IT-Sicherheit 2024 = Aufklärung 2.0: "Wir brauchen den Ausgang des Menschen aus seiner selbstverschuldeten IT-Unmündigkeit!"

Ein bewegtes Jahr 2023

Pentest Blog: 2023 feierte die SySS ihr 25. Jubiläum. Was waren Ihre persönlichen Highlights?

Sebastian Schreiber: Der Jubiläumsbetriebsausflug, unsere Kreuzfahrt in der türkischen Ägäis mit den sechs Zweimastern – das war für mich nicht nur ein Highlight letztes Jahr, sondern ein Highlight in der gesamten Firmengeschichte. Wir machen jedes Jahr tolle Reisen, aber das setzt dem Anlass natürlich die Krone auf. Ansonsten hatte ich das Gefühl, dass seit 2023 die Corona-Nachwehen bezüglich Konferenzen endgültig weg sind, z. B. waren 24 Kolleg:innen auf dem Chaos Communication Congress in Hamburg. Aber auch die anderen großen Konferenzen, wie die Handelsblatt Jahrestagung Cybersecurity, die für mich persönlich auch immer eine Herzenssache ist, und der Talk von Moritz Abrell auf der Black Hat in Las Vegas waren ein voller Erfolg. Wir waren natürlich auch wieder auf der it-sa, den Internet Security Days im Phantasialand und der IKT in Linz. Mich freut, dass die Zeit der menschlichen Kontakte wieder da ist!

Pentest Blog: Auf der anderen Seite der IT-Sicherheit war 2023 ein Jahr der zahlreichen erfolgreichen Cyberangriffe. So waren laut dem Bundesamt für Sicherheit in der In­for­ma­tions­tech­nik (BSI) Ransomware-Angriffe mit Lösegeldforderungen (wie bereits die Jahre zuvor) noch immer die Hauptbedrohung im Cyberraum. Zum Beispiel gab es einen großen Hackerangriff auf die Südwestfalen-IT und einen mit anschließendem Datenleak bei der Hotelkette Motel One, bei dem private Informationen von Gästen veröffentlicht wurden. Wie funktionieren diese Angriffe?

Sebastian Schreiber: Bei der Südwestfalen-IT wurde das Rechenzentrum geknackt und deswegen lagen die IT-Systeme von vielen Kommunen wochenlang brach. Datenleaks wie bei Motel One stehen in den allermeisten Fällen im Zusammenhang mit Krypto-Ransomware-Angriffen. Die Täter drohen hier nach der Ver­schlüs­se­lung der Daten damit, ausgewählte Daten zu veröffentlichen, wenn das Unternehmen den Schlüssel nicht kauft, um dem Unternehmen Schaden zuzufügen. Das bedeutet, die Täter haben einen Weg gefunden, Hackererfolge zu monetarisieren. Kurz gesagt: Hacker knacken Systeme, verschlüsseln die Daten und stellen hin­ter­her eine Lösegeldforderung. Und hier zeigt es sich oft, dass Täter mit verblüffend einfachen Techniken erfolgreich in die Unternehmen kommen.

Pentest Blog: Worauf lässt sich der oftmals einfach zu erzielende Erfolg dieser Angriffe zurückführen?

Sebastian Schreiber: Das liegt daran, dass auch Unternehmen, die schon IT Security betreiben (Firewalls, Virenscanner etc.), oft noch offene Flanken haben. Es werden immer wieder, aus ganz unterschiedlichen Gründen, zentrale IT-Sicherheitsmechanismen vergessen – das ist gefundenes Fressen für die Ransomware-Gangs. Retrospektiv betrachtet stellen wir immer wieder fest, dass unsere Consultants das auch herausgefunden hätten, möglicherweise schon im ersten Vier­tel­tag eines Projekts. Daher gilt: Unternehmen müssen mehr in IT Security investieren!

Pentest Blog: Unterscheiden sich die heutigen Ransomware-Angriffe denn von denjenigen der letzten Jahre?

Sebastian Schreiber: Ja, das Interesse der Täter ist mittlerweile klar finanziell motiviert: Früher waren die Leaks für die Täter mit Jagdtrophäen vergleichbar, heute überwiegt die wirtschaftliche Komponente eindeutig. Da ist ein klarer Trend hin zur Professionalisierung und Spezialisierung erkennbar: Die Angriffe sind zwar die­sel­ben wie vor zehn Jahren, aber die Täter agieren jetzt wie Franchise-Unternehmen. Sie nutzen Arbeitsteilung, haben einen Customer Support und eine richtige Human Resources (HR)-Abteilung. Sie werden dadurch natürlich viel effizienter und können ihr „Cybercrime-as-a-Service“-Modell günstiger anbieten.

