“Cyber-Sicherheit muss in den Fokus gerückt werden.” Ein Interview mit IT-Sicherheitsexperte Sebastian Schreiber

Bei der CeBIT 2017 durfte Marcus Wiegand einem Live-Hacking-Event von Sebastian Schreiber beiwohnen und war begeistert. Vor dem Diplom-Informatiker und seinem Team bei der Syss GmbH ist kein Gerät oder Software sicher. In kurzer Zeit hackt er sich vor Publikum in unterschiedlichste Systeme und sensibilisiert so für das Thema IT-Sicherheit.

Wir baten Herrn Schreiber zum Gespräch, um über seine Arbeit, sein Verständnis von Sicherheit und seine Visionen zu sprechen.

Herr Schreiber, stellen Sie sich doch bitte kurz vor und erklären Sie, was Sie beim Live-Hacking machen.

Mein Name ist Sebastian Schreiber und ich befasse mich schon seit langem mit dem Thema IT-Security und Hacking. Schon 1998 habe ich mein Unternehmen, die Syss GmbH, gegründet.
Der Bereich Cyber-Security ist in dieser Zeit enorm gewachsen und wir gehen davon aus, dass er noch weiter wachsen wird.

Nun zum Live-Hacking: Live-Hacking heißt, dass ich in einer Live-Situation aktuelle Hacker-Attacken interaktiv mit dem Publikum demonstriere und beschreibe. Mein Ziel ist es, den Teilnehmern einen Perspektivenwechsel zu ermöglichen, damit sie die Welt aus den Augen eines Hackers sehen.
Diese Veränderung des Blickwinkels ist unbedingt erforderlich: Denn nur, wenn man weiß, wie Angriffe vonstatten gehen, ist man auch in der Lage, die entsprechenden Sicherheitsmaßnahmen zu ergreifen. Wir sehen, sowohl bei Privatpersonen als auch bei Unternehmen, dass es keine korrekte, unverzerrte Sicht auf Cyber-Angriffe gibt, deswegen sind die eingesetzten Verteidigungsinstrumente oft ungeeignet.

Unternehmen geben für Sicherheit sehr viel Geld aus. Am Ende sind die Vorkehrungen jedoch wenig Erfolg versprechend, weil sie sich zu wenig mit Angriffen auseinandersetzen.

Wie kann man sich Live-Hacking konkret vorstellen?

Ich stehe auf der Bühne vor vielen Leuten und versuche in einer knappen Zeit – wie zum Beispiel 45 Minuten – zehn verschiedene Angriffe zu zeigen. Bei den Bei den Positive Hacking Days in Moskau werde ich unter anderem eine Alarmanlage, eine Digitaluhr, eine Funktastatur, Web-Applikationen und USB-basierte Geräte angreifen. Ich möchte einen Trojaner auf Android-Basis zeigen und eine destruktive Attacke vorführen.

Ich möchte dabei möglichst breit fächern, um sicher zu stellen, dass sich jeder betroffen fühlt und sieht, dass seine eigenen Geräte jederzeit angreifbar sind.

Wie sind Sie auf das Live-Hacking gekommen? Was ist der Ansporn?

Das Thema IT Security begeistert mich schon seit frühester Kindheit. Schon am Commodore 64 habe ich mir Gedanken gemacht, wie ich einen Kopierschutz knacke oder in die High-Score-Liste eines Computerspiels komme. Das Thema Hacking begleitet mich somit beinahe seit Kindesbeinen an.

Nun möchte ich andere am Hacking teilhaben lassen, da hier viel Aufklärung und Information notwendig ist.

Gibt es Unterschiede in den Reaktionen zwischen Privatpersonen und Unternehmer im Publikum?

Unternehmen haben in allererster Linie viel Geld und können sich – auch zusätzlichen zur internen IT-Abteilung – Software und Hardware zur Sicherung einkaufen. Privatpersonen haben nicht diese Möglichkeit und müssen ihre Geräte und Daten selber konfigurieren und somit absichern.

Zudem ist es ein Unterschied, ob Sie IHR iPhone sichern wollen oder ob ein DAX-Unternehmen die iPhones aller Mitarbeiter sichern möchte. Hier muss man ganz anders vorgehen:

  • Bedarfsanalyse
  • Spezialsoftware
  • Zentrales Management
  • Richtlinien
  • etc.

Was ist Sicherheit für Sie? Wann ist ein Gerät für Sie sicher?

Absolute Sicherheit gibt es nicht: Es wäre die Abwesenheit von Gefahr. Ich kann nur meine Geräte angemessen schützen und angemessen heißt meistens, dass es für meine Anliegen ausreicht.

Es gibt immer unterschiedliche Sicherheitsanforderungen: Es ist ein Unterschied, ob ich die 3 PCs einer Metzgerei schützen möchte oder die Steuerungssysteme eines Kernkraftwerks.

Kann man dann überhaupt Sicherheit gewährleisten?

Was mir nicht gefällt, ist die Aussage „Sicherheit gewährleisten“. Weil Sicherheit ist nie zu 100 % und auch nie zu 0 % gegeben. Es geht darum, eine angemessene Sicherheit zu erzeugen. Sicherheit zu gewährleisten, also Gefahren völlig auszuschließen, ist Unfug.

Wir haben aber immer ein Katz-und-Maus-Rennen zwischen denen, die angreifen und jenen, die verteidigen.
Wir simulieren Angriffe, überprüfen Schwachstellen und schreiben einen Bericht, um den Kunden so in die Lage zu versetzen, die Defizite zu beheben. Das ist aber ein fortwährender Wettkampf zwischen den Verteidigern und Angreifern. Das betroffene Unternehmen muss dann selber entscheiden, welche Risiken tragbar sind.

Lassen Sie es mich an einem Beispiel erklären: Wenn ich die Risiken einer digitalen Ausspähung unseres Interviews hier vermeiden möchte, dann muss ich Sie eben treffen.
Wenn ich Angst habe, dass unsere Handys angezapft werden, dann muss ich sicher gehen, dass wir unsere Handys zu Hause oder im Auto lassen.
Wenn ich davon ausgehe, dass uns eine feindliche Macht mit Richtmikrofonen ausspäht, muss ich mich Sie bei einem Spaziergang in einer stark belebten Fußgängerzone treffen.

Sie machen vor keinem Gerät und digitalen System halt. Gibt es gerade irgendetwas, wo die Sicherheitsbedenken und -vorkehrungen noch zu gering sind?

Insbesondere die Gebäudesteuerungen und -automatisierungen sind einfach anzugreifen. Wenn Sie sich ansehen, wie eine Brandmelde- oder Einbruchmeldeanlage, Belüftung und Beleuchtung oder Rolltore funktionieren: das sind alles Technologien von gestern.

Wo sehen Sie die Zukunft? Was wäre für Sie ein optimales Szenario?

Ich wünsche mir, dass die Sicherheit an Bedeutung gewinnt und dass Unternehmen schon bei der Auswahl und Konzeption von Produkten von Anfang an auf Sicherheit achten. Denn der nachträgliche Sicherung bei bestehenden Systeme ist kaum möglich, lästig und teuer.
Cyber-Sicherheit muss in den Fokus gerückt werden.

Wir danken Herrn Schreiber für das Interview. Wer gerne mehr über ihn und Live-Hacking erfahren möchte: auf der SySS-Webseite werden alle Live-Hacking-Termine bekanntgegeben. Herr Schreiber hat zudem eine wöchentlichen Fernsehsendung im hessischen Rundfunk, immer mittwochs um 20:15.

About Sarah

    You May Also Like