Bad Aibling – Leon Klein ist IT-Experte – und ein gefragter Mann, wenn es um Informationssicherheitstrainings geht. Einblicke in die Praxis zum Thema „Internetkriminalität vorbeugen“ gibt er bei einer Veranstaltung im Kurhaus Bad Aibling am 22. Mai, 18.30 Uhr. Unter dem Motto „Digitalisierung – erleben, begeistern und sensibilisieren“ demonstriert er im Rahmen eines Vortrags mit Live-Hacking-Elementen, wie leicht es ist, an die Daten Dritter zu gelangen. Unter anderem anhand des Mobiltelefons von Landtagsabgeordnetem Otto Lederer.
Herr Klein, wie lange brauchen Sie, um – wie bei dem Vorgang, den Sie in Bad Aibling demonstrieren werden – ein fremdes Handy oder einen fremden PC zu hacken?
Vorneweg: Für jeden Live-Hack bedarf es wochen- oder gar monatelanger Vorbereitung. Daher bringe ich nach Bad Aibling unter anderem diverse präparierte Geräte mit. Auf der Bühne demonstriere ich, wie Hacking aussehen kann. Natürlich habe ich dabei keinen direkten Zugriff auf die Geräte beziehungsweise die Daten der beiden Freiwilligen. Das wird im Vorfeld auch schon ganz genau geklärt. Aber es lässt sich für die Zuschauer vor Ort gut nachverfolgen, was alles möglich wäre.
Das lässt darauf schließen, dass in Ihrem Berufsalltag in Sachen Hacking ebenfalls ohne Zeit und Geduld nichts geht?
Das Bild der meisten Menschen ist durch Filme geprägt, in denen der Hacker mit tief ins Gesicht gezogener Kapuze im Keller sitzt und ganze Regierungen mal eben durch Knopfdruck lahmlegt. Die Realität sieht jedoch ganz anders aus. Hacking zieht sich meist über Tage, Wochen und sogar Monate hin – und selbst dann ist es nicht sicher, ob es letztlich funktioniert.
Könnten Sie das aber theoretisch an einem beliebigen Ort machen, etwa in der U-Bahn, im Café, in Banken oder Behörden?
Theoretisch geht das schon, dass man mal schnell in zehn Minuten drin ist. Die Fragen sind dann unter anderem, ob sich das lohnt, und natürlich ob man etwas legal oder illegal macht. Was zum Beispiel Banken angeht: Die sind in diesem Bereich stark reguliert, sie haben hohe Sicherheitsstandards. Für Hacker sind eher mittelständische Unternehmen „dankbare Ziele“, die sehr schnell gewachsen sind. Bei diesen ist die IT-Infrastruktur oft nicht mitgewachsen und es wurde viel zusammengeschustert. Unter solchen Voraussetzungen kann man mit relativ geringem Aufwand tief eindringen.
Von welchen Faktoren hängt es ab, wie leicht man an fremde Daten rankommt?
Da spielen diverse Faktoren eine Rolle. Zum Beispiel die Schutzmaßnahmen, die der Betreffende getroffen hat, ob er vielleicht Updates verschlafen hat, wie gut die verwendeten Passwörter sind oder welches Smartphone er hat. Bei einem nagelneuen iPhone mit der aktuellen iOS-Version kann man es wohl Wochen versuchen, ohne etwas zu finden, wenn es keine Sicherheitslücken gibt. Solche Lücken werden auch sehr teuer gehandelt: Wenn Sie da fündig werden, haben Sie leicht mal ein Jahresgehalt verdient.
Klingt lukrativ.
Mag sein, aber das ist schon ein Haufen Arbeit. Dabei handelt es sich sozusagen um die Königsdisziplin. Denn die Geräte werden ja immer sicherer. Da reicht es bei Weitem nicht, IT-affin zu sein. So etwas können nur Leute, die sich seit Jahren ausschließlich damit beschäftigen. Es kommt natürlich auch immer darauf an, ob jemand legal oder illegal nach Lücken sucht.
Und was war das Eklatanteste, was Ihnen als Berater bisher untergekommen ist?
Das war bei einem mittelständischen Unternehmen, fantastische Umsatzzahlen, 500 Mitarbeiter, aber die IT aus den Zeiten, als man noch 50 Mitarbeiter beschäftigte. In diesem Fall kam man in nicht mal einer Stunde bis ins Innerste und damit an die vertraulichsten Daten.
Welche Schäden können Unternehmen durch Hacking entstehen?
