Tobias Madl ist IT-Sicherheitsanalyst und als Europas bester Hacker ausgezeichnet. Im Interview erklärt er, wie neue Technologien neue Möglichkeiten, aber auch Security Gefahren mit sich bringen und gibt Tipps für den Alltag, wie man auf der sicheren Seite bleibt.
Zur Vorstellung von Tobias Madl und der Themenübersicht dieser Expertenreihe kommen Sie über diesen Link.
Tobias Madl: Je größer das Technologiefeld, das man verwendet, desto grösser natürlich die Angriffsfläche. Beispielsweise man hat drei Handys, wobei zwei davon mit der neusten Software upgedated sind und eines nicht. Hier wird der Hacker logischerweise das angreifen, was alt und anfällig ist.
Das gleiche gilt beispielsweise für Alexa. Das ist eine neue Technologie, die man sich ins Haus stellt; ein Gerät, das vielleicht nicht geupdated wird. Irgendwann wird dort dann eine Sicherheitslücke gefunden und man kann von außen darauf zugreifen.
Wir befinden uns gerade in einem Technologieumschwung und wollen mehr vernetzt sein. Smart TVs haben Mikrofone oder Kameras, um sich selber abzuschalten, wenn keiner mehr davorsitzt. Mit neuen Technologien lässt es sich also bequemer leben.
Staubsaugroboter beispielsweise sind auch sehr praktisch. Das Gerät kann aber oft mit Kameras, Mikrofon mit Gegensprechanlage und Night-Vision ausgerüstet sein und erstellt nebenbei noch eine Karte vom betroffenen Haus. Es kann sogar erkennen, ob jemand zu Hause ist.
Es findet also immer noch ein Trade-off statt, welche Daten geben wir her und welche Sicherheitslücken holen wir uns damit ins Haus.
Bei Firmen ist der Einsatz von KI beispielsweise kritisch, wenn sie diese nicht verstehen oder keine Spezialisten dafür einstellen und dann falsch konfigurieren, weil es auch dafür verschiedene Angriffsvektoren gibt. Man nutzt erst einmal nur die Vorteile der Technologie, bedenkt aber nicht die Nachteile und Gefahren.
Tobias Madl: Technologischer Fortschritt ist berechtigt und wir haben einen Nutzen davon.
Man muss sich dabei nur drei Sachen bewusst sein:
1. Welchen Trade off hat man dabei, also was für Daten gibt man her?
2. Wiegt der Nutzen auf?
3. Kann ich das System selber schützen oder kann ich es updaten?
Auch für Staubsaugroboter gibt es Updates, nur leider macht das keiner, weil man nicht daran denkt. Aber wenn man sich dem bewusst ist und das Gerät auf dem neusten Stand hält, ist das vollkommen ok.
Man kann auch darauf achten, dass es vom Netzwerk abgetrennt ist und seine Firewall am Router eingeschaltet lässt. Das sind kleine Schritte, die einem aber helfen, sicher neue Technologien auch daheim zu nutzen.
Beim Anschaffen solcher Produkte kann man darauf achten, was man für ein Sicherheitsversprechen man hat. Handy Hersteller beispielsweise werben mit Security Updates für mehrere Jahre. Auch bei Betriebssystemen wird von den Herstellern angeboten, dass man beim Kauf auch einen Support von Updates für die nächsten 5-10 Jahre bekommt. Wenn mir sowas ein Unternehmen nicht gewährleisten kann, würde ich das Produkt nicht kaufen, da man dann bei neuen Sicherheitslücken bei schon verkauften Produkten nichts tun kann.
Wie schaut die Security bei Public Hotspots aus wie an Flughäfen, in Hotels etc.? Wie ist da die Gefahrenlage?
Tobias Madl: Also pauschal kann man sagen, man sollte es eigentlich lassen. Aber natürlich ist es bequem und solange man auf verschlüsselten Seiten (https) unterwegs ist, ist das in Ordnung. Das heißt die Daten sind verschlüsselt vom eigenen Gerät bis hin zum Server.
In dem Moment, wenn eine unverschlüsselte Verbindung besteht, kann jeder, der in diesem Netzwerk sitzt, alles mitlesen, was man aufruft und macht. Auch nachdem man das unsichere Fenster geschlossen hat.
So kann man den ganzen Netzwerk Traffic mitlesen. Vielleicht hat man sich unverschlüsselt eingeloggt, dann hat man schon einmal die Login-Daten.
Hier kann man sich z.B. mit einem VPN-Tunnel schützen. Dieses Virtual Private Network baut eine verschlüsselte Verbindung in ein anderes Netzwerk auf (dem man vertraut) und man kann von dort aus im Internet browsen. Entweder man hat einen eigenen VPN oder man hat einen Anbieter, bei dem man das einkaufen kann. Wenn man dann in ein öffentliches WLAN möchte, muss man als Prämisse den VPN aktivieren.
Ohne VPN muss man einfach sehr gut aufpassen, welche Seiten man anbrowst, welche Apps im Hintergrund ins Internet gehen und so weiter. Es nutzt nichts, wenn man aufpasst, aber im Hintergrund mein E-Mail-Programm falsch konfiguriert ist und die unverschlüsselte Verbindung wählt, sodass jeder meine Mails mitlesen kann.
Man kann z.B. den Netzwerkzugang von Apps verbieten, außer bei denen die man freigibt. Es gibt also Möglichkeiten sich zu schützen, aber so etwas lernt man auch nicht unbedingt selber, so etwas muss einem beigebracht werden.
Tobias Madl: Für die Privatperson:
Es gibt einfach so viele Schnittstellen, so viel, was beachtet werden muss. Das ist oft auch das Problem für Firmen. Man kann das gar nicht alleine bewältigen, wenn man nicht direkt in der Branche arbeitet. Das heißt, man braucht Experten, was bis dato noch nicht alle verstanden hatten.
Deswegen ist das Arbeitsfeld der Security auch so groß, weil so viel Power und Know-how gebraucht wird, um sich zu schützen. Im Privaten ist es fast nicht anders.
Jeder bräuchte eigentlich eine Schulung und man sollte einen Führerschein machen für seinen PC/Internet. Warum macht man einen Autoführerschein? Weil es Gefahren birgt und Schaden für einen selbst und andere entstehen kann. Das gleiche ist bei PCs und Internet möglich.
Kinder gehen an den PC ihrer Eltern und damit haben sie den ersten Kontakt und sind bereits den Gefahren ausgesetzt.
In den letzten Jahren ging der Trend von Technologien, in die man sich reinfuchsen musste zu denen die besonders anwenderfreundlich sind. Man denkt da nicht so lange nach, was alles passieren kann und nutzt es einfach.
Das ist im Grunde auch nicht schlecht. Man sollte nur zumindest im Hinterkopf haben, dass da ein gewisses Gefahrenpotenzial besteht und dass man das Kindern auch vermitteln muss. Meiner Meinung nach ist das nur möglich, wann man das schon in der Schule beigebracht bekommt. Das sollte wirklich früh in den Informatikunterricht mit rein.
Ich gebe selber auch Schulungen an Schulen und man merkt, es ist einfach null bis fast kein Wissen oder eine Awareness vorhanden, aber alle haben ein Smartphone.
Haben Sie Fragen zu dem Interview, wollen mehr über Cyber-Security erfahren oder suchen direkt nach einer Lösung für ein Security-Projekt, dann schreiben Sie uns gerne eine Nachricht!
knooing GmbH
Rosenheimer Str. 143c
81671 München
t +49 (0) 89 143 792 90
f +49 (0) 89 143 792 98