„Es ist immer noch viel zu leicht, über den Mitarbeiter ins Unternehmen zu gelangen“

Interview mit dem Hacker und Security-Spezialisten Dr. Raoul Rossbach

24.10.2013
GULP Redaktion
Artikel teilen:
Dr. Raoul Rossbach
Dr. Raoul Rossbach

Vor Kurzem haben wir in einer Marktstudie analysiert, wie es um den Bedarf von Unternehmen an externen IT-Security-Spezialisten steht. Fazit war unter anderem, dass sich Unternehmen nicht erst seit dem NSA-Skandal, sondern bereits seit mehreren Jahren verstärkt Freelancer als Experten für Sicherheits-Themen ins Haus holen. Ergänzend zu diesen Schlüssen aus den GULP Zahlen lassen wir nun einen Freelancer zu Wort kommen, der ein absoluter Spezialist für Security ist. Dr. Raoul Rossbach ist nach eigenen Angaben „Nerd seit 1976“ – wir haben ihn gefragt, worauf Unternehmen aktuell und in Zukunft in puncto IT-Sicherheit achten sollten.

GULP: Herr Dr. Rossbach, was ist in der Regel Ihr Auftrag beim Kunden?

Dr. Raoul Rossbach: In der Regel kommen die Anfragen derzeit für Penetrations-Tests, Schulungen, Digital Forensik und Risk Management.

 

GULP: Woher haben Sie Ihr Fachwissen im Bereich IT-Sicherheit? Und wie halten Sie es aktuell?

Dr. Raoul Rossbach: Ich beschäftige mich seit Mitte der 70er Jahre mit Computern. Seit 1987 bin ich in der Information-Security tätig. Außerdem: Hacker seit 1982 und langjähriges Mitglied im ccc.

Ich bin in der Community gut vernetzt und tausche mich mit meinen Kollegen regelmäßig auf Konferenzen im IRC sowie über Jabber und Twitter aus. Ich höre Podcasts, lese RSS-Feeds, veranstalte selbst eine Konferenz und betreibe einen Security-Podcast namens “Aluc.TV“.

 

GULP: Was sind Ihrer Meinung die drei IT-Sicherheits-Aspekte, die von Unternehmen am häufigsten vernachlässigt werden?

Dr. Raoul Rossbach: Hier in Deutschland? Nummer 1: E-Mail-Security! Kaum ein Unternehmen hat bisher erkannt und umgesetzt, dass interne E-Mails verschlüsselt werden sollten und externe E-Mails wenigstens mit einem gültigen PGP/SMime-Key signiert werden sollten. Nicht signierte E-Mails können sehr leicht gefälscht werden und sind ein idealer Anreiz für “Spear Phishing“. (Anmerkung der Redaktion: Beim Spear Phishing wird ein persönlicherer Ansatz verfolgt als beim herkömmlichen Phishing. Der Angreifer besorgt sich zum Beispiel Informationen über Arbeitgeber oder Kollegen und versucht dadurch Vertrauen zu erwecken.)

„Es ist immer noch viel zu leicht, über den Mitarbeiter ins Unternehmen zu gelangen“

Nummer 2: Awareness gegen Social-Engineering-Attacken. Es ist immer noch viel zu leicht, über den Mitarbeiter ins Unternehmen zu gelangen.

Nummer 3: Budgetierung. Meist scheitern wichtige Projekte, durch die Wirtschaftsspionage oder Vandalismus verhindert werden könnten, an mangelndem Information-Security-Budget. Merke: Wer am IT Budget spart, zahlt den Forensiker und gefährdet kritische Informationen und Infrastruktur.

 

GULP: Wohin geht die Reise? Welche drei IT-Sicherheits-Themen werden nächstes Jahr wichtig sein?

