CW: Auf Ihrer Visitenkarte steht prominent, Sie seien Hacker. Ist das für Unternehmen vertrauenerweckend?
Porada: Ich tituliere mich als Ex-Hacker, weil ich in meiner Jugend einige Dinge gemacht habe, die man Jahre später als Hacken bezeichnet haben würde. Seit ich 19 Jahre alt bin, beschäftige ich mich intensiv als Berater nur noch in Sachen Sicherheit für Unternehmen. Ich habe allerdings festgestellt: Stelle ich mich hin und sage, ich bin Sicherheitsberater, dann hört keiner hin, das interessiert niemanden. Sage ich, ich bin Hacker, kommen sie alle und wollen mal sehen, was das für einer ist.
CW: Das Bild der Hacker und deren Betätigungsfeld haben sich im Laufe der Jahre dramatisch gewandelt.
Porada: Es gibt drei Typen von Hackern: Zum einen die Kids. Die stellt sich das landläufige Vorurteil mit langen Haaren vor, eventuell verhaltensgestört, den ganzen Tag vor dem Rechner, mit Profilneurose, die einfach mal einen Virus schreiben wollen, um zu zeigen, dass sie noch am Leben sind. Die stören zwar etwas, aber in aller Regel sind sie harmlos.
Dann gibt es aber die kriminellen Organisationen, die sehr professionell ans Werk gehen. Die sind auch sehr gut organisiert, unter einander sehr gut vernetzt. Denn es gibt praktisch niemanden, der alles kann. Es gibt auch bei den Hackern keine Wunderknaben, die so perfekt sind, dass sie jedes System knacken können. Also arbeiten sie zusammen. Das bedeutet, der eine ist beispielsweise fit im Programmieren, der andere kennt sich bei Datenbanken perfekt aus. Diese Leute sind untereinander vernetzt, sie sind absolut aktuell informiert über ihre Foren und Internetseiten. Und sie arbeiten organisiert zusammen, um Geld zu machen. Und es geht definitiv um sehr viel Geld. Da geht es um Millionenbeträge, die diese Leute tagtäglich ausheben.
Die dritte Kategorie von Hackern sind staatliche Organisationen überall in der Welt - das muss man klar sagen. Die betreiben darüber ihren Cyber-War. Die betreiben da auch jede Menge Wirtschaftsspionage. Das ist ja nicht überall wie in Deutschland verboten. Unter anderem die USA etwa sagen klipp und klar, wie viele Millionen sie jedes Jahr verdient haben durch auch online abgehaltene Wirtschaftsspionage. Die Amerikaner sagen übrigens auch, so habe ich es jedenfalls gelesen, dass sie in einem Cyber-War den Chinesen weit unterlegen sein werden. Wenn die tatsächlich angreifen, hätten die Amerikaner keine Chance, solch eine Attacke abzuwehren.
Gerade in China werden definitiv Cyber-Leute ausgebildet. Natürlich haben die Amerikaner das auch gesagt, weil sie vom Weißen Haus mehr Geld haben wollen für ihre Belange. Da muss man sicher auch kritisch sein bei solchen Aussagen.
Opfer ohne es zu wissen
Viele Firmen sind bezüglich des Sicherheitsthemas sehr nachlässig. Das liegt auch daran, dass sie - und das gilt natürlich auch für Privatpersonen - es gar nicht mehr merken, dass sie schon längst Opfer einer Hackerattacke geworden sind. Man sieht heutzutage einfach nicht mehr, ob man angegriffen worden ist oder nicht. Die Möglichkeiten, seine Spuren in der IT-Welt zu verschleiern, sind enorm. Der Effekt ist, dass sich Menschen in trügerischer Sicherheit wiegen, denn es ist ja nichts passiert. Das aber ist ein großer Trugschluss. Es gibt heutzutage definitiv Möglichkeiten, Cyber-Angriffe zu starten, die keine Spuren hinterlassen. Da können Sie nichts nachvollziehen, geschweige denn beweisen. Das ist eine sehr gefährliche Sache.
