Ob Datenklau, Hackereinbrüche oder Cybertourismus – in der digitalen Welt ist Datensicherheit ein sensibles Thema. Wie Unternehmen sich schützen können und warum Homeoffice auch sicherheitsrelevant ist, erfahrt ihr in der vierten Folge des #DMW Podcast.
Anne Emmelmann von den #DMW spricht in dieser Folge mit Christine Deger. Sie ist Expertin für Cybersecurity und zertifizierte ethische Hackerin. Christine berät und begleitet Unternehmen, bietet Kurse für Privatpersonen, schreibt Artikel und hält Vorträge darüber, wie sich die digitale Welt sicher gestalten lässt.
Für Unternehmen geht es dabei nicht nur um finanzielle Verluste durch Hackerangriffe, auch können kritische Infrastrukturen lahmgelegt werden, beispielsweise der Bahnverkehr, aber auch die Versorgung mit Strom und Wasser oder der Betrieb von Krankenhäusern. Christine Deger berät und begleitet Unternehmen dabei, wie sie sich in der digitalen Welt am besten vor Cyberattacken schützen. Als ethische Hackerin nutzt sie dafür die Denkweisen und Instrumente von Hackern – aber eben zur Verteidigung und nicht zum Angriff. Aktuell rückt eine weitere potenzielle Sicherheitslücke in den Fokus: das Homeoffice. Wenn die Mitarbeitenden von ihrem privaten Internetanschluss auf das Firmennetz zugreifen, kann es Sicherheitsprobleme geben. Mit der richtigen Trennung von privat und beruflich lässt sich das Risiko minimieren. Doch neben der Technologie ist auch das Verhalten der Menschen ein Angriffspunkt. Gerade im Homeoffice, wo die Aufmerksamkeit begrenzt ist – durch Homeschooling, Kinder, Partner, Haushalt und dann klingelt es noch an der Tür – kann es schon mal passieren, aus Unaufmerksamkeit etwas anzuklicken, was doch nicht von der Kollegin war. Auch auf so etwas sollten Unternehmen vorbereitet sein und schnell reagieren können.
Christine Deger, Cybersecurity-Expertin und ethische Hackerin
Foto: Thomas Zoerlein
Mehr über Christine Deger und Cybersecurity findest du auf ihrer Webseite https://changeboxx.de und ihrem Twitter-Account: https://twitter.com/chrde
Klicken Sie auf den unteren Button, um den Inhalt von open.spotify.com zu laden.
#DMW – der Podcast. Ein Format der Digital Media Women
Im Podcast der DMW geht es darum, wie stark Digitalisierung und Gleichberechtigung zusammenhängen. Wir sprechen mit Expert:innen, berichten aus der Praxis, teilen besondere Geschichten, möchten Tipps an die Hand geben und zum Mitmachen motivieren. Ihr könnt den DMW Podcast überall da anhören, wo ihr Podcasts findet. Einfach „DMW Podcast“ suchen, abonnieren, anhören & weitererzählen.
Links aus der Podcast-Folge
Cyberluchs bietet persönliche Begleitung und Onlinekurse zu Cybersecurity: www.cyberluchs.de
Der #DMW Podcast zum Hören – Transkript der Folge 4 mit Christine Deger
Anne Emmelmann (#DMW): Ob Datenklau, Hackereinbrüche, Cybertourismus: Christine Deger ist in jedem Fall die richtige Ansprechpartnerin. Als zertifizierte ethische Hackerin berät und begleitet Christine rund um das Thema Cybersecurity. Logik und Klarheit sind ihre Arbeitsgrundlage. Ihre lebendigen Beispiele schöpft sie aus mehr als 18 Jahren Praxiserfahrung. Die digitale Zukunft sicher gestalten – in ihrer Beratung zeigt die Cybersecurity-Expertin, welche Strategien und Maßnahmen es gibt und ich persönlich freue mich sehr, dass wir uns heute über das Thema unterhalten. Cybersecurity, Christine, klingt für mich immer wie ein ganz, ganz großes Thema, was sich irgendwie so mystisch anhört und jetzt auch noch du mit dem Titel ethische Hackerin. Erzähl doch mal ganz kurz, was bedeutet das denn und was machst du da so?
