Cyber-Security-Experte Wieland Alge im Interview

Dr. Wieland Alge kennt die dunklen Ecken der Cyber-Kriminalität

Interview: Christoph Kristandl
Foto: Barracuda

Wie groß ist die Bedrohung der Cyber-Kriminalität bereits, wie können wir uns schützen und welche Herausforderungen kommen in Zukunft auf uns zu. Ein Gespräch mit Cyber-Security-Experte Dr. Wieland Alge.

Mehr Digitalisierung bedeutet auch mehr digitale Gefahr. Daten, Zugänge, Steuerungshoheit – die kollektive Vernetzung bietet viele Angriffspunkte. Die gute Nachricht: Als Privatperson braucht man sich darüber kaum Gedanken zu machen. Die schlechte: Weil hundertprozentiger Schutz unmöglich und die Sachlage bereits jetzt prekär ist.

Ein Gespräch wie ein Krimi, mit Cyber-Security-Experte Dr. Wieland Alge über …

  • die Geschäftsmodelle der Cyber-Kriminalität
  • die kleinen und großen Fische
  • die Bedrohung für Private, Staaten und Unternehmen
  • den ständigen Cyber-Kriegszustand
Klicken zum Weiterlesen

THE RED BULLETIN INNOVATOR: Herr Dr. Alge, wir sehen Entwicklungen wie Internet of Things (IoT), die Vernetzung unserer Häuser, Wohnungen, Autos etc. meist positiv. Müssen wir auch Angst haben?

DR. WIELAND ALGE: Dazu muss man sagen, das wir noch lange nicht so smart sind, wie wir vielleicht glauben. Der gesamte Smarthome-Bereich ist immer noch eine Spielwiese für Nerds, weil er noch keinen signifikanten Nutzen bringt. Das wird sich erst in den nächsten drei bis fünf Jahren durchsetzen, wenn sich durch komplette Pakete etwa die Energieeffizienz im zweistelligen Prozentbereich steigern lässt. Außerdem sind Sie als Privatperson wenig attraktiv. Ein solcher „Einbruch“ käme eher Vandalismus gleich, als Geschäftsmodell für Verbrecher hat das keine große Chance. 

Und wie sieht es mit dem Sammeln von Daten aus? Das wird sehr kritisch beäugt.

Auch hier muss man differenzieren. Auf der einen Seite haben wir Konzerne wie Amazon, wo es recht evident ist, wozu die Daten verwendet werden. Auf der anderen Seite gibt es Institutionen und Staaten, die sich gerne als die Guten darstellen und Daten auf Vorrat sammeln, ohne dass man genau weiß, was damit passiert. Das kann auch gefährlich sein, nehmen wir das Beispiel der USA. Mit dem Wechsel im Weißen Haus hat auch die Hoheit über die riesige Menge an gesammelten Daten den Besitzer gewechselt. Ein anderes Beispiel: Menschen vergessen viel, das ist ganz normal. Datenbanken aber vergessen nichts, kein Detail. Stellen Sie sich also vor, Sie kommen vor Gericht und der Staatsanwalt weiß mehr über Sie, als sie selbst. Nicht weil Sie etwas verheimlichen wollen, sondern weil Sie schlicht etwas vergessen haben. Da sehen Sie bei einer Befragung schnell alt aus.

Dr. Wieland Alge

- Vice President & General Manager der Region Europa, Naher Osten und Afrika beim IT-Security-Unternehmen Barracuda Networks

- Expertenmitglied des Datenschutzrats der österreichischen Bundesregierung

- Doktor der Naturwissenschaften, ehemaliger Lehrbeauftragter und wissenschaftlicher Mitarbeiter am Institut für Theoretische Physik der Universität Innsbruck

- Gründungsmitglied und CEO von phion AG

- 2008 ausgezeichnet als „Entrepreneur of the Year

Kann ich dem vorbeugen?

Keine Chance! Sie hinterlassen immer Spuren. Sie können sich der Illusion aus dem Film „Der Staatsfeind Nr. 1“ hingeben und sich abschotten wie Gene Hackman, das war es dann aber eben auch mit Ihrem sozialen Leben. Dann sind Sie jemand, den niemand kennt. Menschliche Interaktion basiert darauf, dass Sie relativ viel von sich preisgeben. Die Digitalisierung hilft uns dabei, diese Daten in großem Maße skalierbar und wiederverwertbar zu machen – nur liegen sie dann eben auch bei Dritten. Die Frage ist, wie groß der Preis für die schöne, neue Welt sein wird, in der Sie zum Beispiel nicht mehr selber Autofahren müssen. Ist es die totale Überwachung Ihres Aufenthaltsortes oder ihres Zustandes? Und können diese Informationen gegen Sie verwendet werden?