CW: Apropos Cyber-War: So, wie es aussieht, sind herkömmliche Waffen, egal ob Atombomben, Panzer oder sonst was hoffnungslos veraltet. Mit Cyber-War kann man doch sehr anonym, sehr effizient und sehr elegant ein komplettes Wirtschaftssystem in die Knie zwingen.
Porada: Ja, das stimmt und das wissen die Regierungen auch. Deshalb werden ja solche Cyber-Spezialisten ausgebildet. Aber man muss auch sagen: Es ist alles andere als leicht, solche Leute zu finden und auszubilden. Da Know-how aufzubauen, ist ein sehr komplexes Thema. Es ist einfacher, jemanden an der Waffe auszubilden und den dann über die Grenze zu schicken, damit er so viele Menschen wie möglich tötet, als Spezialisten zu Cyber-Wariors auszubilden. Solche Leute müssen sich ständig auf dem Laufenden halten zu den neuesten Techniken.
Und ja, es ist absolut richtig: Man kann komplette Länder ausschalten mit Cyber-Attacken. Es gab in den USA den Fall, dass 52 Millionen Menschen einen Stromausfall erlitten. Grund: Eine Cyber-Attacke. Es lag die Vermutung nahe, dass Chinesen sich eingehackt hatten, um die Stromversorgung zu unterbrechen, um zu testen, wie weit sie gehen können. Die Vernetzung der Systeme in der Welt ist ja schon soweit vorangeschritten, dass man hier das Schlimmste befürchten muss. Da stehen einem die Haare zu Berge.
Online-Banking: Keine sichere Bank
CW: In Ihren Vorträgen zeigen Sie immer wieder, dass Online-Banking alles andere als sicher ist. Banken behaupten das genaue Gegenteil. Was stimmt denn nun?
Porada: Es gibt kein sicher oder unsicher. Es geht immer nur um Wahrscheinlichkeiten. Die Frage ist einfach: Wie hoch ist der Aufwand, um mit Attacken etwas zu erreichen.
CW: Sie haben in Ihrem Vortrag auf der CeBIT auch dargelegt, dass Hacker einem Anwender vorgaukeln, er würde online mit seiner Bank kommunizieren. In Wirklichkeit befindet er sich aber auf einer ganz anderen Seite.
Porada: Das ist richtig: Man kann einen Computer so umbiegen, dass er gar nicht mehr mit der Bank kommuniziert, sondern mit einem Hacker-Server. Um sich davor zu schützen, müsste der Anwender in der Lage sein, solch eine Attacke zu erkennen. Die Bank sagt, das könnte man anhand eines Zertifikats. Wenn ich aber in meinen Vorträgen das Zertifikat zeige und das Publikum frage, ob sie dieses Zertifikat lesen können, meldet sich in aller Regel niemand. In diesem Zertifikat bescheinigt mir eine Vertrauensperson, dass ich bei dieser oder jener Bank gelandet bin. Ich frage dann die Leute: "Wer von Ihnen kennt überhaupt die Vertrauensinstanz?" Keiner kennt die. Wenn ich aber die Vertrauensinstanz nicht einmal kenne, wie soll ich ihr dann vertrauen?
Wir haben in Windows über hundert Certification Authorities (CA) mit drin, die einem bestätigen, dass diese Zertifikate gültig sind. Nur sind diese CAs teilweise in verschiedenen Ländern und wir wissen nicht, wer dahinter steckt. Das ist bei weitem nicht vertrauenswürdig. Und wer soll bei solch einer Situation noch in der Lage sein zu erkennen, ob sein Rechner kompromittiert ist oder nicht? Wer dann seine PIN und seine TAN eingibt, der macht dies vielleicht auf der Seite eines Hackers. Und da kann es sehr gut sein, dass sein Konto leer geräumt wird.