Christine Deger: Hallo Anne, ich erzähle dir das sehr gern. Es ist meine Leidenschaft, deswegen brenne ich für das Thema und was ich mache, hast du schon bisschen angedeutet: Ich begleite Unternehmen, die sich verteidigen müssen. Ich sag mit Absicht müssen, weil es ist heute so, dass jedes Unternehmen sich verteidigen können muss und kein Unternehmen mehr davon ausgehen kann, dass es nicht irgendwann mal angegriffen wird, leider. Die Statistik zeigt es. Wir sind inzwischen bei drei Viertel aller Unternehmen, die schon mal eine Cyberattacke hatten – so nennen wir das – einen Angriff in irgendeiner Form auf Daten oder Manipulation von Daten in einem Unternehmensnetzwerk und deswegen ist das ein Thema, was wirklich jedes Unternehmen angeht und natürlich auch die Privatnutzer. Wir als „normale“ Internetnutzer, die wir online einkaufen, E-Mails versenden, chatten und uns einfach im Internet bewegen. Auch wir sollten mit diesen Gefahren umgehen können.
Anne: Ich finde, die Begriffe “Verteidigungslinien” und “verteidigen” bringen das Ganze auf ein anderes Level. Ich meine, Verteidigung kennt man aus einem physischen Angriffskrieg und Bombardement, aber wenn man davon ausgeht, dass Daten die neue Währung sind, dann ist das tatsächlich Programm.
Christine: Ja, dann gibt es etwas zu verteidigen, was wertvoll ist. Es stimmt, viele Begriffe aus der Informationstechnologie und speziell der Cybersecurity kommen auch aus dem Militärjargon, sind daraus abgeleitet, weil es im Prinzip eine ähnliche Denkweise ist. Du hast etwas, was du schützen willst, das schützenswert ist. Ich sag immer: Schützt eure Werte im Unternehmen. Und auch als Privatperson habe ich Daten, die mir vielleicht wertvoller sind als andere. Und bei den physischen Sachen sind wir es gewohnt: Wir schließen unsere Haustüre ab, um zu verhindern, dass jemand Zutritt kriegt. Aber wenn wir jetzt irgendwo in der Cloud unsere Daten haben, nutzen wir dann aber unsere Schlüssel, um zu verhindern, dass jemand da einfach durch diese Tür geht und dort unsere schützenswerten Werte beeinträchtigen kann oder darauf zugreifen kann. Und wir wollen das eigentlich gar nicht. Ich versuche eine Analogie aus der analogen Welt zu finden, damit die Menschen es verstehen, dass das einfach nur eine Werteverlagerung ist in den virtuellen Raum. Und mit der Digitalisierung sind wir halt alle in diesen virtuellen Räumen unterwegs. Egal, ob auf einer Netzwerkplattform, einer Businessplattform, wenn wir eine Versicherung abschließen, gibt es eine Plattform, eine E-Mail-Plattform, über dieses Fenster “Browser” gehen wir ins Internet auf alles mögliche und da ist schon sehr viel Raum. Was ich auch wirklich vermisse – es kommt langsam Gott sei Dank – ist, dass in dieser Digitalisierungsdiskussion einfach auch die Kehrseite der Medaille ist, dieses zu schützen. Nicht nur alles mit allem zu vernetzen, sondern eben auch zu gucken: Wie machen wir diese Vernetzungen sicherer, als es heute an der einen oder anderen Stelle ist?”
Anne: Und gerade die Begrifflichkeit “ethisches Hacking” – du spricht von Werten und schützenswerten Werten: Was macht denn das Hacking ethisch?