„Smartphones schleusen schlecht getestete Software ins Unternehmen“

Dr. Raoul Rossbach: Nummer 1: Smartphone Application Security. Durch die starke Verbreitung von Smartphones in Unternehmen werden unzählige schlecht getestete Apps und Softwarepakete in diese eingeschleust. Wenn Sie die nicht offensichtlichen Berechtigungen dieser Applikationen betrachten, finden Sie unter anderem heraus, dass

  • jede App die IMEI-Nummer und persönliche Infos Ihres Smartphones übermittelt,
  • nicht verschlüsselte/signierte E-Mails von Ihrem Smartphone verschickt werden können, ohne dass Sie dies bemerken, und so weiter.

„Kommt ‚Cloud‘ von ‚klaut‘?“

Nummer 2: Die Cloud. Mir scheint ja, das Word „Cloud“ kommt vom deutschen Wort „klauen“ – genau das wird durch die Cloud mit Kundendaten passieren. Man liest derzeit ständig von Fällen, in denen Hoster Opfer von Hackerangriffen werden. So zum Beispiel aktuell auf heise.de in einem Artikel, über den Datenklau bei einem Hoster einer großen Kinokette. „Diese Kontodaten könnten ggf. dazu verwendet werden, auf Onlineshops ebenfalls für die Zahlung per Lastschrift zugunsten von Betrügern eingesetzt zu werden“, heißt es im Artikel. Und das ist natürlich nur ein kleines Beispiel. Unternehmen müssen in solch einem Fall einen riesengroßen Vertrauensverlust verkraften.

Nummer 3: Durch die mittlerweile starke Anbindung von mittelständischen Unternehmen an das Internet wird ein starker Know-how-Abfluss durch Wirtschaftsspionage großen Schaden anrichten. Das Problem hierbei ist weniger die Anbindung an das Internet als vielmehr mangelndes Budget und fehlende Awareness für IT Sicherheit sowie eine schlechte Beratung durch eine der vielen “Schaumschläger-Buden“ die sich als IT-Security-Consulter ausgeben. Im diesem Jahr habe ich schon viel Schlimmes in meinen “Forensik-Gigs“ gesehen.

 

GULP: Für uns Laien: Was ist denn ein Forensik-Gig?

Dr. Raoul Rossbach: Ein Forensik-Gig ist ein Einsatz, wenn es zu spät ist. Dabei gilt es Datenspuren und Beweise auf kompromittierten Systemen zu sichern. Des Weiteren soll festgestellt werden, wie der Angreifer Zugriff auf System, Netzwerk etc. bekommen hat und wie er dabei vorgegangen ist.

 

GULP: Was müssen Unternehmen in puncto Sicherheit beachten, die Teile ihrer Daten in eine (globale) Cloud auslagern wollen?

Dr. Raoul Rossbach: Oh je, “Finger weg von harten Drogen, da liegt kein Segen drauf!“ Wenn Sie dann schon in die “klaut“ gehen wollen oder müssen, beachten Sie bitte folgende Punkte:

  • Ist der Datenschutz meines Cloud-Providers gesichert? (Datenhaltung in Deutschland)
  • Ist der Provider groß genug, dass der nicht gleich morgen vom nächstbesten “Google“, “IBM“ oder so geschluckt wird? Wenn nein, die NSA hat große Rechenzentren, und bevor mein Provider die Daten da hin packt …
  • Wie sieht es mit der Redundanz der Hardware beim Provider aus? Apple hatte mal ein Problem, weil Microsoft ein paar Server gestorben sind, auf denen so iCloud-Daten gehostet waren …
  • Was tut der Provider aktiv gegen Security Leaks? Lassen Sie sich den “Incident Response Plan“ zeigen. Prüfen Sie, ob das in der Praxis auch umgesetzt wird!
  • Wie ist die Erreichbarkeit des technischen Service? Lassen Sie sich das nicht nur nennen, sondern überprüfen Sie die Angaben.

 

GULP: Herr Dr. Rossbach, haben Sie vielen Dank für das Interview!

 

Einblicke in „Offensive und Defensive Security“ gibt Dr. Rossbach auf seiner Webseite. Des Weiteren ist er auch bei LinkedIn zu finden – und natürlich bei GULP.

Weitere Infos zum Thema bei GULP