Kleiner Umweg zur Hackerseite
CW: Jetzt könnte man ja meinen, dass man auf der sicheren Seite ist, wenn man die offizielle Internetadresse der Bank der Wahl eingibt. Da landet man doch auch tatsächlich bei der Deutschen Bank, einer Stadtsparkasse etc. Wie ist es möglich, dass man quasi schon beim Versuch, auf der Homepage der Bank zu landen, bewusst umgeleitet wird?
Porada: Wenn Sie in Ihrem Internet-Browser eine Adresse eingeben, machen Sie zunächst einmal eine Anfrage bei einem Domain Name Server (DNS). Der löst Ihnen diese Adresse auf und sagt, wo Sie hingehen. Das passiert automatisch. Das Problem ist, dass diese Server teilweise manipuliert sein können. Dort kann dann eine Umleitung stattfinden und ich lande auf einem ganz anderen Server als dem der jeweils gewünschten Bank.
Darüber hinaus kann es sein, dass bereits mein Rechner mich auf einen anderen Rechner weiterleitet, bevor die Anfrage an den DN-Server überhaupt rausgeht. Dann kommt man gar nicht erst auf das Adressverzeichnis des DN-Servers, sondern der Rechner leitet einen direkt auf den Hacker-Server.
Das Problem ist, dass dieser Hacker-Server einem exakt die gleiche Anmutung anbietet, wie es die jeweilige Bank mit ihrer Homepage tut. Da gibt es nur marginale Unterschiede, die man erkennen können müsste. Sie können da nicht mehr unterscheiden, was Original und was Fälschung ist.
Was kann der Anwender tun?
CW: Wie kann man denn als Online-Surfer solche Klippen umschiffen?
Porada: Man müsste Transaktionen selber signieren und kombinieren mit den inhaltlichen Daten, um das Verfahren sicherer zu machen. Solch ein Verfahren findet aber meines Wissens nach - zumindest in Deutschland - noch nicht statt.
CW: Alles, was Sie sagen, hört sich so an, als ob Gunnar Porada Online-Banking nicht empfiehlt.
Porada: Nein, ich möchte Online-Banking nicht mehr missen. Ich kann aber im Schadensfall meiner Bank auch nachweisen, dass ich Opfer bin. Beziehungsweise kann ich denen zeigen, was man tun muss, um illegal Geld via Online-Transaktion abzubuchen.
Ich weiß, gerade im Bankenumfeld gibt es viele Fälle, da tut es geradezu weh, wie viel Geld illegal abgebucht wird. Ich weiß auch, dass Banken nach Alternativen suchen, die das Verfahren sicherer machen. Aber das dauert.
CW: Was macht Herr Porada, um für sich Online-Banking sicher zu machen?
Porada: Ehrlich gesagt mache ich genau das, was meine Bank mir sagt. Ich achte auf die Zertifikate. Ich habe meine Konten allerdings auch im Ausland, weil ich dort lebe. In der Schweiz gibt es andere Verfahren, die ein Stück weit sicherer sind als die in Deutschland.
CW: Was sollte, müsste der deutsche Onine-Banking-Kunde tun?
Porada: Da muss ich zunächst einmal den Verbrauchern ins Gewissen reden: Ich höre von Banken immer wieder, dass sie verstehen, sichere Verfahren einführen zu müssen. Aber der Kunde will das nicht zahlen. Und hier müssen sich Menschen einfach klar machen, dass Sicherheit Geld kostet. Das heißt, der Kunde muss für sein Online-Banking-Kit schon etwas investieren. Nur ein Beispiel von verschiedenen Möglichkeiten: Für eine Smartcard mit Klasse-3-Reader und Display, der die Transaktion selber signiert, muss man schon bis zu 100 Euro bezahlen.
CW: Das ist vielleicht nicht für jeden lohnenswert, insbesondere, wenn ich nur geringe Summen bewege.
Porada: Das stimmt schon. Aber ich kann mit der Bank auch alternativ vereinbaren, dass es ein Transaktionslimit gibt, das nicht überschritten werden darf. Dann wird im Schadensfall nur bis zu dieser Grenze Geld abgeschöpft. Aber Kunden sollten nicht von vornherein sagen, dass sie nicht bereit sind, Geld für Sicherheit zu zahlen.