Christine: Du verpflichtest dich mit dieser Ausbildung, dass du eben nicht auf die „dark side“ wechselst oder dich im Darknet rumtreibst zu bösen Zwecken. Dass du dieses Wissen auch nicht verwendest, um dich zum Beispiel einer Hacker-Gruppe anzuschließen, um damit Geld zu verdienen. Und da kann man nicht schlecht Geld verdienen. Sondern du verpflichtest dich mit dieser ethischen Hackerausbildung eben die Werte der Verteidigung hochzuhalten und Menschenleben und Werte zu schützen für Unternehmen und für Personen. Da musst du auch so einen Kodex unterschreiben, was bei fast all diesen Ausbildung der Fall ist. Und du musst diese Zertifizierung alle zwei oder drei Jahre überprüfen lassen. Also auch gucken, dass du dein Wissen ständig erweiterst, eine bestimmte Anzahl von Fortbildungen machen in dieser Zeit und immer auf dem Laufenden bleiben und alle zwei bis drei Jahre eben nochmals eine Prüfung ablegen, damit sichergestellt ist, dass du auch die aktuellen Dinge kennst und damit umgehen kannst. Ansonsten ist es schon so, dass du denkst wie ein Hacker. Dass du die Techniken kennst, die ein Hacker verwendet, damit du dann eben, wenn in einem Unternehmen ein Hack stattfindet, du verstehst, was da passiert und die Punkte findest, um dir ein Bild zu machen, was dieser Hacker gerade erreichen will. Dann weiß ich, wo ich jetzt vielleicht einen Stecker ziehen muss oder die Verbindung kappen oder irgendwie einen sogenannten Honigtopf, “honeypot”, hinstellen, damit der woanders hingeht oder sowas. Das sind dann die Verteidigungsmechanismen und ich komm praktisch über die Angreiferseite zu meiner Verteidigungsstrategie.
Anne: Da bekommt kundenorientierte Denkweise noch einmal einen ganz anderen Touch. Christine, du hast ein Buch geschrieben und was ich ganz spannend fand: In dem Buch hast du auch über die Sicherheitsvorkehrungen der Bundesrepublik Deutschland geschrieben. Das klingt extrem groß und was kann ich mir denn darunter vorstellen. Was macht Deutschland, um sich zu schützen?
Christine: Eine ganze Menge und das auch schon seit Jahren. Das muss man mal sagen. Es ist nicht so, dass da bisher gar nichts passiert ist. Es gibt Dinge, die man besser machen kann, aber die gibt’s in jedem Bereich.
Wir haben ja schon ein paar Mal Cyberangriffe größeren Ausmaßes gesehen, wo wirklich Infrastrukturen lahmgelegt werden, Krankenhäuser lahmgelegt werden, auch Banken oder Versicherungen. Und die Bundesregierung hat mit dem BSI – dem Bundesamt für Sicherheit in der Informationstechnik – schon vor vielen Jahren eine Institution geschaffen, die sich um diese sogenannten kritischen Infrastruktursysteme kümmert. Die Abkürzung ist KRITIS. Da gibt es eine Definition, was da alles darunterfällt. Du kannst dir vorstellen, wenn heute ein Wasserwerk angegriffen wird und wir alle mal kein Wasser haben für ein paar Tage, was da los ist in Deutschland. Oder wenn die Stromversorgung ausfällt über längeren Zeitraum. Wie abhängig sind wir als Gesellschaft Bundesrepublik Deutschland von solchen Basisdiensten in der Infrastruktur.
Das gleiche gilt für Transport, für Gesundheitswesen. Wir haben jetzt in der Pandemie zum Beispiel gesehen, was passiert, wenn die Versorgung von diesen Schutzmechanismen nicht funktioniert. Also wenn keine Masken da sind, keine Schutzanzüge für das medizinische Personal. Das sind alles Dinge, die sind in dieser KRITIS Verordnung zusammengefasst. Da gibt’s auch inzwischen das IT-Sicherheitsgesetz. Das ist gerade, glaube ich, in der zweiten Runde. 2.0 kommt demnächst. Ich weiß gar nicht, wie weit sie im Moment sind mit dem Verhandeln. Also schon wirklich ganz, ganz wichtige Dinge für das öffentliche Leben, die noch besser geschützt sind als vielleicht Unternehmen der Privatwirtschaft sich schützen würden. Da überlässt man das eher dem Unternehmer wie er sich schützt. Aber bei den Sachen und für die Zukunftstechnologien, das ist auch ganz wichtig, ich war eine Zeit lang viel in der Automobilbranche unterwegs, da gibt’s auch so ein Security Rahmenwerk, das im Prinzip die Kfz-Industrie für sich und ihre Zulieferer definiert hat, das auch viel mehr auf IT-Sicherheit und auf Informationssicherheit geachtet wird.
