Interview mit IT-Sicherheitsexperten Mark Semmler über Gefahren und Fallstricke im weltweiten Netz
Binzen - In der Reihe „Meet & Talk“ des „reforums“ in Binzen geht es am Donnerstag, 5. März, um Informationssicherheit. Unter der Überschrift „Ein Hacker redet Klartext“ wird Mark Semmler nicht nur live demonstrieren, wie Nutzer attackiert werden, sondern auch zeigen, wie man sich mit geringem Aufwand schützen kann.
Mark Semmler arbeitet seit mehr als 25 Jahren als Penetrationstester, Hacker und Sicherheitsberater. Im Gespräch mit Alexandra Günzschel gibt er Einblicke in seine spannende Tätigkeit.
Herr Semmler, machen Sie eigentlich Online-Banking?
Absolut! Das kann man heute machen, wenn man ein paar Vorsichtsmaßnahmen beachtet.
In der Vergangenheit haben die Banken Riesenmist gebaut. Mit Schadsoftware konnten Überweisungen per TAN-Nummer so manipuliert werde, dass die Bank die geänderte Version sah, der Kunde aber weiterhin die richtige Eingabe übermittelt bekam.
So einfach ist das heute nicht mehr. Generell gilt aber der Grundsatz: Erst denken, dann klicken.
Was sollte man sonst noch beachten?
Zwei Dinge müssen einem bewusst sein.
Da draußen gibt es eigentlich nichts umsonst. Für kostenlose Dienste wie zum Beispiel Facebook zahlen wir mit unseren Daten.
Und da draußen sind viele Stinkstiefel unterwegs. Früher mussten die Nepper, Schlepper und Bauernfänger noch um die Dörfer ziehen. Heute sitzen sie bequem am Schreibtisch im Büro.
Nutzen Sie selbst Dienste wie Facebook oder Whats App?
Nein, gewisse Dienste nutze ich prinzipiell nicht. Ich habe keine Lust, im Netz transparent zu sein. Den Nutzern sollte klar sein, dass sie in sozialen Netzwerken getrackt werden – ihre politische Einstellung, ihre Vorlieben und Krankheiten.
Und solche Daten werden auch verkauft. Dafür gibt es einen legalen und einen halblegalen Markt.
Was machen die Käufer mit diesen Daten?
Man kann zum Beispiel dafür sorgen, dass eine bestimmte Werbung nur ganz bestimmten Leuten angezeigt wird.
Auch die öffentliche Meinung lässt sich unter Umständen beeinflussen, wenn man an bestimmte Rohdaten herankommt und daraus seine Schlüsse zieht.
Wie sieht eigentlich Ihr Arbeitsalltag aus?
Ich bin in der glücklichen Lage, dass ich mir meine Kunden aussuchen kann. In diesem Jahr habe ich bereits mehreren Unternehmen dabei geholfen, ihre IT wieder zu bekommen – darunter auch große Mittelständler.
Die Unternehmen hatten sich Schadsoftware eingefangen, die Angreifer betraten die Netze, sabotierten die Datensicherung und verschlüsselten sämtliche Daten. Von einem Tag auf den nächsten stehen die Firmen dann ganz ohne Daten da, und es werden Lösegelder gefordert, die bis in den Millionenbereich gehen.
Das geht gerade reihenweise so. Man hat es mit sehr gut organisierten Gruppen zu tun, die auf diese Art riesige Umsätze generieren. Da wird Geld verdient wie blöde, und die betroffenen Firmen gehen damit nur ungern an die Öffentlichkeit, weil es ihnen wahnsinnig peinlich ist.
Wie können sich Firmen davor schützen?
Heute ist so gut wie kein Unternehmen und keine Organisation angemessen auf den Ernstfall vorbereitet. Viele Mittelständler sind komplett handlungsunfähig, wenn sie Opfer eines Angriffs werden.
Hier komme ich als so eine Art Bodyguard ins Spiel, schaue mir sozusagen das Anwesen an, um zu beurteilen, welche Bedrohungslage vorliegt und wie man sich schützen muss. Ziel ist es, Angriffe abzuwehren und Firmen so weit vorzubereiten, dass sie auch im Ernstfall weiterarbeiten können. Auch IT ist ein Betriebsmittel, um das man sich kümmern muss.
Was sind die größten Fehler, die Laien machen?
Updates werden nicht eingespielt, es ist bei Microsoft Windows kein Virenscanner vorhanden und es wird bedenkenlos auf – entschuldigen Sie – jeden Mist geklickt.
Die drei wichtigsten Dinge sind aber wohl Datensicherung, Datensicherung und Datensicherung. Es sollten alle Geräte in angemessenen Abständen gesichert werden, gerade auch das Smartphone, ansonsten geht im Ernstfall vieles flöten.
Die gesicherten Daten sollten auf einer externen Festplatte gespeichert sein, die im Normalbetrieb nicht am Rechner angeschlossen ist, damit Schadsoftware nicht darauf zugreifen kann.
Kann es 100-prozentige Sicherheit überhaupt geben?
Nein, schon per definitionem nicht. Das ist nicht anders als zum Beispiel im Straßenverkehr. Wichtig ist, dass man für den Fall der Fälle vorsorgt und nicht fahrlässig handelt.
Und in sozialen Netzwerken sollte man nichts von sich preisgeben, was man nicht auch mit Namen, Foto und Adresse auf die Litfaßsäule in seiner Gemeinde hängen würde.
Info: Vortrag und Livedemo finden am Donnerstag, 5. März, ab 18.30 Uhr im „reforum“ in Binzen, Am Dreispitz 6, statt. Die Teilnahme ist kostenfrei. Es können Fragen gestellt werden. Für einen Austausch bleibt auch im Anschluss an den Vortrag noch Zeit.
