Cybersecurity

Informationssicherheit: „Ein Restrisiko bleibt“

Peter Vahrenhorst ist Kriminalhauptkommissar im „Cybercrime Kompetenzzentrum“ des Landeskriminalamtes NRW. Im //next-Interview skizziert der Ermittler die häufigsten aktuellen Angriffsmethoden und warnt vor typischen Schwachstellen in den IT-Systemen von Unternehmen, Verbrauchern und selbstfahrenden Autos.

Als Cyber-Ermittler ist Peter Vahrenhorst ein gefragter Referent für Sicherheitsthemen, hier spricht er beim Sommerfest der Möbelverbände Herford im Jahr 2018. Peter Vahrenhorst ist ein gefragter Referent für Sicherheitsthemen, hier spricht er beim Sommerfest der Möbelverbände Herford im Jahr 2018.

Herr Vahrenhorst, als Kriminalhauptkommissar im „Cybercrime Kompetenzzentrum“ haben Sie spannende Einblicke in das Themenfeld „Cybersecurity“. Wie sind Sie zu dieser Einheit gekommen – und was sind dort Ihre Aufgaben?

Nun, Polizist bin ich zwar schon seit 41 Jahren – zu meiner neuen Einheit kam ich jedoch eher durch Zufall: Durch ein Studium 1998 konnte ich einen Laufbahnwechsel machen und hatte zunächst mit ausgespähten Zugangsdaten zu tun. Das war im Rückblick gewissermaßen der Einstieg in meine Laufbahn als Cyber-Ermittler. Im Laufe der Zeit hat sich das weiterentwickelt. Die Polizei gründete für dieses Zukunftsfeld ein eigenes Kommissariat, für das ich dann zehn Jahre lang Ermittlungen führte. Dann kam das Thema „Prävention“ auf – hier in Nordrhein-Westfalen wurde dafür 2011 ein „Cyber Crime Kompetenzzentrum“ im Landeskriminalamt eingerichtet. Seitdem verantworte ich dort das Thema „Awareness“, also Aufklärung und Prävention für Unternehmen. Anders gesagt: Ich gebe Unternehmen, ihren Mitarbeiterinnen und Mitarbeitern und vor allem der Geschäftsführung Tipps, wie sie ihre Digitalisierung sicherer gestalten. Die so genannten „Lessons Learned“ aus unseren Ermittlungsverfahren geben dabei wichtige Impulse: Warum sollten Firmen welche Schritte unbedingt machen, um nicht in ähnliche Fallen zu tappen wie die bereits Geschädigten?

Was ist jenen Betrieben denn passiert? Hätten Sie aktuelle Beispiele für typische aktuelle Bedrohungen? 

Aktuell beschäftigt uns vor allem das Thema „Ransomware“: Hier dringen Hacker in das System ein, verschlüsseln sensible Daten und verwehren den rechtmäßigen Nutzern den Zugriff. Erst gegen Zahlung eines Lösegelds – Ransom – kommen diese an den Schlüssel, um ihre Daten wieder nutzen zu können. Das ist aktuell leider eines der großen Phänomene unserer Zeit! Durch Schwachstellen in Systemen haben es die Täter einfach. Die Unternehmen sind dann häufig willig zu zahlen, da sie ihre Daten benötigen. Das passiert sowohl kleinen als auch größeren Unternehmen. Deshalb müssen wir so viel Wert auf den Schutz von Funktionalitäten legen! Andererseits gibt es aber auch Täter, die es auf Privatpersonen abgesehen haben. So wird auch Onlinebanking immer wieder geknackt, um Geld abzubuchen. Immer dort, wo Geld zu holen ist, sind Täter aktiv. Hier spielt auch Globalisierung und Digitalisierung mit hinein: Die Täter können überall auf der Welt sitzen – egal ob China, Russland, Nordkorea, Amerika oder doch hier bei uns in Deutschland. Das Opfer kennt sein Gegenüber nicht. Häufig sind sie sich der Schwachstellen vor der Tat gar nicht bewusst. Erst nach der Tat merken sie, wie wichtig IT-Sicherheit gewesen wäre … 


Bleiben wir noch bei privaten Haushalten: Was hat sich für diese verändert durch den Einsatz von Smart Gadgets? Ich zum Beispiel nutze einen Staubsaugerroboter. Birgt auch das Gefahren?

Generell gilt: Wenn man smarte Technik im eigenen Heim einsetzt, dann bitte bewusst und auf Sicherheit bedacht! Viele Angriffe gelten dem Onlinebanking per Notebook: Wie empfohlen wird dies häufig mit einer 2-FaktorenAuthentifizierung gemacht. Doch aus Bequemlichkeit lösen viele dies über ein Zertifikat, welches dauerhaft auf dem Rechner installiert ist. Und verlässt man dann kurz seinen Laptop und kommt wieder, fehlen 25.000 Euro auf dem Konto. Wie kann das sein? Es war niemand sonst im Haus, niemand ist eingebrochen – und trotzdem fehlt das Geld? Die Bank sagt „Es war dein Gerät, deine 2-FaktorAuthentifizierung: Du warst das!“ Die technische Analyse aber zeigt: Das Notebook war über dasselbe WLAN verbunden wie alle anderen Geräte auch. Und in dem Kühlschrank, der auch eine WLAN-Komponente hat, gab es eine Schwachstelle in der Software. Über die ist ein Hacker in das Heimnetz eingedrungen und hatte Zugriff auch auf das Notebook. Durch das dauerhaft installierte Zertifikat konnte er dann, ohne Kennwort einzugeben, das Geld abbuchen. Dieses Risiko lässt sich durch andere Einstellungen bei der 2-Faktor-Authentifizierung minimieren (mehr zum Thema auch hier auf //next)! Ansonsten hat man die Möglichkeit, zwei WLAN Netze bei sich zuhause einzurichten: eines für Fernseher, Spülmaschinen, Alexa, Glühbirnen und Saugroboter – und das andere für Banking und Home-Office. Zudem gehen wir generell sehr fahrlässig mit unseren Daten um! Wir geben bei jedem Gewinnspiel unsere Identität preis, posten in Social Media wie Facebook und Instagram. Das lässt natürlich Rückschlüsse über unsere Person zu. Das muss nicht schlimm sein, kann aber in einem sensiblen Bereich kritisch werden ...