Die Idee dahinter ist folgende: Wenn wir irgendwann mal als Mensch in einem selbstfahrenden Auto sitzen, dann muss einfach sichergestellt sein, dass der Hersteller so sorgfältig dieses Produkt produziert hat, dass wirklich jedes einzelne Teil schon im Produktionsprozess sicher produziert wurde. Dass dann nichts manipulierbar ist, wenn das Auto später mal selber ohne menschliche Eingriffe fährt – da hängen auch wieder Menschenleben dran. Da geht’s wirklich am Ende von diesem Prozess darum, diese Menschenleben zu schützen. Das finde ich schon ganz gut, diesen Standard in der Automobilindustrie, nach dem sich inzwischen viele Automobilzulieferer richten. Mal schauen, wie sich das weiterentwickelt. Ich halt das für eine sehr gute Sache, dass das passiert ist und dass da auch die Denke schon in die Zukunft geht und Sicherheit wirklich als integralen Bestandteil von diesen Entwicklungen in Richtung Zukunft mitberücksichtigt wird.
Anne: Finde ich einen ganz spannenden Punkt, dass es schon eher beginnt. Weil das, was ich als Nutzerin am Ende sehe, ist eben, dass ich dann ein Fahrzeug habe, das gehackt werden kann. Aus dem Film kennt man, dass irgendjemand gerade mit dem Auto flüchtet, und auf einmal wird es langsamer und hält an. Dann ist der Held in Schwierigkeiten. Das kennt man. Aber dass das ja schon vorher mit den einzelnen Komponenten beginnt, finde ich extrem spannend.
Um da noch einmal auf die Bundesrepublik zurückzukommen, was das bedeutet als Land die Ressourcen zu schützen und was es bedeutet, wenn solche grundlegenden Ressourcen ausfallen, mag man sich gar nicht vorstellen, wie komplex das ist.
Christine: Die Unternehmen verlassen sich auf diese zentrale Infrastruktur, die Unternehmen verlassen sich darauf, dass das Wasserwerk da ist und das Stromwerk, das dann noch eine Umschaltspannung woandershin hat. Die Unternehmen sind abhängig von Strom und diesen Dingen.
Anne: Absolut. Ich habe das selber einmal miterlebt. Das ist für mich so sehr präsent. Irgendwann vor ein paar Jahren, ich kann es gar nicht mehr ganz genau datieren, da wurde die Deutsche Bahn gehackt. Da haben die ganzen Anzeigetafeln verrückt gespielt und die Züge sind zu spät gekommen. Es ist niemand zu Schaden gekommen, aber die Deutsche Bahn wurde gehackt und man hat gesehen, es herrscht Chaos. Keiner weiß, wo welcher Zug wann fährt. Das war das Endresultat. Ich habe mich dann gefragt in diesem Zusammenhang: Was hat denn ein Hacker für einen Nutzen daraus, Anzeigetafeln zu hacken. Wahrscheinlich hat er nicht nur die Anzeigetafeln gehackt. Kannst du aus der Perspektive die Motivation erläutern, wieso ein Hacker da eingreift und solche vermeintlich banalen Themen hackt?
Christine: Die Motive in dem Fall: Ich glaub die Deutsche Bahn war bei dem „NotPetya“-Hack dabei, wobei, das weiß ich jetzt nicht 100 Prozent, diese beiden Hacks waren kurz nacheinander. Das waren sogenannte Flächenhacks. Das war das erste Mal, dass wirklich aus ganz Europa Unternehmen betroffen gewesen sind und es war nicht gezielt gegen die Deutsche Bahn. Solche Sachen gibt’s auch, dass gezielt gegen Unternehmen gehackt wird, in dem Fall war das aber nicht so. Dieser Hack zielte tatsächlich auf die Infrastruktur ab und was genau die Motive waren, weiß ich gar nicht. Vielleicht war es wirklich nur so ein Ausprobieren, wie weit wir kommen, mal gucken, wo die Lücken überall sind. Die Ursache, dass es dazu kam, dass die Anzeigetafeln weg waren, war, dass ein Windows Server in einer bestimmten Version nicht gepatcht war. In dem Jahr stand der Patch von Microsoft im März zur Verfügung. Und normalerweise guckst du dann in den Unternehmen, auch in einer Deutschen Bahn gibt es dafür Prozesse, dass dann diese Security Patches schnell ausgerollt werden auf die entsprechende Infrastruktur. Wenn man das nicht organisiert als Unternehmen, dann ist man vielleicht drei Monate später als Unternehmen bei so einem Hack dabei.