Wir werden tunlichst darauf achten müssen, dass der Staat, der die Regeln macht, sich selbst ständig beschränkt. Das ist nicht einfach, denn viele Menschen in politischen Spitzenpositionen sind Kontrollfreaks. Ein Umstand, der Vertreter meines Berufsstandes manchmal zu Kulturpessimisten macht.

Dr. Wieland Alge referiert am Security Day der FH St. Pölten über die Zukunft der IT-Sicherheit.

© Youtube // Fachhochschule St. Pölten

Kommen wir zurück zur Kriminalität. Wer agiert hier? Sind es Einzeltäter, Banden? Gibt es Auftragsattacken?

Es ist viel schlimmer. Dass digitale Kriminalität vor allem von einzelnen Hackern ausgeführt wurde, die eine Herausforderung suchten oder einfach etwas kaputt machen wollten, war ein Phänomen der frühen Internet-Ära. Vor etwa 15 Jahren entwickelte sich dann eine organisierte Industrie, die zunächst mit E-Mail-Spam Geschäft machte. Dann wurden lange Zeit vor allem Daten gestohlen und ohne große Interaktion damit weiterverkauft, das gibt es immer noch. Daten wurden die neuen Drogen, mit Handelsspannen von zehntausenden Prozent. In den letzten Jahren gab es aber noch einmal einen massiven Umschwung, eine wirkliche digitale Transformation der Kriminalität.

Wovon sprechen wir hier genau?

Digitale Erpressung. Sie ist heute eine der tragenden Säulen des „Multispartenkonzerns“ Mafia. Hier wird mit enormem Personal- und Ressourceneinsatz operiert. Das ist der Vorteil der organisierten Kriminalität: Sie kann Dinge, zu denen einzelne Personen nicht im Stande sind. Die meisten Einzeltäter und Gruppen werden schnell gefasst, weil sei keine Erfahrung mit den Methoden der Strafverfolgung haben. Die Mafia kennt diese genau. Sie weiß, wie man nachhaltig Geld erwirtschaftet und auch wie man es wäscht, um es ausgeben zu können. Die Mafia hat ihr Kern-Geschäftsmodell digital umgesetzt.

Können Sie uns ein Beispiel nennen?

„Locky“, ein CryptoLocker, der Daten verschlüsselt, war 2016 ein großer Fall. Man weiß bis heute nicht genau, wer es war und wie viel erwirtschaftet werden konnte, aber man vermutet dahinter eine Gruppe von 150 bis 400 Leuten, die ein richtiges Erpressungsimperium aufgebaut hatten. Innerhalb von 48 Stunden hatte man alleine 12.000 Unternehmen als „Kunden“ und der gesamte Ablauf war perfekt organisiert. Die Daten wurden verschlüsselt, man bekam eine Nachricht, dass man sie gegen Zahlung wieder freischalten könne. Es wurde auf mehrere Sprachen verhandelt und für den Fall, dass man noch offene Fragen hatte, gab es sogar eine Support-Anleitung. Und die haben solche Kampagnen im letzten Jahr fünf Mal durchgezogen.

Natürlich gab es Nachahmer, ein CryptoLocker ist programmiertechnisch nicht die Königsklasse. Diese Nachahmer waren aber nicht so gut strukturiert, die Freischaltung der Daten funktionierte nicht immer, die „Kundenzufriedenheit“ war nicht gegeben, weswegen viele gar nicht mehr bezahlt haben. Den Nachahmern fehlten die professionellen Strukturen und wenn Sie anfangen wollen, kriminell zu sein, haben Sie ein weiteres Problem: Die Konkurrenz, die großen Fische. Auf die sollten Sie vorbereitet sein.

Klicken zum Weiterlesen

Wie kann man sich gegen solche Erpresser schützen?