2024: Penetrationstests, KI, Cyberkrieg und neue EU-Richtlinien

Pentest Blog: Was glauben Sie, wird 2024 das wichtigste Thema innerhalb der IT-Sicherheit werden?

Sebastian Schreiber: Dieses Jahr wird KI ein großes Thema sein, denn mittlerweile kann man einer KI, ähnlich wie bei ChatGPT, Angriffe füttern und die KI kann daraus neue Angriffe bauen. Ich erwarte eine Vielzahl von neuen Angriffstechniken und auch eine Beschleunigung.

Pentest Blog: Wie haben Sie und die SySS vor, dem zu begegnen?

Sebastian Schreiber: Unser Rezept ist nach wie vor: Durchführung von Penetrationstests, Beheben der Schwachstellen und daraus lernen. Diese drei Dinge sind die Blaupause sowohl für kleine als auch für große Unternehmen, wenn sie nicht gehackt werden möchten. Deswegen boomt unsere Branche so sehr. Pentests müs­sen auch weiterhin zunehmen, da Schwachstellen und Angriffe ja auch immer bekannter werden.

Pentest Blog: Fördern dahingehend Richtlinien wie die NIS 2 ein Umdenken in den Unternehmen, hin zu mehr IT-Sicherheit?

Sebastian Schreiber: Gesetzliche Beschlüsse auf europäischer Ebene zwingen nun auch kleinere und mittlere Unternehmen, sich mit Cybersicherheit zu be­schäf­ti­gen. Wir bei der SySS merken hier auf jeden Fall schon einen Anstieg der Pentests bei eher kleinen Unternehmen, die oft sehr spannend sind und die wir natürlich auch gerne bedienen. Dahingegen war das etwas, worüber sich früher eigentlich nur die großen DAX-Player Gedanken gemacht haben.

Pentest Blog: Helfen solche Maßnahmen auch auf der Ebene von staatlichen Institutionen und Akteuren, in Zeiten zunehmender Cyberkriegsführung und der „welt­weit größten Cyberattacke auf Telekommunikations-Infrastruktur“ im Dezember letzten Jahres?

Sebastian Schreiber: Höhere Schutzwälle aufzubauen, hilft gleichermaßen gegen Gelegenheitstäter, aber auch gegen staatliches Hacking. Eine resilientere IT muss auch hier das Ziel sein!

Pentest Blog: Spielen neben dem Penetrationstest als wichtigstem Instrument auch präventive Maßnahmen wie z. B. Phishing-Simulationen eine wichtige Rolle?

Sebastian Schreiber: Klares „Ja!“. Phishing und Spam nutzt auch jetzt schon KI, im Gegensatz zu früher schlecht gemachten Phishing- und Spam-E-Mails sind sie heute ohne Weiteres nicht zu unterscheiden. Zukünftige Phishing-E-Mails nehmen Bezug auf etwas real Existierendes und sorgen dafür, dass wir den Eindruck ha­ben, dass sich die Phishing-E-Mail unmittelbar an mich wendet. Ich nehme die Mail dann ernst und bearbeite sie dementsprechend. Da müssen wir einen schär­fe­ren Blick auf eingehende Mails haben. Und das kommunizieren wir in unseren Phishing-Assessments sowie in unseren Schulungen.

Die SySS 2024: Innovation und Beständigkeit

Pentest Blog: Wie haben Sie vor, sowohl IT-Sicherheit umfänglich zu betrachten als auch spontan auf neue Herausforderungen zu reagieren? Wie reagiert die SySS konkret auf die heutigen Anforderungen und Problematiken bez. Cybersicherheit?

Sebastian Schreiber: Ich bin mir sicher, dass aufkommende KI-Angriffe dazu führen werden, dass Unternehmen noch stärker unter Beschuss sind und damit auch mehr Pentests bei uns nachgefragt werden. Wir müssen dann natürlich in der Lage sein, da mitzuhalten. Optimalerweise müssen wir im Voraus Angriffe, die es jetzt noch gar nicht gibt, bedenken und eine resilientere Infrastruktur vorschlagen. Wir müssen unseren Kunden dabei helfen, ihre Infrastrukturen gegen zu­künf­ti­ge Exploits und Angriffe zu härten. Ich sehe die SySS nach wie vor als hochspezialisiertes Unternehmen in einer Nische der IT-Sicherheitsbranche. Wir können of­fen­si­ve Sicherheit und Incident Response – und das besser als jeder andere. Ich bin bereit, in unserer kleinen Branche viel zu investieren. Da will ich der Beste sein, da will ich Avantgarde sein, da will ich Markt- und Technologieführer sein!