Solch eine Smartcard-Lösung hätte noch den Vorteil, Sicherheit auch dann zu bieten, wenn Sie bereits Viren auf dem Rechner haben. Da gäbe es keine Chance für die Viren, den Transaktionsvorgang zu manipulieren. Wenn schon Viren auf dem System sind, würde die Transaktion nicht mehr ausgeführt. Im schlimmsten Fall würde das Online-Banking dann abgebrochen, aber zumindest wäre das Geld noch da.
CW: Welche Banken bieten solch einen Klasse-3-Reader an?
Porada: Meines Wissens und meinen Erfahrungen nach bietet - zumindest in Deutschland - noch keine Bank einen Smartcard-Reader der Klasse 3 an, der Transaktionen auch tatsächlich in einem externen Gerät signiert, das zudem über ein Display verfügt. Wichtig: Es geht nicht nur darum, eine Smartcard zu haben, um eine Verschlüsselung zu realisieren. Diese Smartcard verschlüsselt alles, was man ihr zur Transaktion vorgibt - also auch einen Trojaner. Dessen Daten sehe ich dann aber nicht mehr.
Ich brauche also unbedingt ein externes Hardwaregerät mit einem Display, auf dem ich tatsächlich die Transaktion sehe. Habe ich nur ein Zusatzgerät ohne Display, zeigt mir der PC-Monitor nur kompromittierte Inhalte an. Übrigens gilt dieses Problem natürlich auch für Handys, über die ich Online-Banking betreibe.
Es gibt ein Schweizer Unternehmen, das einen Transaktions-Signing-Token anbietet, der an den Monitor gehalten wird und der so die Transaktion signieren kann. Es gibt darüber hinaus noch diverse Sicherheitsverfahren, die alle mehr Sicherheit bieten.
CW: Sind Internet-Anwender Übelwollenden heute hilflos ausgeliefert?
Porada: Ja, das ist meiner Beobachtung nach so. Und das weitere Problem ist: Sie merken gar nicht, wenn Sie Opfer eines Angriffs geworden sind. Viele - übrigens auch Firmen - glauben, sie sind noch nicht Gegenstand von Attacken geworden, dabei haben sie es nur nicht gemerkt. Und es lässt sich auch nur schwer rückverfolgen, was da passiert ist. Denn man kann seine Spuren im Web komplett der Zuordnung entziehen. Für Unternehmen wie für Privatpersonen heißt das, man muss sich ständig um die Sicherheit kümmern.
CW: Was bedeutet das beispielsweise für einen Privatanwender? Was muss er tun?
Tipps vom Sicherheitsexperten
Porada: Es ist hilfreich, wenn er sein System ständig patcht, aktuelle Signaturen auf den Virenscannern verwendet und dafür sorgt, dass seine Software immer auf dem neuesten Stand ist. Führen Sie immer alle Updates durch von Software, die sie benutzen. Sie sollten auch überlegen, nicht so viele Softwarepakete einzusetzen. Je mehr Programme Sie auf dem Rechner haben, desto mehr Einfallstore bieten Sie Hackern auch, in ihr System einzudringen.
CW: Wie gefährlich ist es, sich in öffentlichen WLANs einzuwählen?
Porada: Man sollte vorsichtig sein, wenn man glaubt, Geld zu sparen, weil man an einem öffentlich Platz ein kostenloses WLAN findet, etwa im Flughafen. Es kann sein, dass Sie sich im WLAN eines Hackers befinden, der einfach mal mitliest, was Sie so tun. Wenn Sie dann gerade Bankgeschäfte erledigen oder auch nur E-Mails verschicken, dann hat der Hacker zumindest mal so lange Ihre Passwörter abgegriffen, bis Sie sich neue zugelegt haben. Seien Sie also grundsätzlich sehr vorsichtig.