Bei dem zweiten „NotPetya“-Hack, den hab ich auch live und in Farbe bei einem Unternehmen mitgekriegt, da war es so, dass die Quelle das Einschleusen von Schadsoftware über ein Softwareupdate war, und zwar für Finanzbuchhaltungssoftware in der Ukraine. Das heißt, dass alle Unternehmen, die irgendwie eine Verbindung dorthin hatten und diese Software nutzen mussten, haben das Update gemacht und haben dann über ihre eigenen Netze die Software über ganz Europa verteilt. Da war Maersk dabei, da war Nivea dabei, da waren viele große dabei. Es hat die getroffen, die eben ihre Hausaufgaben nicht gemacht haben – rechtzeitig ihre Server gepatcht. Es gibt immer gute Gründe, warum das nicht passiert in Unternehmen, aber an unserem Beispiel sieht man, wie wichtig das ist, Softwareupdates und Patches von Herstellern zu testen und in die Infrastruktur möglichst zeitnah reinzubringen.
Es war schon erschreckend, weil die Verbreitung in relativ hoher Geschwindigkeit stattfand. Würmer, Viren und Trojaner gibt es schon lange als Schadsoftware, aber die Art und Weise wie diese Dinge sich weiterentwickelt haben, wie intelligent diese Software inzwischen ist, in der Art sich im Unternehmensnetzwerk zu tarnen und sich zu verbreiten, das ist schon heftig. Für ein Unternehmen wirklich eine Herausforderung dem zu begegnen.
Anne: Ich höre da heraus, dass das Wahrscheinlichste, weshalb jemand gehackt wird, der finanzielle Aspekt ist, aber du hast eben auch das Ego genannt. Nicht unbedingt nur, um zu sehen, wie viel Kohle kann ich damit machen, sondern ich will auch wissen, wie weit ich komme.
Christine: In dem Fall hat sich eine Ransomware verbreitet, das heißt Daten sind verschlüsselt worden. Ich weiß nicht, wer alles gezahlt hat. Das wird normalerweise nicht so publik gemacht. Es gibt wirklich Unternehmen, die zahlen dann bis in die Millionenbeträge, damit sie den elektronischen Schlüssel kriegen, um ihre Daten wieder zu dechiffrieren. Damit sie sie wiederverwenden können. Das hatten wir im September im Jahr 2020 in einem Krankenhaus. Da ist es natürlich fatal, wenn alles verschlüsselt ist, kein einziges medizinisches Gerät mehr geht, dann muss die Klinik die Patienten nach Hause schicken und ist völlig handlungsunfähig. Da muss man schon einfach noch mehr machen und das Problem ist, dass auch diese Verteidigungsmaßnahmen teuer sind unter Umständen. Du musst entweder mehr Personal einstellen, deine Server von Grund auf neu organisieren oder vielleicht auch die eine oder andere Technologie einsetzen, die Sinn macht. Du musst dir Beratung holen, jemanden wie mich zum Beispiel, und es kostet halt Geld. Da sagen viele “mich trifft’s ja nicht” oder “so schlimm wird’s schon nicht sein”. Wir hören jetzt immer mehr auch Vorträge von Unternehmensführern, die sagen “ich hab’s echt unterschätzt und als es uns erwischt hat, waren wir quasi drei Monate arbeitsunfähig oder wir mussten zwei Wochen lang 2000 Mitarbeitende in ganz Europa nach Hause schicken.” Allein was das kostet, kann man sich ausrechnen. Wenn man dann in Prozesse und Beratung im Vorfeld investiert, ist es in jedem Fall einfach günstiger, ist so. Es trifft einen nachher nicht so hart.
Anne: Da macht man sich dann natürlich schon Gedanken. Gerade das Beispiel mit dem Krankenhaus, da stand sicherlich dahinter, schnelles Geld zu machen, wo dann Menschenleben dranhängen und dann sind wir schon ganz schnell wieder beim Transport. Wenn mal ein Zug ausfällt, das will man sich nicht vorstellen. Da kann ich dann wirklich nur hoffen, dass die Sicherheitsmaßnahmen davor auch ergriffen wurden, so etwas vorzubeugen.
Christine: Ich kann mich noch erinnern bei der Bahn, dass ich am Bahnhof stand und dann war die Anzeige an diesem Zug, weil da fielen auch ganz viele Züge aus, wobei ich nicht mehr weiß, ob das in diesem Zusammenhang stand, stand an der Anzeige: “Es fährt ein Zug nach nirgendwo”. Da dachte ich mir, das ist auch eine Einstellung, wenn sowas passiert, mit Humor damit umzugehen. Das sind die die netten Momente, die man dann erlebt.
