einher gehen hohe, gut vermittelte Sicherheitsstandards - kann ein wichtiger Vorteil vor Mitbewerbern in der Zukunft sein. Wer das dem Vorstand vermittelt, erhält sicherlich Gehör.

Praktische Tipps: Was sollten Manager beachten, damit sie nicht selbst in die Falle tappen?

Jörg Asma: Erstens: Professionell paranoid sein - und einfach davon ausgehen, dass jemand versuchen wird, sie zu hacken. Zweitens: Auf dieser Basis genau definieren, wo die größten Einfallstore liegen. Und drittens: Die Einfallstore so gut es geht minimieren und die offenen Flanken stets unter genauer Beobachtung halten. Betroffene müssen sich klar machen, wo sie aktuell stehen und was sie tun müssen. Das ist auch eine große Chance für den Chef der Unternehmenssicherheit, sich neu zu positionieren.

© manager magazin 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung