Cybersecurity : Hacker packt aus: Industrie sehr naiv bei IT-Security
Factory: Herr Janotta, Sie hatten eine bewegte Vergangenheit – was sind Sie jetzt, Whitehacker oder black?
Adrian Janotta: Ein Whitehacker ist ein Hacker, der nach ethischen Grundsätzen handelt. Da ich aber auch schon Erfahrungen mit der schwarzen Seite gemacht habe, kenne ich die Welt der kriminelle Hacker sehr gut. Ich glaube, ein guter Hacker muss beide Seiten kennen oder zumindest schon einmal mit ihr Kontakt gehabt haben, um Kriminelle besser zu verstehen und somit sinnvolle Schutzmaßnahmen erarbeiten zu können.
Dunkle Seite – Sie saßen wegen digitalem Diebstahl und Betrug mehrere Jahre im Gefängnis.
Janotta: Ja, genau, ich hatte damals familiäre Probleme, mein Freundin betrog mich, ich trank und hackte. Aufgeflogen ist meine Straftat durch eine Verkehrskontrolle – nicht, weil ich unvorsichtig beim Hacken war (lacht). Die Zeit im Knast war für mich eine lehrreiche, wichtige Zeit.
Wie entstand dann die Idee eine IT-Sicherheitsfirma zu gründen?
Janotta: Ganz einfach: Im Gefängnis kam mir die Idee. Ich habe während meiner Strafe BWL studiert. Da ich viel Zeit hatte, habe ich im Gefängnis auch einen Business Plan ausgearbeitet. Am Tag der Entlassung habe ich dann mein Gewerbe angemeldet.
Wie naiv ist die Industrie, der Mittelstand, wenn es um IT-Security geht?
Janotta: Sehr naiv. Aber es sind nicht nur die Kunden selbst, sondern auch die Sicherheitsfirmen. Sie versprechen Sicherheit, die sie nicht einhalten können. Stellen Sie sich vor: Sie kaufen eine Firewall, weil Sie denken, dass Sie Ihre Netzwerke schützt. In ein paar Wochen werden Sie gehackt, klar, dass der Sicherheitshersteller Ihnen Sicherheit versprochen hat, die er nicht einhalten konnte. Das passiert leider ständig und diese Fälle wird sicherlich auch der ein oder andere Leser kennen. Dieses Szenario lässt sich auch auf Anti-Viren-Software-Hersteller übertragen. Computer sind trotz dieser Virenwächter voller Spionagesoftware. Es mehren sich die Stimmen, das diese Hersteller Ihre Daten sammeln und sensible Daten speichern. IT-Sicherheit ist heute zu einem Machtinstrument von Staaten geworden, Sie missbrauchen Sicherheitssysteme für den Cyberkrieg.
Hinweis der Redaktion: Wie einfach der Angriff auf eine Fabrik ist, erfahren Sie hier.
Sie haben letzte Woche eine Wanze bei einem Mittelständler im Büro gefunden - ist das der Alltag beim Thema Security?
Janotta: Alltag sicher nicht, aber es kommt eben ganz auf den Auftrag an. Wer einmal einen Verdacht hat, wird anrufen und dann kommt das IT-Forensik-Team und nimmt eine Untersuchung vor Ort vor. Wer könnte die Wanzen, Abhörgeräte, Trojaner und Spionagesoftware installiert haben, wer kommt als Täter in Betracht und warum wurden Wanzen installiert? Diese Fragen stellen wir uns täglich, wenn wir beim Kunden vor Ort im Einsatz sind. Für die Opfer ist das ganze immer nicht ganz so leicht, denn Sie verstehen oft nicht, das IT-Sicherheit viel mehr als nur Datenschutz oder Anti Viren Software ist. Meine täglichen Einsätze bestärken mich immer wieder: IT-Sicherheit betrifft im Zeitalter der Digitalisierung das komplette Leben.
Wer sind die Angreifer?
Janotta: Ganz oft Staaten, Geheimdienste aber auch Scriptkiddies, die Geld mit den Informationen verdienen wollen. Sie verkaufen die Daten der Unternehmen für ein paar Euro dann im Darknet. Oftmals merkt man nicht einmal, dass man angegriffen wurde. Aber es können natürlich auch einfache Diebe sein, die sich technische Fähigkeiten angeeignet haben.
Hinweis der Redaktion: Immer mehr Unternehmen horten Bitcoins als Lösegeld .
Vor wem haben Ihre Kunden Angst?