Das andere, was ich Unternehmen auch ganz oft sage: Ihr müsst euch das vorstellen wie mit der Feuerwehr. Ihr ruft die 112 an, da ist dann jemand am Telefon, ihr könnt sagen, was los ist. Dann rücken die aus. Die sind geschult, die haben top Fahrzeuge, haben Werkzeug und können dann einfach richtig schnell verhindern, dass ein Brand übergreift oder ein Haus komplett abbrennt. Die sorgen dafür, dass die Menschen in Sicherheit gebracht werden. Aber irgendjemand muss das zahlen. Irgendjemand zahlt dieses Auto, die Ausbildung dieser Menschen und genauso müssen Unternehmen eigentlich Cyber Security auch sehen. Ich muss gewisse Dinge vorhalten, damit ich im Notfall einsatzbereit bin. Das kommt nicht von selber.
Anne: Gerade das kommt nicht von selber, wenn wir das auf die heutige Situation übertragen: Homeoffice. Das wird immer als selbstverständlich angesehen. Ich gebe meinen Mitarbeiter:innen einfach mal das Equipment und dann läuft das schon. Also ich persönlich musste sehr oft schon mein Bild einfach in der Zoomkonferenz ausstellen, weil mein Internet komplett überlastet war, wenn wir hier zu zweit zu Hause sitzen mit Videokonferenzen mag man sich das gar nicht ausmalen. Das ist jetzt ein Luxusproblem. Was ich persönlich tatsächlich bisher nicht überdacht habe, war, dass ich mit meinem Arbeitslaptop auf mein privates Internet zugreife. Das tu ich genauso mit meinem privaten Laptop. Darüber guck ich mir Filme an, darüber zeige ich meinem Kind Bilder von der Familie. Diese ganzen Geschichten passieren alle unter einem Zugang und in meinem privaten Raum, wo sich dann Beruf und Privates überschneiden. Was passiert denn da, in diesem Raum, wo sich das überschneidet?
Christine: Du solltest auf jeden Fall gucken, dass du privat und beruflich trennst vom Zugang. In der Regel wird es gemacht über einen so genannten Virtual Private Network Zugang, VPN-Zugang, den du zu deiner Firma kriegst. Das heißt, du hast auf deinem Firmenlaptop eine kleine Softwarekomponente, meistens mit einem Schloss oder Symbol. Da klickst du drauf und dann ist es so konfiguriert, dass du über deinen WLAN-Router ins Internet durch den sogenannten Tunnel gehst, bis zu dem Server in deinem Unternehmensnetzwerk. Da gehen die Daten, die von diesem Laptop gehen, eben durch diesen Tunnel. Dann musst du ein bisschen darauf achten, wie viel Privatnutzung erlaubt ist. Wenn du natürlich jetzt anfängst, dann über deinen Firmenlaptop privates Onlineshopping zu machen, wird es vielleicht schon kritisch. Je nachdem, ob die Firmenpolicen das erlauben. Man sollte sich wirklich damit beschäftigen, welche Regelwerke gelten für mich im Umgang mit dem Internet, mit der E-Mail, vielleicht auch mit dem Telefon, wo muss ich denn die Daten abspeichern? Denn wenn ich die lokal auf dem Laptop speichere und der Laptop geht kaputt und die Festplatte raucht mal ab, wenn man jetzt im Homeoffice arbeitet, dann sind halt die Daten weg. Wenn ich die aber zentral übers Netz speichere, dann habe ich wieder das Problem, dass es so lange dauert, bis alles abgespeichert ist. Das sind wirklich reale Probleme.
Ich kenne nicht wenige, die in der ersten Phase der Corona Pandemie ihr Internet aufgerüstet haben aus dem Grund, weil beide Partner und die Kinder dann noch mit dem Homeschooling zu Hause waren und dann reicht halt die Bandbreite überhaupt nicht.
