Das 20. Jahr der SySS geht zu Ende

SySS-Geschäftsführer Sebastian Schreiber blickt im Interview auf IT-Sicherheitsthemen 2018 und künftige Entwicklungen

Herr Schreiber, in der Weihnachtszeit boomt bekanntlich der Onlinehandel. Liegen wir richtig mit unserer Intuition, dass zum Jahresende hin aufgrund der vielen online abgewickelten Bestell- und Bezahlvorgänge auch die Onlinekriminalität steigt?

Sebastian Schreiber: Beim analogen Handel hätten Sie mit dieser Vermutung Recht: Hier gehen wir davon aus, dass Umsätze und Diebstähle miteinander korrelieren. Sprich: Je höher der Umsatz, desto höher auch die Diebstahlrate. Auf den Onlinebetrug trifft das nicht zu. Hacking-Diebe klauen Login-IDs oder Ähnliches, indem sie beispielsweise Webshops angreifen. Das geschieht durchgehend das ganze Jahr über. Was um Weihnachten herum aber ganz sicher ansteigen wird, ist Mailorder-Betrug: Jemand bestellt Waren mit einer gefälschten Kreditkartennummer, lässt diese an eine Briefkastenfirma oder zu einem verlassenen Haus liefern und greift die Beute dann unerkannt ab.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht jährlich einen Lagebericht zur IT-Sicherheit in Deutschland. Für das Jahr 2018 hat das BSI festgestellt, dass im Vergleich zu den Vorjahren deutlich mehr Schadprogramme nicht als Dateianhänge, sondern über Links in E-Mails verteilt worden sind. Wie erklären Sie das?

Schreiber: Das hat einen ganz einfachen Grund: Beim Versenden von Links wird im Unterschied zum Versenden von Anhängen der Virenscanner umgangen. Mails mit Anhängen gelangen eventuell gar nicht in Ihr Postfach. Mails, die Links enthalten, haben es da leichter.

Kommen wir auf einen anderen Bereich zu sprechen, die Medizintechnik. Laut BSI wurde 2018 nachgewiesen, dass verschiedene medizinische Geräte wie Herzschrittmacher, Defibrillatoren, Beatmungsgeräte oder Infusionspumpen nicht ausreichend vor Hacker-Angriffen geschützt sind, weil hier eine höhere Sicherheit häufig eine geringere Funktionalität bedeutet.
Wie stehen Sie als IT-Sicherheitsexperte, der sich auch sehr für Zukunftsforschung interessiert, zu diesem Problem?

Schreiber: Nehmen wir das Beispiel Herzschrittmacher: Deren Akkustand muss regelmäßig ausgelesen werden. Dies geschieht per Bluetooth. Es gilt also das Risiko abzuwägen, inwiefern ein Täter in der Lage ist, durch einen Zugriff auf die Bluetooth-Verbindung zu töten. Die erste Hoffnung ist, dass die verwendete Technik ausreichend abgesichert ist. Die zweite Hoffnung ist, dass Bluetooth gar nicht dazu umprogrammiert werden kann, einen Tod auszulösen – und zwar auch nicht von legitimierten Personen! Für die Betroffenen ist natürlich Funktionalität sehr wichtig: Die Akkus von Herzschrittmachern müssen durch Operationen in Vollnarkose ausgetauscht werden. Sind die Akkus leistungsstark, brauchen Patienten vielleicht nur zwei Operationen statt zehn. Das ist viel wert!
Was Angriffe angeht, ist das Einfallstor bei der Bluetooth-Technologie die Verbindung. Diese hat aber eine relativ geringe Reichweite. Ein denkbares Szenario wäre: Man erpresst eine Stadt mit der Drohung, eine Art „Todessender“ zu errichten, die Herzschrittmacher stören, wenn man in ihre Nähe kommt. So etwas ist denkbar. Bedeutend wahrscheinlicher ist aber beispielsweise die Drohung, der Stadt das Licht auszuschalten, indem man einen großen Netzbetreiber angreift.

Tatsächlich ein beunruhigendes Szenario. Doch blicken wir einmal auf die nähere Zukunft: Aktuell diskutiert die Politik einen 5,5 Milliarden Euro schweren Digitalpakt zur besseren Ausstattung von Schulen mit IT-Infrastruktur. Wie ließe sich Ihrer Meinung nach am besten ein Bewusstsein für IT-Sicherheit schon im Kindesalter fördern?

Sebastian Schreiber: Wir leben in einer sich sehr schnell wandelnden Zeit. Früher war es so, dass man eventuell noch aus dem gleichen Schulbuch gelernt hat wie die eigenen Eltern. Das große Problem ist, dass die aktuellen Bildungssysteme nicht darauf ausgerichtet sind, in einer Zeit des sehr schnellen Wandels erfolgreich zu sein. Es gibt noch Lehrer, die keine E-Mail-Adresse nutzen. In der Schule wird die IT in der Regel noch von Lehrern nebenher betreut, häufig sogar von fachfremden. Unsere Schulen hier in Deutschland sehe ich sehr, sehr schlecht vorbereitet auf das, was kommt. Aber die Kinder und Jugendlichen beschäftigen sich von sich aus immer mehr und intensiver mit dem Feld. Zusammengefasst: Mein Vertrauen in die etablierten Bildungsmedien ist sehr schwach, aber die jungen Leute informieren sich selbst sehr gut.

Und last but not least: Welche Hoffnungen und Erwartungen richten Sie als Geschäftsführer der SySS GmbH an das Jahr 2019?

Schreiber: Ich sehe eine riesige Nachfrage in unserem Bereich. Ich sehe, dass wir sehr anspruchsvolle Kunden haben. Ich sehe, dass sich das Thema Penetrationstest weiter ausbreitet, gerade im Bereich Pentests von Hardware und Pentests mit Red Teaming-Charakter. Wir sind in einer Aufbruchsstimmung, es wird sich sehr viel ändern in der kommenden Zeit. 2019 wird super spannend werden!


Termine

29.01.2019 - 30.01.2019
Hack7: Sicherheit und Einfallstore bei Webapplikationen
05.02.2019 - 08.02.2019
Hack1/Hack2: Hacking Workshop
12.02.2019 - 13.02.2019
Hack6: Mobile Device Hacking
19.02.2019 - 20.02.2019
Hack5: Exploit Development