mfm - Interview: Drei+1 Fragen an Christopher Schöndube

Christopher Schöndube ist seit zwei Jahren IT Security Consultant und Penetrationstester bei der it.sec GmbH & Co KG in Ulm. Das Unternehmen berät staatliche und nicht-staatliche Institutionen sowie Unternehmen in mehr als 30 Ländern in Fragen zur Informationssicherheit, Datenschutz & IT-Compliance. Penetrationstester wie Christopher Schöndube hacken sich für die Auftraggeber in deren Online-Systeme und -Shops, Firmen, Banken oder industrielle Anlagen und helfen bei der Aufklärung von IT-bezogenen Sicherheitsvorfällen ("Cybercrime"). Wir haben Christopher Schöndube zur Informationssicherheit in Deutschland befragt.

1. Haben wir in Deutschland ein Problem mit der Sicherheit durch unsere Passwörter? 

Hier muss ich kurz dazwischen grätschen. Der sogenannte "jüngste" Datenklau ist schon alt. Meines Erachtens nach deuten die Hinweise darauf hin, dass der junge Mann aus Hessen nur Daten aus alten Bundestag-Hacks aus dem sogenannten Dark Web gekauft hat. Er war leider so unvorsichtig und hat über eine sehr bekannte und stark frequentierte Plattform die Daten im Web preisgegeben. Das war sein Verhängnis. 

Aber zurück zur eigentlichen Frage. Ein ganz klares Ja. Das betrifft aber nicht nur Deutschland. Das ist ein globales Problem. Und es liegt in der Natur des Menschen, faul zu sein. Sicherheit bedeutet auch immer mehr Aufwand. Ein gutes Passwort sollte schon ausreichend komplex sein. Wenn ich jedoch ein Passwort aus 32 Zeichen mit Klein-, Großbuchstaben, Zahlen und Sonderzeichen anlege, merkt sich das kein normaler Mensch. Nachvollziehbar! Durch moderne Methoden und Software ist der Aufwand aber handhabbarer geworden. Ich meine hier vor allem die Passwort-Safes, die mit einem Master-Passwort, welches man sich nur noch als einziges merken muss, gute Speicher- und Verwaltungsmöglichkeiten bieten. So können aus den Programmen heraus per Tastenkombination Zugangsdaten automatisch eingefügt werden. Außerdem wird der User automatisch eingeloggt. Und das auch mit hoch komplexen und langen Passwörtern. Das ist gut, um der „Faulheit“ der Nutzer entgegenzuwirken. Zudem hilft dies, schwache Passwörter wie „Passwort123“ oder „qwertz“ verschwinden zu lassen. Die zuletzt genannten Passwörter bieten keinen ausreichenden Schutz und können in weniger als einer Minute geknackt werden.


2. Was kann der Gesetzgeber Ihrer Meinung nach gegen diese individuelle Nachlässigkeit im Umgang mit den Passwörtern tun? 

Hier ist zunächst jede Person und jedes Unternehmen selbst gefragt. Jede Hard- und Software, die heute in der elektronischen Datenverarbeitung eingesetzt wird, hat die Option, eine gewisse Mindestkomplexität der Passwörter zu erzwingen. Würde dies endlich von allen strikt so umgesetzt und angefordert werden, müssten sich die Angreifer andere Wege als das Passwort-Cracking suchen, um an die Daten und Konten zu gelangen. 

Ansonsten hätte man über Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik die Möglichkeit, nicht nur Best Practices für die IT- Sicherheit vorzugeben, sondern auch Verpflichtungen auszusprechen. Sicherheitsvorfälle sind bereits meldepflichtig. Wenn nach einer Untersuchung der Sicherheitsvorfälle von einem dritten, unabhängigen IT-Sicherheitsunternehmen festgestellt wird, dass der Grund des Vorfalls die zu schwache Passwortkomplexität war, sollte eine weitere Sanktion in Form von Strafzahlungen fällig werden.

3.Was genau bestimmt Ihre tägliche Arbeit als IT-Security Consultant und Penetrationstester bei it.sec?

Prinzipiell habe ich die Lizenz zum Hacken. Wie mein Berufstitel schon angibt, bin ich hauptsächlich mit Kunden und deren IT-Sicherheitsberatung beschäftigt. Die kann in Form von Schulungen sein, thematisch hier zum Beispiel Secure Coding für Programmierer oder ganz einfach das Bewusstsein für IT-Sicherheit der Mitarbeiter weiter sensibilisieren und abprüfen. Daneben haben wir im Alltag aber auch viele Penetrationstests auf Softwaresystemen, mobilen Geräten, PCs, Geldautomaten, Router, Datenbanken und ganzen Netzwerkstrukturen, um mit der Erlaubnis der jeweiligen Kunden Schwachstellen in deren Netzwerk und Systemen präventiv zu identifizieren. Entsprechend der gefundenen Schwachstellen geben wir Empfehlungen zur Behebung oder zumindest zur Verminderung des Risikos. Denn das ganz große Problem, das sich von meinem allerersten Tag in der IT-Security vor sechs Jahren bis heute zeigt, ist, dass dem Großteil der Menschen trotz des großen Medienechos von IT-Sicherheitsvorfällen, egal ist, was mit ihren Daten passiert. Und nur dies begründet wiederum die Angriffe auf uns alle. Vor allem von einigen einschlägig bekannten Nationen, die auch regierungsgesteuert global andere Nationen hacken.

4. Was können Firmen und Privatpersonen Ihrer Meinung nach tun, um ihre Daten zu schützen?

Wie eben schon angesprochen muss den Firmen und Menschen endlich klar werden, wie wertvoll und auch weitreichend ihre Daten sind. Daten sind das heutige Gold, das „jeder“ haben will. Dies wird einem immer erst bewusst, wenn es zu spät ist. Wenn Firmen zum Beispiel einen Wirtschaftsspionage-Vorfall haben oder einer Privatperson über soziale Plattformen die Identität gestohlen und missbraucht wurde. 

Zunächst sollte sich jeder bewusst werden, dass die IT-Sicherheit ein wichtiges und empfindliches Thema ist. Eine kommerzielle Anti-Viren-Software kann beispielsweise helfen. Diese sind heute gar nicht mehr so teuer mit 40-50 Euro Jahresgebühr und meist noch Multi-Device, sodass die Lizenz zum Beispiel auf fünf Geräten gleichzeitig verwendet werden kann. Dann sollte eine hohe Passwortkomplexität für Zugänge gewählt werden, genauso wie die Zwei-Faktor-Authentifizierung. Wenn man dies alles befolgt und seine Software noch aktuell hält und nicht mehr ganz so frei mit seinen Daten im Internet hausieren geht, sollte das Gesamtrisiko eines erfolgreichen Angriffs auf die eigenen Daten nicht mehr so hoch sein. Ich denke, das sind alles wenig aufwendige Punkte, sie erhöhen das IT Sicherheitslevel aber ungemein.


Menu