Was man nicht machen sollte, ist mit einem sogenannten RDP Protokoll auf den Firmenrechner zu zugreifen. Das ist ein Windows Protokoll, das leider sehr angreifbar ist. Wir hatten auch in der ersten Pandemiephase viele Angriffe, die auf dieses Protokoll abgezielt haben. Da haben manche Firmen richtig gelitten. Es sollte schon eine echte, richtig gute verschlüsselte Verbindung sein. Da gibt es gute Technologien. Die sollte man als Unternehmen unbedingt einsetzen. Das ist tatsächlich sehr wichtig. Bei der Privatnutzung einfach gucken, dass du trennst. Einen Satz, den ich immer sage, ist: “Bitte keine Spiele auf dem Firmenlaptop. Weil man das für die Kinder manchmal macht. Und dann lädt man da was runter, aber oft ist in Spieleupdates oder In-App-Käufen auch Schadsoftware enthalten und dann hast du den Salat. Wenn du ans Firmennetz angebunden bist, auch über VPN, kannst du immer Schadsoftware verbreiten, wenn die nicht bekannt ist. Deswegen ist es besser, das zu trennen und ein separates Gerät zu nehmen, wo das Kind dann spielen und seine Sachen machen kann.
Anne: Jetzt hast du sehr viele Gefahren für das Unternehmen geschildert. Habe ich dann auch für mich Gefahr, wenn ich über den Firmenrechner mein privates Netzwerk nutze?
Christine: Solange du den Tunnel hast, eher nicht. Da sieht das Unternehmen deine Daten ja nicht. Wenn du deinen Privatrechner nutzt, sieht’s anders aus. Da schickst du mehr Informationen mit, aber die meisten haben ja einen Laptop nach Hause mitgekriegt in der Regel.
Es gab im Juli einen Hack bei Twitter. Da hat Homeoffice eine Rolle gespielt. Da haben so ein paar Hacker die Konten von Barrack Obama, Elon Musk und anderen verwendet, um eine Empfehlung abzugeben, dass man jetzt unbedingt in Bitcoin investieren sollte. Der hat da mal locker in vier Tagen 120.000 Dollar verdient. Die Ursache für diesen Hack war eine Situation im Homeoffice. Und zwar war ein Twitter-Administrator – ein IT-Administrator – im Homeoffice und ist über einen Kanal angechattet worden, wie von einem Kollegen. Der hat praktisch gedacht, es ist ein Kollege aus dem Unternehmen. Twitter hat circa 3500 Mitarbeitende weltweit. Das heißt relativ viele. Da kennst du nicht alle persönlich. Dann ist dieser Kollege für ein internes Tool freigeschaltet worden und ist so an diese Passwörter gekommen, mit denen er dann die Accounts verändern konnte. Das waren praktisch Administratoren-Accounts. Diese Accounts haben in der Regel sehr weitreichende Rechte. Die können Datenbanken löschen, die können alles Mögliche machen. Deswegen hat man für Administratoren normalerweise auch Regeln, dass die besonders sorgsam mit ihren Accounts umgehen. Es kam in der Nachbearbeitung heraus, dass Twitter ungefähr 1000 Mitarbeitende hatte, die wirklich weitreichende Accountzugriffe hatten. Jetzt haben die das natürlich inzwischen geändert. Die haben eine Frau eingestellt als CISO, als Chief Information Security Officer, eine sehr patente, kompetente Frau, die jetzt da, glaube ich, mal richtig gründlich aufräumt. Auch die Prozesse angeht. Das ist gut und es ist auch gut, dass sie offen damit umgegangen sind. Dass sie auch gesagt haben, ja wir haben Fehler gemacht, wir lernen jetzt gerade und wir ändern jetzt Dinge. Das ist auch der Weg für Unternehmen, dass man aus solchen Dingen laufend lernt, die auch nicht verdeckt, sondern offensiv damit umgeht und Dinge verbessert. Das ist der Weg.
Von daher muss man im Homeoffice schon auch genau hingucken, wer schickt mir denn da eine Mail? Ist die Mail wirklich von meinen Kollegen oder Kolleginnen? Und wenn ich unsicher bin, lieber nochmal nachfragen, bevor man sie öffnet. Leider sind diese Phishing Mails, wo dann die Links auf die Schadsoftware drin sind, sehr sehr gut gemacht inzwischen. Man muss wirklich genau hingucken. Es ist nicht einfach und deswegen sage ich immer: guck da auch wieder, was gibt es für Regeln im Unternehmen? Wenn ich dann doch mal draufklicke, dann muss ich nur wissen, wo muss ich das jetzt hin melden? Ruf ich eine Hotline an? Haben wir eine Mailadresse, an die ich die Mail weiterschicken kann? Oder, wenn mein Rechner verschlüsselt ist, muss ich den Stecker ziehen und in die Firma gehen, weil dann ist der arbeitsunfähig? Aber solche Dinge passieren im Eifer des Gefechts. Gerade im Homeoffice, wo die Aufmerksamkeit begrenzt ist, mit Homeschooling und Partner und Haushalt und es klingelt an der Tür. Da kann das schon mal aus Versehen passieren.
