"Das Cyber-Wettrüsten hat begonnen"

Daten sind das neue Öl. Dieser Meinung ist auch Sicherheitsexperte Mikko Hypponen. Warum Datenunternehmen so wertvoll sind wie Ölförderungskonzerne, wie Hacker mit gestohlenen Passwörtern Millionäre werden und warum sich Regierungen in einem neuen Wettrüsten befinden, erklärte der Chief Research Officer von F-Secure auf der CeBIT.

Immer wieder schaffen es Hacker, in die Netzwerke großer Unternehmen einzudringen und Nutzerdaten zu stehlen. Aus E-Mail-Adressen und Passwörtern lässt sich heute richtig viel Geld machen. „Und zwar so viel Geld, dass man sich damit aus der Portokasse einen Porsche, einen Rolls Royce und einen Aston Martin kaufen kann“, sagt Sicherheitsexperte Mikko Hypponen und zeigt Bilder zweier – mittlerweile gefasster –  russischer Hacker, die auf ihrem Instagram-Account mit ihren kostspieligen Besitztümern posieren.

Ein Passwort für mehrere Accounts

Der Mechanismus dahinter ist erschreckend simpel. „Menschen recyclen Passwörter“, so der Chief Research Officer von F-Secure, der seit 26 Jahren im Bereich IT-Sicherheit tätig ist. Als 2012 LinkedIn gehackt wurde, konzentrierten sich die Angreifer auf die erbeuteten Googlemail-Adressen. Immerhin 10 Prozent der Nutzer verwendeten bei beiden Portalen das gleiche Passwort. Die Hacker loggten sich ein, suchten im Postfach nach Zugangsdaten von Webshops – und bestellten: iPads, Playstations, Laptops. Waren die Passwörter für die Accounts nicht zu finden, nutzen die Hacker den „magischen Button“, sagt Hypponen: „Passwort vergessen?“

„Den ‚Inhalt aktivieren‘-Button sollte man umbenennen. In ‚Infiziere mein System‘.“

Mikko Hypponen
Der finnische Sicherheitsexperte Mikko Hypponen

Doch wie gelangen die Angreifer überhaupt ins Unternehmensnetzwerk, um dort Daten abzugreifen? Der Weg führt häufig über die HR-Abteilung. „Angestellte öffnen den ganzen Tag Bewerbungen mit Anhängen. Der üblichste Hackertrick funktioniert über Makros in Word- oder Exceldateien“, so Hypponen, und schlägt vor, den Button „Inhalt aktivieren“ in „Infiziere mein System“ umzubenennen. Quasi über Nacht befällt der Virus weitere Systeme – und öffnet Hackern das Tor. Statt die gestohlenen Daten weiterzuverkaufen, erpressen die Kriminellen die Geschädigten: Sie können sie entweder für 1.200 Euro zurückkaufen – oder kostenlos zurück erhalten, wenn sie zwei weitere Internet-Nutzer opfern und ebenfalls mit dem Virus infizieren.

Die Schattenseiten der IoT-Revolution

Daten sind heute so wertvoll wie Öl. Der Sicherheitsexperte ist überzeugt davon, dass in naher Zukunft auch alle Haushaltsgeräte mit dem Internet verbunden sind. „Toaster werden dann Informationen über Ihre Gebrauchsgewohnheiten an die Hersteller schicken, ohne, dass Sie davon wissen.“ Wenn alles miteinander vernetzt ist, entstehen neue Einfallstore: Hacker können über die Kaffeemaschine in das Smart Home eindringen. Das funktioniere auch deshalb so einfach, weil „kaum jemand eine Bedienungsanleitung durchblättert, um beispielsweise ab Werk voreingestellte Passwörter zu ändern.“

„Wir erleben gerade das nächste große Wettrüsten.“

Obwohl Hypponen kein Freund von Regulierungen ist, betont er, dass Gesetze im Falle von Cybersecurity der einzig richtige Weg seien. Er sei deshalb wichtig, dass es neue Richtlinien gebe – wie die GDPR-Richtlinie der EU, mit der Unternehmen ab 2018 bei Datenverlust bestraft werden sollen. „Das macht bis zu vier Prozent ihres globalen Umsatzes aus.“

Der Ausblick, den Hypponen auf die nächsten Jahre gibt, ist düster. So seien Cyberwaffen auf dem Vormarsch. Doch im Gegensatz zu „herkömmlichen Waffen“ fehle bei diesen die Abschreckungsgefahr. Niemand wisse, welches Angriffspotential beispielsweise Deutschland habe. „Befinden wir uns bereits in einem Cyberkrieg? Auf jeden Fall hat ein großes Wettrüsten begonnen.“ Wenn Soldaten sterben, weil aufgrund gehackter Smartphones ihr Standort an Feinde verraten wurde, sei das bereits Krieg.

Die Keynote von Mikko Hypponen auf der CeBIT können Sie sich hier ansehen.

Titelfoto und Vortragsfoto: © Deutsche Messe

Alle Kommentare (0)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*