Backup, Backup, Backup. Als Privatperson können Sie von solchen Verschlüsselungsangriffen durchaus mitbetroffen sein. Es gibt natürlich Möglichkeiten, das Risiko zu minimieren, aber wenn jemand wirklich vorhat, sie anzugreifen, schafft er es auch. Am sichersten und einfachsten ist es, Ihre Daten zu sichern, auf einer externen Festplatte oder in einer Cloud. Das mag für viele eine Überwindung sein, weil sie ihre Daten nicht hergeben wollen, aber glauben Sie mir, in der Cloud von Apple, Google oder Microsoft sind Daten sicher besser aufgehoben, als auf Ihrem Rechner. Diese Konzerne können es sich nicht leisten, Daten und damit ihre Integrität zu verlieren.

Als Unternehmen müssen Sie Ihre Angriffsflächen versiegeln und sich technisch so absichern, dass Ihre Computer, Ihr E-Mail-Server und Ihre anderen IoT-Komponenten nur mit Ihnen kommunizieren. Ihre Things sollten sich wie Kinder verhalten: Die dürfen auch nicht mit Fremden sprechen, weil sie manipulierbar sind. 

Sicherheits-Tipps

Es gibt einen Grund, warum der Präsident der Vereinigten Staaten gebeten wird, kein Smartphone mit für uns alle selbstverständlichen Funktionen, wie Kamera, Mikrofon oder Browser zu verwenden. 

Es existiert kein hundertprozentiger Schutz davor, dass deine Geräte als kleine Spione verwendet werden, aber es gibt Möglichkeiten, wie du es den Angreifern schwieriger machen kannst.

- Roote/Jailbreake dein Smartphone nicht.

- Aktualisiere deine Geräte immer auf die neueste Version, besonders wenn das Update Sicherheitsfixes auflistet.

- Nur Apps aus legalen Stores herunterladen - iTunes oder Google Play

- Sei vorsichtig beim Öffnen von Anhängen oder Links in E-Mails. Stell sicher, dass du über solide E-Mail-Sicherheitslösungen verfügst. Mehr als 90 Prozent der Angriffe beginnen via E-Mail.

- Stell sicher, dass Websites mit dem gültigen Zertifikat gesichert sind und stöber nicht auf Websites herum, die du nicht kennst.

Welche Herausforderungen und Bedrohungen kommen da in Zukunft auf Unternehmen zu?

Die Kriminellen sind nicht dumm, sie suchen sich die Schlampigen aus. Das wird einen wahnsinnig hohen Selektionsdruck erzeugen, der viele Unternehmen vom Markt verschwinden und andere groß machen wird. Überleben werden die, die den Spagat zwischen Innovation und kontrolliertem, sicherem Vorgehen schaffen. Sich einhundertprozentig zu schützen ist unmöglich, aber die brutale Wahrheit ist: Um zu überleben, müssen Sie sich nur besser verteidigen als die Konkurrenz. Das ist wie mit den zwei Wanderern und dem Bären – Sie müssen nicht schneller sein als der Bär.

Dr. Wieland Alges Sicht zum Zeitalter der digitalen Transformation und warum die große Ära der Firewalls angebrochen ist.

© Youtube // Barracuda NextGen Firewall

Wird Cyberdefense ernst genug genommen?

Viele Unternehmen sind darauf nicht vorbereitet, deswegen wird es für Sie schwer werden. Richtig interessant wird die ganze Sache ja, wenn es gelingt, Systeme oder Maschinenanlagen zu übernehmen und zu kontrollieren. Automobilhersteller beschäftigen sich mit dramatischen Szenarien rund um das autonome Fahren. Stellen Sie sich vor, die Mafia sorgt für ein paar Unfälle, lässt ein Auto etwa ein Kind überfahren und macht den Fahrer zum Komplizen, der das mitansehen muss. Der betroffene Autohersteller würde jede Summe zahlen, um dem zu entgehen. 

Wie sieht es mit der Gefahr für Staaten aus?

Bleiben wir beim Beispiel der autonomen Autos. Angenommen in ein paar Jahren fahren genug davon herum und Sie bringen sie unter Ihre Kontrolle. Damit könnten Sie innerhalb weniger Minuten Verkehrsknotenpunkte blockieren, Autobahnen zum erliegen bringen oder eine Stadt von der Außenwelt abschneiden. Diese Gefahr ist auch der Hauptgrund, warum es sich noch etwas ziehen wird, bis vollautonome Autos serienmäßig werden. Davor müssen alle Zweifel und Lücken ausgeschlossen sein.