Pentest Blog: Sie haben bereits 2009 die Berufsethik für Penetrationstester formuliert. Sind die Werte für Sie weiterhin aktuell?

Sebastian Schreiber: Ja, natürlich! Ich möchte keinesfalls Produkte verkaufen, denn das würde unsere Dienstleistung verwässern und auch unsere Objektivität trüben. Unsere Penetrationstests müssen lauter und unabhängig sein. Bei unseren Beratungsgesprächen nehmen wir immer die Interessen der Kunden wahr, wir wollen aber auch, dass dies offensichtlich ist, dass es also nicht zu Interessenskonflikten kommt. Nur so können wir unsere Qualitätsversprechen einlösen.

Pentest Blog: Wie stellt die SySS den Qualitätsanspruch und die Fertigkeiten ihrer IT Security Consultants auch in Zeiten der schnellen digitalen Entwicklung sicher?

Sebastian Schreiber: Wir führen in unserem eigenen Labor Forschungsprojekte durch, testen z. B. Software, Hardware und Funkkommunikation als Grund­la­gen­for­schung, um Schwachstellen zu finden, aber auch, um unsere eigenen Tools zu schärfen und Skills aufzubauen. Die SySS-Mitarbeiterinnen und -Mitarbeiter be­such­en re­gel­mä­ßig Schu­lung­en und wir bieten auch selbst viele Schulungen am Markt an. Aber auch für die Ausbildung unserer jungen neuen Mitarbeiterinnen und Mitarbeiter stellen wir im Rahmen unseres Einarbeitungsprogramms mit Vollzeittutoren sicher, dass sie gut eingearbeitet werden. Wir scheuen da keine In­ves­ti­tion­en, da wir immer ganz oben mit­spie­len wollen. Und das können wir uns leisten.

Pentest Blog: Welche konkreten Ziele möchten Sie dieses Jahr mit der SySS erreichen?

Sebastian Schreiber: Mein Ziel für 2024 sind zufriedene Kunden, zufriedene Mitarbeiterinnen und Mitarbeiter und ein kleines Wachstum. Und ich will unsere Skills zum Beispiel im Bereich Red Teaming verbessern. Ich möchte auch gerne weitere Rahmenvertragskunden gewinnen. Aber unabhängig von den Zahlen, die ich mir jeden Tag anschaue: Was mich persönlich wirklich freut, ist, wenn wir von den Kunden echten Dank bekommen. Ich freue mich dann natürlich auf das Reisen, viele span­nen­de Menschen zu treffen und noch mehr als im letzten Jahr eine hochwertige menschliche Kommunikation zu pflegen, die nach wie vor an einem Tisch statt­fin­det – nicht in einem Zoom-Raum. Ich möchte außerdem meinen Kunden wieder mehr Besuche anbieten.

3 Schritte zu Ihrer IT Security

Pentest Blog: Welche drei Tipps können Sie abschließend unseren Leser:innen mit auf den Weg geben, die sie gleich umsetzen können, um ihre IT-Sicherheit zu ver­bes­sern?

Sebastian Schreiber:

1. IT-Sicherheitskompetenz: Lassen Sie sich auf die uns täglich begleitenden Technologien ein und versuchen Sie, diese wirklich zu verstehen. Dann ist es sehr viel schwerer, Sie zu hacken, denn der menschliche Faktor ist hier immer eine sehr große Schwachstelle. Das ist eine Herausforderung der heutigen Zeit, der wir uns alle stellen müssen. Ich empfehle Neugier, Interesse, und fragen, fragen, fragen! Gemäß Immanuel Kants Definition der Aufklärung möchte ich zu einer Auf­klä­rung 2.0 aufrufen: Wir brauchen den Ausgang des Menschen aus seiner selbstverschuldeten IT-Unmündigkeit!
2. Dauerbrenner Passwortsicherheit: Hier heißt die Lösung längere Passphrasen und vor allem Zwei-Faktor-Authentifizierung, denn einer reicht nicht aus. Es kommt sehr häufig vor, dass schwache Passwörter ohne Zwei-Faktor-Authentifizierung die Schlüssel zu ernsten Sicherheitsvorfällen sind.
3. „Hygiene“: Systeme sollten elegant konfiguriert sein: Wo habe ich meine Passwörter hinterlegt? Wo gibt es überhaupt Passwörter, wo gibt es Zertifikate? Das wird immer komplizierter, deswegen sollte man da aufräumen und Applikationen sowie Vertrauensstellungen, die man nicht benötigt, deaktivieren, damit es halb­wegs beherrschbar ist.

Pentest Blog: Vielen Dank, Herr Schreiber, für das aufschlussreiche Gespräch, und ein erfolgreiches Jahr 2024!