Anne: Diese Notfallliste, was mache ich denn, wenn das passiert, ist ein guter Hinweis. Die Komplexität der Dinge ist wirklich etwas schwer zu greifen, wenn man damit noch keine Berührungspunkte hatte, aber so an sich ist es machbar und ich finde, das ist das Schöne. Was du schilderst, ist für die Unternehmen machbar. Selbst für eine Regierung ist es machbar, sich zu schützen und genauso für mich als Privatperson ist es machbar. Ich muss halt nur den richtigen Plan einmal aufrufen und auch regelmäßig mal drauf gucken. Der Pflicht kann sich keiner entnehmen.
Christine: Bei Cyberluchs haben wir Kurse in Planung. Der erste ist jetzt draußen. Da geht es viel um Browser und WLAN-Router und generell wie das Internet funktioniert. Beim zweiten geht’s noch mal konkreter rein ins Online-Einkaufen und auch bisschen schon um Notfallkoffer packen. Beim dritten Kurs werden wir uns Allgemeine Geschäftsbedingungen genauer vornehmen.
Anne: Genau, Cyberluchs, das werden wir auch in den Shownotes einfügen: Was kann ich mir darunter vorstellen?
Christine: Das ist mein zweites Unternehmen. Mit meinem ersten berate ich Unternehmen und das zweite Unternehmen habe ich mit einem Freund zusammen gegründet, weil ich dieses Thema gerne ganz normalen Internetnutzern näherbringen möchte, egal welchen Alters. Weil wir alle manchmal viel zu blauäugig und naiv mit diesen Dingen umgehen. Eben weil es so einfach ist, wie du das eben auch jetzt erlebst, es sind nicht superkomplizierte Dinge und es ist auch nicht super viel Technik. Ja es ist etwas Technik, aber manchmal muss man Technik auch so erklärt kriegen, dass man einfach versteht, wie es funktioniert. Dann kann man damit auch sehr gut umgehen und sich leicht schützen. Das ist das Ziel von Cyberluchs. Wir nennen es inzwischen Cybersecurity für jeden oder für dich persönlich, weil wir einfach sagen, wir wollen, dass die Menschen mehr wissen. Und das sind diese Onlinekurse. Im Moment ist das das Angebot. Ich schreibe auch Beiträge zu so Sachen, die uns im privaten Alltag beschäftigen und was das mit Cybersecurity zu tun hat, ein Lexikon, das versucht, diese Begriffe zu erklären. Wir denken noch über weitere Angebote nach. Da kommt im nächsten Jahr noch einiges mehr. Auf jeden Fall erstmal die drei Kurse und mal sehen, wo der Bedarf noch liegt. Eins unterscheidet unser Angebot von anderen in dem Bereich: Wir bieten auch die Begleitung an, das heißt, es gibt zu dem Kurs eine Gruppe, wo man sich trifft, und da kann man dann auch Fragen stellen und wenn jemand sagt: “Geh mal mit mir durch meinen Router durch, meinen WLAN-Router, wo find ich da was. Was können wir da sicherer machen? Dann stehe ich da auch für individuelle Beratung zur Verfügung.
Anne: Sehr schön, finde toll, dass es da auch nicht auf diesen höheren Sphären der Unternehmenssicherheit bleibt, sondern auch in die Privathaushalte reinkommt und dass man die Berührungsangst damit auch einfach aus dem Weg räumt. Coole Initiative, Christine. Auf jeden Fall hast du mir die Berührungsangst erstmal genommen. Ich hoffe auch unseren Zuhörer:innen, aber ich bin mir ganz sicher, dass da auf jeden Fall auch was angekommen ist. Sehr spannende und gute Impulse, die du gesetzt hast, die mich auf jeden Fall auch zum Nachdenken angeregt haben, was ich jetzt zu Hause noch einmal anfassen muss. In dem Zusammenhang vielen Dank für das spannende Interview.
Christine: Ja, sehr, sehr gerne.