BayernLB

Sagen Sie mal, Herr Schrödel ... müssen wir die digitalen Möglichkeiten fürchten?

IT-Sicherheit ist ein Thema, das uns alle immer stärker betrifft. Wir sprachen mit dem Computer-Experten Tobias Schrödel über Fluch und Segen unserer digitalisierten Welt - und warum Cyberkriminelle im Grunde auch nur Geschäftsleute sind. Von Martina Trapmann

© Robert Brembeck

Der Computer-Comedian

Tobias Schrödel, 48, ist IT-Experte, Referent, Deutschlands erster „Comedy-Hacker“ und erfolgreicher Buchautor. Der ehemalige Telekom-Consultant erklärt technische Systemlücken und Zusammenhänge auf witzige und für jedermann verständliche Art. Seit 2011 ist er das Gesicht bei stern TV, wenn es um IT-Sicherheit und Computer geht. Darüber hinaus ist er Autor zahlreicher Bücher, unter anderem des Bestsellers „Ich glaube, es hackt!“. Sein neuestes Buch „It’s A Nerd’s World: Die Brains hinter YouTube, Smartphone, Computer und Co.“ ist gerade im Arena-Verlag erschienen.

Mehr Infos unter: www.sichere.it

Nicht die Daten an sich sind böse, sondern nur die Folgen, die wir daraus ableiten können.
Tobias Schrödel

Ich denke nicht, dass wir Angst haben müssen. Aber wir müssen uns im Klaren darüber sein, dass die Risiken in den nächsten Jahren zunehmen werden. Nehmen wir zum Beispiel eine smarte Glühbirne, die ich per App steuern kann. Wenn diese Glühbirne eine Sicherheitslücke hat, kann sie auch ein Hacker ausschalten, der 3000 Kilometer entfernt sitzt und möglicherweise gar nicht weiß, ob er gerade eine Leselampe ausknipst oder das Rotlicht einer Ampel an einer Kreuzung. Die gleiche Glühbirne kann also harmlos oder lebensgefährlich sein, je nachdem, wo sie gerade drinsteckt.

Sie vermitteln auf witzige Art ein sehr ernstes Thema – IT-Sicherheit. Ist Humor hier tatsächlich angesagt?

IT-Sicherheit lässt sich mit Humor leichter vermitteln, denn die allermeisten Menschen sind ja keine IT-Spezialisten, sondern nur Anwender. Wenn ich denen das Problem fachlich erkläre, steigen die meisten schnell aus. Wenn ich aber auf lustige Art zeige, dass ich im Internet für 120 Euro auf einer russischen Seite ein Hacker-Programm kaufen kann, das ein sechsstelliges Passwort in unter zehn Sekunden knackt, und ich dafür sogar die Kreditkarte vom Nachbarn nutzen kann, bleibt das einfach viel besser in Erinnerung. Die Leute verstehen dann auch die Vorgaben der IT-Leute in ihren Unternehmen. Wer einmal live gesehen hat, wie einfach es sein kann, ein Handy zu knacken, hat für Sicherheitsvorgaben sehr viel mehr Verständnis.

Weltweit verursacht Cyberkriminalität schon heute einen Schaden von 600 Milliarden Dollar jährlich. Wird es noch schlimmer?

Die Cyberkriminalität wird noch dramatisch ansteigen. Denn es handelt sich um einen sehr lukrativen Geschäftszweig, noch dazu relativ ungefährlich. Ich kann von irgendeinem Punkt auf dieser Welt, oft aus Ländern, wo kaum Strafverfolgung droht, zuschlagen. Es geht hier meistens um Lösegelderpressungen und gar nicht so sehr darum, Daten zu zerstören. Die Hacker wollen in der Regel, mit wenigen Ausnahmen, eigentlich nur Geld verdienen.

Wie hoch schätzen Sie die Gefahr ein, dass Cyberkriminelle auch in hochsensiblen Bereichen zuschlagen könnten, also etwa unsere Strom- oder Wasserversorgung lahmlegen?