Janotta: Unsere Kunden arbeiten mit sensiblen Daten, die nicht in die falschen Hände geraten dürfen. Falsche Hände sind dabei auch der eigene Staat. Es geht um geheime Informationen, Patente und Abhörsicherheit. Wenn die Daten meiner Kunden in die falschen Hände geraten, sind sie ruiniert. Das unterscheidet meine Firma von vielen anderen Sicherheitsfirmen. Auf uns kann man sich verlassen, weil wir unabhängig beraten und unabhängig sind, ohne das wir mit Staaten oder Geheimdiensten zusammenarbeiten. Ich habe aber auch Kunden, die ganz einfach Daten gelöscht haben. Manchmal will auch jemand sein Smartphone vor Spionage absichern, oder Härten. Die Gründe kenne ich nicht immer, ich soll es dann eben sicher machen. Was auch passiert ist, dass ich zu einem Spionagefall hinzugezogen werde. Leider ist Spionage und Cyber-Terrorismus heute Realität. Die IT-Sicherheitskonzerne übersehen die Probleme. Ein CEO sagte einmal zu mir: Wir denken, dass wir Sie brauchen, weil wir diesen Hacker nur mit einem Hacker bekämpfen können.
Ist Spionage und Cyber-Terrorismus heute Realität?
Janotta: Leider ja. Die IT-Sicherheitskonzerne übersehen die Probleme. Ein CEO sagte einmal zu mir: "Wir denken, dass wir Sie brauchen, weil wir diesen Hacker nur mit einem Hacker bekämpfen können."
Was ist das größte Einfallstor im Bereich Security in der Fabrik oder Produktion?
Janotta: Soziale Manipulation und Social Engineering, ganz klar. Industrie 4.0 darf sich auch in Zukunft auf mehr Schadsoftware vorbereiten. Die neuen Anlagen und Maschinen könnten jederzeit von Angreifern übernommenen werden. Das wäre eine Katastrophe. Denken Sie an Stuxnet. Exploits und unsichere Software in den Anlagen selbst, sind auch ein großes Problem. Es fehlt das „Security by design“ – das bieten kaum Hersteller an.
Warum ist Social Engineering aus Ihrer Sicht so ein großes Problem?
Janotta: Social Engineering ist deshalb ein Problem, weil es direkte finanzielle Schäden hervorrufen kann. Mit der Social Engineering Technik können Geld, Waren, Dienstleistungen und Güter im großen Stil abgezogen werden und mit Social Hacking werden Informationen und Geheimnisse ausgeforscht.
Wie kann man Social Engineering begegnen - wie macht man Sie arbeitslos?
Janotta: Social Engineering lässt sich nur mit der Hilfe von Profis begegnen, deshalb werde ich nicht arbeitslos. Außerdem ist die menschliche Natur immer für Social Engineering empfänglich. Dabei denke ich vor allem an Spionage und Cyber-Erpressungsfälle, die ich jede Woche abarbeiten darf. Aber es mangelt an Aufklärung in den Unternehmen – bei den CEOs, die sich wohlmöglich einen Escortdienst gönnen und der Pförtner dann den „neuen Mitarbeiter“ ungefragt auf das Werksgelände lässt.
Warum ist IT Security bei der Mehrheit noch nicht verinnerlicht?
Janotta: Das kann ich ganz genau beantworten: Es ist so ein wichtiges Thema, und dennoch gibt es nur wenige Lösungen die funktionieren. Heute verlässt sich leider jeder Zweite auf ein Anti-Viren Programm oder auf die minimalen Anforderungen der Behörden, bei uns das Bundesamt für Sicherheit in der Informationstechnik (BSI). Er wird dann trotzdem gehackt. Die viel bessere Lösung ist, selbst Hacker zu beauftragen, die nach Schwachstellen und Sicherheitslücken im System suchen, sei es auf technischer oder eben auf sozialer Ebene.
Was ist mit Sicherheitszertifikaten?
Janotta: Die Deutschen versprechen sich viel von Zertifikaten und Lösungen, die zertifiziert sind. Aber alle diese Lösungen schützen einem nicht vor einem wahren Cyberangriff. Man muss ich im Klaren seien, dass immer ein Restrisiko besteht.
Kriegen Sie manchmal Angst, wenn die Unternehmen alles ins Netz hängen?
Janotta: Ja, ich finde es muss nicht alles an das Internet angeschlossen werden. Das Internet ist das unsicherste Netz aller Zeiten. Das macht mir große Sorgen.
Vielen Dank für das Gespräch! Das Gespräch führte Robert Weber