Schlimmer als Datenkopien ist, wenn laufende Geschäfte oder Produktionen nicht fortgesetzt werden können. Denken Sie beispielsweise an Autohersteller oder deren Zulieferer. Dort wird eine Kette in Gang gesetzt. Steht diese still, entstehen in wenigen Tagen teils existenzbedrohende Millionenschäden. Das ist wirklich geschehen. Man will sich so etwas nicht ausmalen. Aber besser, man malt es sich aus, als dass es einen unvorbereitet erwischt. Und bei der Vorbereitung, da hilft dann zum Beispiel das Unternehmen, bei dem ich arbeite.
Wie kann man als Unternehmer zur Datensicherheit beitragen?
Indem man Risiken vorbeugt: Mitarbeiter schult, etwa was das sorglose Surfen oder unbedachte Öffnen von E-Mails angeht, die Software aktuell hält und Updates einspielt. Die wenigsten Angriffe passieren gezielt. Sehr häufig sind es Massenangriffe, zum Beispiel via E-Mail, in der Hoffnung, dass irgendjemand diese öffnen wird.
Was empfehlen Sie dem privaten Nutzer?
Ebenfalls regelmäßige Updates: Jedes schließt eine oder sogar mehrere Sicherheitslücken. Regelmäßige Datensicherung, also Back-ups. Ganz wichtig ist auch das Verwenden sicherer Passwörter. Und auf keinen Fall darf man überall das gleiche Passwort verwenden.
Doch genau das ist doch das Problem in Zeiten, in denen man für alles und jedes ein Passwort braucht. Wie soll man sich so viele Passwörter merken und richtig zuordnen?
Das ist gar nicht so schwer, wie die meisten meinen. Überlegen Sie sich einen einfachen Satz, der mit Ihnen zu tun hat. Zum Beispiel „Ich habe 2 freche Katzen, die heißen Minka und Peter.“ Das ist ein schöner Basissatz. Je länger er ist, umso besser. Und er enthält Groß- und Kleinbuchstaben. Dann noch Ziffern und Sonder- beziehungsweise Satzzeichen. Von jedem Wort des Satzes nehmen Sie dann die Anfangsbuchstaben und schon haben Sie ein hochkomplexes Passwort. Hängen Sie hinten noch ein Kürzel für die Website an, für die Sie das Passwort nutzen, dann werden aus einem Kennwort beliebig viele. Für das Einloggen bei Amazon verwenden Sie also beispielsweise das Kürzel „Am“. So würde das Passwortlauten:
Ih2fK,dhMuP.Am.
Bringen Gerätesicherungen per Pin-Code oder Fingerabdruck eigentlich überhaupt etwas?
Ja, das sind zusätzliche Hürden. Diese sollte man also auf jeden Fall nutzen. Ich rate den Leuten grundsätzlich, sich mit ihrem Gerät zu beschäftigen. Sie müssen keine Experten werden. Aber hinterfragen Sie, was Ortungsdienste machen, welche Apps Sie nutzen, welche Sicherheitseinstellungen Sie wählen, wie Sie mit Sprachnachrichten umgehen et cetera. Wenn ich Whatsapp nutze, sollte mir auch klar sein, dass meine sämtlichen Kontakte zum Beispiel in die USA übertragen und dort auf dem Facebook-Server gespeichert werden.
Nutzen Sie denn vor diesem Hintergrund selbst überhaupt Whatsapp?
Natürlich. Die Vorteile überwiegen für mich. Ich bin über 200 Tage im Jahr auf Vortragsreise und Whatsapp ist ein revolutionäres Kommunikationssystem, das vieles extrem vereinfacht. Die Ende-zu-Ende-Verschlüsselung ist mittlerweile sehr gut und es ist sicherer, als zum Beispiel E-Mails zu verschicken. Es gibt viele Möglichkeiten, die Dienste datenschutzfreundlich zu nutzen. Dazu findet man viele Anleitungen im Internet, beispielsweise auf YouTube. Natürlich sollte man trotzdem niemals vertrauliche Daten versenden.
Online-Banking ruft bei vielen Misstrauen hervor. Was halten Sie davon?
Ich stehe dem sehr positiv gegenüber. Bei der klassischen papierhaften Überweisung etwa, da ist der Bankmitarbeiter ihr Schutzmechanismus, der sich aber die Überweisung anschaut. Online-Banking per Chip- oder Smart-TAN-Verfahren ist wesentlich sicherer als die herkömmlichen Verfahren. Vorsicht geboten ist hingegen bei E-Mails, die vermeintlich von Banken kommen, die sind häufig gefälscht.Interview: Eva Lagler