Man muss unterscheiden, wer angreift. Da gibt es erstens die Scriptkiddies, die irgendwelche Programme ausprobieren und so massenweise schwach geschützte Daten zerstören. Zweitens die echten Hacker, also professionell organisierte Banden und IT-Experten, die gezielt Institutionen oder Firmen angreifen und erst gegen Lösegeldzahlungen den Schlüssel zum Wiederherstellen der Daten herausrücken. Und schließlich gibt es noch eine dritte Kategorie von Hackern, die gerade den Cyberwar vorbereiten. Schon heute testen Staaten sehr genau aus, inwieweit sie ein Atomkraftwerk oder die gesamte Stromversorgung eines Landes abschalten können. Denken Sie nur an den Blackout in der Ukraine im Dezember 2015. Man kann sich denken, wer dahintersteckte, aber es ist unheimlich schwer, das auch nachzuweisen. Der Cyberwar wird in der künftigen Kriegsführung eine große Rolle spielen.

Rund die Hälfte der deutschen Unternehmen berichtet, schon einmal Opfer von Cyberangriffen geworden zu sein. Sind diese Vorfälle bald betriebliche Normalität?

Das sind sie bereits. Allein die Deutsche Telekom registriert in ihrem Cyberabwehrcenter täglich etwa zwölf Millionen Cyberangriffe auf ihr Netzwerk. Was allerdings dramatischer klingt, als es im Einzelfall ist. Die Großzahl dieser Angriffe kommt von automatisierten Systemen, die einfach mal testen, ob irgendwo ein System antwortet. Die gezielten Angriffe, bei denen es darum geht, eine Lücke auszunutzen und Daten zu stehlen, zu löschen oder zu verschlüsseln, kommen deutlich seltener vor. Aber sie kommen nun mal vor. Kein Unternehmen sollte sich darauf verlassen, nicht angegriffen zu werden.

Ist das der Preis unserer digitalen Zukunft?

Wenn Sie in ein Auto steigen, schnallen Sie sich an. Genauso verhält es sich mit den Sicherheitsvorkehrungen im digitalen Leben. Das heißt, wenn Sie sich vernünftig verhalten und auch ein bisschen Glück haben, können Sie problemlos am digitalen Leben teilhaben. Wenn Sie verfügbare Updates auf Ihren Geräten einspielen und nicht auf Anhänge in merkwürdigen E-Mails klicken, sind Sie gegen Standardangriffe schon mal ganz gut geschützt. Dazu vernünftige Passwörter, einen aktuellen Virenscanner und eine gewisse Skepsis gegenüber Nachrichten in Ihrem Postfach. Eine Bank würde zum Beispiel niemals nach Ihrer PIN fragen. Wer diese Dinge beherzigt, ist ganz gut geschützt. Trotzdem kann es natürlich jeden treffen.

Wie kommen die Hacker zu ihren Opfern?

Das ist erschreckend simpel. Im Darknet bekommt man für wenig Geld – wir sprechen hier von maximal dreistelligen Beträgen – Hunderte E-Mail-Adressen samt den dazugehörigen Passwörtern. Sie werden also mehr oder weniger zufällig zum Opfer. Das ist ganz einfach Pech.

Apropos Darknet. Hier gibt es ja offenbar alles, was das Ganoven-Herz begehrt. Wie müssen wir uns das Darknet vorstellen?

Das Darknet hat einen schlechteren Ruf, als es eigentlich verdient. Ursprünglich war es dazu gedacht, sicher, verschlüsselt und vor allem anonym miteinander zu kommunizieren – was zum Beispiel für Whistle blower extrem wichtig ist. Aber diesen sehr anonymen Raum nutzen natürlich auch Menschen mit krimineller Energie für sich aus. Deshalb kann man dort heute vor allem Drogen, Waffen und eben Passwörter kaufen. Aber grundsätzlich ist das Darknet mit seinem speziellen Browser TOR (The Onion Router) ein offenes Netz für jedermann.

Warum ist die Erpressung mit Schadsoftware ein so lukratives Geschäft für die Hacker?

