Cyber ist eines der großen Themen in Medienberichten. "Wir sehen sehr oft Probleme, die ganz wenig mit Technologie zu tun haben. Da sind Menschen beteiligt und die machen Fehler", macht Stephan Gerhager, Chief Informationsecurity Officer der Allianz Deutschland AG, zu Beginn seiner Keynote auf den Hamburger IT-Strategietagen deutlich. Dabei zeigt er zum Beispiel das offizielle Pressefoto des Sicherheitschefs der Fußballweltmeisterschaft 2014 in Brasilien. Hinter dem Sicherheitsverantwortlichen sind zahlreiche große Bildschirme zu sehen - auf einem deutlich erkennbar das WLAN-Passwort der Sicherheitskräfte, das kurze Zeit darauf im Netz kursierte.
Dass es manchmal auf die Perspektive ankommt, zeigt ein anderes Beispiel. Auf dem Flug von München nach Hamburg zu den IT-Strategietagen saß in der Reihe vor Gerhager eine Person, die am Laptop arbeitete. Schräg hinter der Person konnte Gerhager nichts auf dem Laptop erkennen, weil eine Sichtschutzfolie über dem Bildschirm lag. Doch als er sich ein Stück zur Seite bewegte und der Person direkt über die Schulter guckte, konnte er trotz Sichtschutz alles mitlesen. Sein Appell: Mitarbeiter müssen geschult werden, damit sie auf Reisen keine vertraulichen E-Mails oder vertrauliche Dokumente auf ihren Geräten öffnen.
Und wer jetzt noch im Publikum saß und dachte - so etwas würde mir nicht passieren - den überzeugte Gerhager vermutlich mit dem nächsten Beispiel. Darin wollte ein Journalist wissen, wie effektiv ein Social-Engineering-Angriff sein kann und ließ sich selbst hacken. Die Hackerin schaffte es innerhalb weniger Minuten mithilfe einer gespooften Telefonnummer und eingespieltem Babygeschrei, beim Mobilfunkanbieter des Journalisten seine persönliche E-Mail-Adresse herauszufinden und sogar sein Passwort zu ändern.
Professionalisierung von Hacking-Angriffen
Dieses perfekt inszenierte Beispiel zeigt: Hacking ist heute so viel mehr als eine komisch wirkende E-Mail voller Rechtschreibfehler. Gerhager selbst erhielt vor einiger Zeit wenige Tage vor dem tatsächlichen Ablaufdatum seiner Kreditkarte eine vermeintlich von Paypal stammende E-Mail von Hackern, die nach seinen Paypal-Logindaten und den neuen Kreditkartendaten fragte.
Er verglich die in der Mail verlinkte Website mit der tatsächlichen Paypal-Seite - man konnte sie auf den ersten Blick nur an der URL und dem grünen Schloss in der Browserleiste unterscheiden. Professionell fand er neben der Aufmachung insbesondere das Timing - er beschreibt es so, dass die Hacker einen großen Datensatz zur Verfügung hatten, der das Ablaufdatum der Kreditkarten enthielt. "Unser Problem ist, dass man damit gerade immens viel Geld verdienen kann", sagt der Chief Informationsecurity Officer der Allianz Deutschland AG über Hacking.
Unternehmen seien heute massiv abhängig von technischen Systemen und bei Angriffen mit ernsthaften Problemen konfrontiert, diese Systeme wieder zum Laufen zu bringen. "Die IT muss einfach funktionieren", bringt es Gerhager auf den Punkt. Kritische Infrastrukturen würden immer zum Ziel von Hackern werden. Zu den größten Problemen zählt der Chief Informationsecurity Officer den Missbrauch von Big Data und die Digitalisierung unternehmenskritischer Geräte.
Beispiel: Hacken moderner Autos
Ein Beispiel dafür bekommen die Anwesenden in den darauffolgenden Minuten zu sehen. Gerhager erzählt, dass er sich seit einigen Jahren aus der Perspektive eines Versicherers mit dem Hacken moderner Autos beschäftigt. "Da sind massive Schnitzer und IT-Fehler drin", sagt er. Und zeigt dann ein Video, in dem ein Journalist von Wired ein Auto fährt, dass von Hackern ferngesteuert wird. Aus der Ferne drehen die Hacker das Radio laut auf, sprühen Scheibenwischerflüssigkeit und würgen schließlich den Motor des Fahrzeugs ab.
"Wir müssen unsere Hausaufgaben machen und jetzt einen Weg finden", fordert Gerhager abschließend. Dazu zählt er unter anderem auch Systeme zu patchen und die Organisation so aufzustellen, dass bei einem Angriff alle wissen, was zu tun ist.