CW: Heute kann man sich auf völlig harmlosen Websites Malware einfangen, die sich heimlich und automatisch auf meinem Rechner installiert. Wenn ich nicht grundsätzlich Internet-abstinent sein will, wie kann ich mich denn gegen solche Gefährdungen schützen?
Porada: Für Unternehmen ist es schwer und als Privatperson hat man noch weniger Chancen. Es gibt einfach zu viele Angriffsmöglichkeiten - und es werden täglich mehr. Man kann etwa Javascripts in Bilder einbauen und nur durch das Ansehen eines Bildes werden bereits Javascripts ausgeführt.
Da sind natürlich die Webseitenbetreiber gefragt. Die sollten beispielsweise Web-Application-Firewalls (WAF) einbauen.
Wenn ich mir aber etwa diesen Markt ansehe, weiß ich, dass die wenigsten Menschen überhaupt verstanden haben, was solch eine WAF überhaupt macht. Geschweige denn, dass die sehr wenigen, die so eine WAF haben, diese auch scharf schalten. So sind sehr viele Websites unsicher und dienen Hackern als Verteilungsinstrument für ihre Schadsoftware. Deshalb kann ich mich beim Surfen im Internet infizieren, ohne dass ich auch nur das Geringste bemerke.
CW: Ist es nach allem, was Sie sagen, sinnvoll, sich mindestens zwei PCs zu halten: Einen hoch abgesicherten für Transaktionen und einen, bei dem es egal ist, wie verseucht er ist?
Porada: Ich garantiere Ihnen, das läuft darauf hinaus, dass Sie zwei infizierte Rechner haben und glauben, einer davon ist sicher. Nehmen Sie einfach folgende Situation: Ihr Browser hat eine Sicherheitslücke, für die es noch kein Patch gibt. Eine kurze Zeitspanne reicht, ihr System zu infizieren…
CW: … Sie reden von dem so genannten Zero-Day-Deployment, also der Tatsache, dass eine Sicherheitslücke bekannt wird - etwa in einem Betriebssystem - und noch am gleichen Tag nutzen Hacker dieses Einfallstor für Attacken.
Viren schließen Sicherheitslücken
Porada: Genau. Die Angreifer sind so dermaßen schnell, dass sie schon am nächsten Tag oder noch am selben diese Lücken ausnutzen und via Internet ohne Zeitverzug und quasi in Lichtgeschwindigkeit ihre Malware verbreiten. Und sind die Viren erst mal auf Ihrem Rechner, dann fangen die systematisch an, Ihren Rechner auszuhöhlen. Es gab schon Viren, die das System infizieren, dabei einen Check machen, welche Sicherheitslücken das System hat und diese Lücken dann schließen. Für sich selbst öffnet der Virus natürlich alle Scheunentore.
Sie haben da wenige Chancen, Ihren Rechner wirklich sicher zu machen. Natürlich können Sie Ihren Rechner immer wieder komplett neu aufsetzen, aber welcher Normalnutzer ist denn schon hierzu in der Lage?
CW: Woran erkenne ich, dass ein Hacker meinen Rechner zum Bot-Rechner umfunktioniert hat oder dass er infiziert ist?
Porada: Die Bot-Rechner-Thematik ist eine spezielle. Festzustellen, ob mein Rechner infiziert ist, ist beinahe unmöglich. Die Viren und Trojaner können sich sehr gut verstecken. Es gibt einfach sehr viele Prozesse, die auf einem Rechner laufen. Diese müsste man alle überwachen. Es gibt teilweise Tools, mit denen man das machen kann. Aber der Privatanwender dürfte damit überfordert sein. Nützlich kann es sein zu prüfen, wie viel Transfer der Rechner ins Internet schickt. Bei Windows kann man da auf das Verbindungssymbol unten rechts in der Taskleiste klicken und bekommt den Datenfluss angezeigt. Aber man kann sich auf diese Werte nicht allein verlassen. Sie können nur Anhaltswerte sein. Wenn der PC ständig langsamer wird, kann das natürlich auch ein Hinweis sein.