Die Cyberdefense-Truppe des Österreichischen Bundesheeres spielt etwa mit Energieversorgern und Telekommunikationsunternehmen ständig Angriffsszenarien durch. Aber eigentlich brauchen sie sich keine Manöver auszudenken, denn die passieren auch in Wirklichkeit. Die Cyberdefense-Abteilung befindet sich seit Jahren permanent im Einsatz.

Barracuda Networks Vizepräsident Dr. Wieland Alge

„Bei theoretischen Physikern läuft es wirklich wie in ‚The Big Bang Theory‘. Nur ohne Frauen.“

© Barracuda

Das heißt, wir befinden uns bereits in einem ständigen Cyber-Krieg?

Es werden praktisch alle Banken und Energieversorger permanent attackiert. Wir sehen auch immer wieder Angriffe, die nicht verhindert werden konnte, wie etwa auf die Telekom, den Flughafen Wien oder die Österreichische Nationalbank, um nur einige Beispiele zu nennen. Im letzten Jahr wurden 100.000 Heimrouter der deutschen Telekom attackiert, die dabei kaputt gingen. Vermutlich sollten sie okkupiert werden, um sie später für irgendwelche Operationen einsetzen zu können. Man rechnet damit, dass mittlerweile mehrere hundert Millionen Privatgeräte weltweit – wahrscheinlich übersteigt die Zahl sogar die Milliardenmarke – unter Fremdkontrolle stehen. Schläfer, die bei Bedarf aktiviert werden können.

Wie laufen solche Attacken ab?

Gute Angriffe zeichnen sich dadurch aus, dass sie nicht bemerkt werden. Die größte Angst vieler Unternehmen ist, dass sie bereits angegriffen wurden und irgendwelches Zeug im Hintergrund gegen sie arbeitet. Vor zwei Jahren zapfte eine russische Bande eine große Menge von Überwachungskameras an, private, aber etwa auch jene in Banken. Dadurch konnten sie über Monate die Bankbeamten beobachten, ihre Transaktionscodes ausspionieren und Konten ausfindig machen, auf denen nie Bewegungen stattfinden. Von diesen zogen sie insgesamt 30 Millionen ab – ohne dass die Bank es bemerkte. Für die richtig großen Attacken wird auch schon mal ein Mitarbeiter eingeschleust, also auf klassische Spionagepraktiken gesetzt.

Die Kriminalität hat ihre digitale Transformation also hinter sich, wie sieht es mit ihren Gegenspielern aus?

In den letzten Jahren wurden einige richtige Maßnahmen getroffen, aber in vielen Staaten waren Institutionen wie Polizei und Militär bislang nicht wahnsinnig erfolgreich darin, digitale Talente zu rekrutieren. Die haben nämlich keine Lust auf monatelange Grundausbildung, Uniform oder Dienstvorschrift. Die Mafia hingegen rekrutiert gezielt und clever, ihre Hacker müssen nicht zuerst eine Mörder- und Erpresserausbildung absolvieren, sie wissen meist gar nicht, in welch dubiose Dinge sie überhaupt involviert sind. Da besteht derzeit noch eine große Kluft und solange vor allem die Polizei ihre digitale Transformation noch vor sich hat, stehen viele Unternehmen, die unsere Daten haben, ziemlich alleine da und die Kriminellen werden nicht erwischt. 

Das klingt alles recht besorgniserregend.

… aber solange am Ende ein positiver Effekt herausschaut, solange wir einen fundamentalen Bedarf durch den Einsatz von Technologie verbessern können, werden wir all diese Schwierigkeiten in Kauf nehmen. Das Festnetztelefon war nicht die Lösung, um Menschen zu verbinden und ihnen Kommunikation zu ermöglichen. Es hat eigentlich nur Gebäude verbunden. Und eine zwei Tonnen schwere Maschine namens Auto zu bedienen, die uns reihenweise zu Mördern und Selbstmördern macht, ist nicht die Lösung um von A nach B zu kommen. Es gibt noch genügend Bedürfnisse, die besser befriedigt werden können als mit bisherigen Ansätzen. Es würde Ihnen doch auch nichts ausmachen, Ihre Daten zur Verfügung zu stellen, wenn Sie dafür persönliche Sonderangebote bekommen oder jemand endlich eine Möglichkeit findet, wie sich Ihr regelmäßiger Einkauf von selbst erledigt.

Klicken zum Weiterlesen
03 2017 THE RED BULLETIN INNOVATOR

Nächste Story