Das liegt daran, dass sie auf einen Schlag Tausende potenzielle Opfer treffen. Ihre Ransomware verstecken sie im Anhang einer E-Mail. Zum Beispiel in einer vermeintlichen Mahnung. Wenn Sie diesen Anhang öffnen – was Sie hoffentlich nie tun werden –, stellen Sie fest, dass da keine Mahnung ist. Stattdessen läuft im Hintergrund ein Programm ab, das Ihre komplette Festplatte verschlüsselt. In der Regel fordern die Hacker dann zwischen 400 und 800 Euro Lösegeld, die Sie per Bitcoin auf ein Konto überweisen sollen, damit Sie Ihre Daten wieder lesbar machen können. Meistens bekommen Sie Ihre Daten auch tatsächlich wieder, weil Cyberkriminelle eben auch nur Geschäftsleute sind. Sie unterhalten sogar eigene Telefon-Hotlines, die den Opfern helfen, ihre Bitcoins zu überweisen und ihre Daten dann wieder zu entschlüsseln. Denn wenn bekannt würde, dass die Daten trotz Bezahlung verschlüsselt bleiben, würde wohl bald keiner mehr zahlen. Es ist wirklich unglaublich dreist, was da abläuft. Deshalb klicken Sie auch besser niemals auf verdächtige Anhänge und erstellen regelmäßige Back-ups Ihrer Dateien. Dann kann Ihnen eigentlich nicht sehr viel passieren.

Man sagt, die Zentren der Cyberkriminalität liegen in Russland, Nordkorea und Iran. Wie muss man sich das vorstellen? Gibt es dort so etwas wie eine IT-Mafia?

Nordkorea geht es um Devisen, China in der Regel um Wirtschaftsspionage. Und Russland und Iran wollen sich auf dem politischen Parkett Vorteile verschaffen. Besonders die Chinesen spielen ganz vorne mit. Staatlich gestützt, unterhalten sie in den Reihen ihrer Geheimdienste eigene Cyberabteilungen. Sogar in der Verfassung ist verankert, dass der Geheimdienst zum Wohle der eigenen Wirtschaft spionieren soll. Es gibt in China Riesengebäude, wo tagtäglich Tausende hochqualifizierter Mitarbeiter ein und aus gehen und, so wird wohl mit Recht vermutet, Firmen auf der ganzen Welt angreifen. Dahinter steckt zum einen klassische Wirtschaftsspionage, zum anderen die Vorbereitung auf einen möglichen Cyberwar. Nordkorea hingegen, das dringend Devisen braucht, spielt eine große Rolle bei Ransomware. Die Nordkoreaner verschlüsseln gerne Firmen und verlangen dann 100.000 Euro für die Freischaltung. Wer auf dem Gebiet der IT-Sicherheit übrigens auch extrem gut ist, allerdings ohne kriminellen Hintergrund, ist der israelische Geheimdienst. Warum ist die Strafverfolgung in diesen Bereichen so schwierig? Um nicht zu sagen: erfolglos? Ganz einfach, weil sich die Banden über die ganze Welt verteilen. Umso wichtiger wäre es, dass die Europäische Union endlich einheitlich und geschlossen gegen Cyberkriminelle vorgeht. Es sind ja fast immer mehrere Länder involviert, was es für die Strafverfolger extrem schwierig macht. Sie brauchen die Unterstützung von Europol und sehr oft auch über Europa hinaus. Zudem können die Hacker ihren Weg im Internet relativ gut verschleiern und ihre Position im Netz unheimlich schnell verändern. Häufig weiß man gar nicht, wer einem da gerade das Netz lahmlegt. Ein weiteres Problem ist die unterschiedliche Gesetzeslage. In Russland beispielsweise wird vieles gar nicht verfolgt, was in Deutschland illegal ist.

Unmengen von Daten werden heute gesammelt und kursieren im Netz. Von jedem von uns. Erschreckt Sie das nicht manchmal?

Big Data ist Chance und Fluch zugleich. Die Frage ist, was man am Ende daraus macht. Wenn die Ärzte beispielsweise wüssten, dass braunhaarige Menschen aus Scheidungsfamilien häufiger krank werden als andere, könnten sie ihnen vielleicht präventiv helfen. Gleichzeitig könnten Firmen aus ebendiesem Grund allerdings auch entscheiden, dieser Klientel in Zukunft keinen Job mehr anzubieten. Nicht die Daten an sich sind böse, sondern nur die Folgen, die wir daraus ableiten können. Seien wir deshalb froh, dass es in Europa noch ein großes Verständnis für den Datenschutz gibt – auch wenn er manchmal nervt.