Was halten Sie denn generell vom Smart-Home-Konzept? Bergen smarte Wassersensoren, Hauskameras & Co. Ihrer Erfahrung nach mehr Risiken, als sie Vorteile bringen?

Grundsätzlich stehe ich solchen Technologien sehr offen gegenüber. Mittlerweile besitze ich drei Alexas, einen Saugroboter sowie viele digitale Beleuchtungen. Doch: Wenn ich mir solche Gadgets gönne, dann muss ich sie unbedingt bewusst und sicher einrichten! Darüber muss ich mir schon im Vorfeld Gedanken machen. Ein Beispiel: Wenn mein Nachbar sich eine WLAN-Kamera in den Garten hängt und diese auch in meinem Netzwerk angezeigt wird, hat er was falsch gemacht. Es geht darum, die Chance der Technik zu nutzen – doch stets bewusst und in einem sicheren Umfeld.


Und wie stehen Sie zum „Robochauffeur“ und der Verletzlichkeit von selbstfahrenden Autos? Ist das auch schon Thema bei der Polizei?

Eine berechtigte Frage, denn uns ist oft gar nicht bewusst, was unsere Autos heute schon alles können. Für uns als Polizei war das ein ganz spannendes Thema, weil natürlich die Idee war, einen polizeilichen Computer in die Autos zu integrieren. Wir haben jedoch erstmal geprüft, in welches Umfeld wir das bauen würden. Dabei haben wir festgestellt, dass die heutigen Autos schon alle vernetzt sind und über enorm viel Technik verfügen: Spurhalteassistenten, Bremsautomatik und viele weitere Systeme funktionieren über Sensoren. Die Autohersteller wissen hierdurch ziemlich genau, wo wir gerade unterwegs sind und mit welcher Fahrweise, da ständig Telemetrie-Daten ausgetauscht werden.

Den Robochauffeur bei Uber gibt es in Amerika auch schon selbstfahrend im Realbetrieb. In Deutschland sind wir da noch nicht ganz so weit. Wir schauen jedoch auch in die Zukunft und haben in NRW bei der Polizei ein Science Lab. Dort wird bereits der „Streifenwagen 2027“ entwickelt, der genau in diese Struktursysteme eingreift –  denn auch die Stadt und der Verkehrsfluss werden irgendwann digital. Eines der Grundprinzipien muss aber sein, dass wir der Software vertrauen. Wenn diese eine Schwachstelle hat – und das ist in vielen Fällen noch so –  dann habe ich auch Bedenken, weil ich dann auf das Auto keinen Einfluss habe. Deshalb muss hier die Software sehr sicher gebaut sein. Ansonsten sitze ich in dem Auto – bin aber gar nicht dessen Herr. Im besten Fall fährt mich dann ein Hacker an einen anderen Ort, im schlimmsten Fall aber führt er einen Schaden herbei. Vor allem dann, wenn Menschenleben auf der anderen Seite stehen, ist es ein schmaler Grat: Sicheres autonomes Fahren bedeutet auch immer sichere Software und sichere Infrastruktur. Da müssen wir mit unterschiedlichen Playern noch dran arbeiten. Sonst würde ich in solch einen Wagen nicht einsteigen.

Ansonsten ist natürlich intelligente Verkehrssteuerung ein Riesenthema: In der aktuellen Situation könnte es jedoch darauf hinauslaufen, dass bei einem Hackerangriff alle Ampeln auf Rot geschaltet werden. Das würde zu einem kompletten Verkehrsstillstand führen, und Notarztwagen würde nicht mehr zu ihren Patienten kommen. Dann geht es schon wieder um Menschenleben. Das ist immer eine Kette von Reaktionen. Hier sind wir alle gefordert und müssen uns Gedanken über die möglichen Risiken und Auswirkungen machen. Auch aus unterschiedlichsten Rollen, denn wir vernetzen gerade die Welt. Wir müssen noch viel mehr in ein großes Ganzes kommen, sonst funktioniert das nicht.


Und welche Folgen hat all das für die Polizei? Wie hat sich Ihr Job verändert – und ist die Polizei für künftige Bedrohungen gut gerüstet?

Ich glaube, die Chancen für die Polizei liegen gar nicht mal darin, dass wir als Polizei jetzt Zugriff auf Daten haben, die wir sonst nicht hätten. In US-Fernsehsendungen ist das immer ganz toll: Deren Beamte greifen auf Kameras zu und greifen deren Daten ab – Sie haben quasi auf alles Zugriff. Das ist natürlich Science-Fiction! Es geht nicht darum, einen Überwachungsstaat zu schaffen. Aber es geht natürlich schon darum, auch hier die Möglichkeiten zu sehen – allerdings meine ich die Möglichkeiten, sich zu schützen. Mehr in die beratende Funktion zu gehen. In der täglichen Arbeit müssen wir wissen, wie Technologien funktionieren, warum etwa Hacker in ein Firmennetzwerk eindringen konnten. Das sind natürlich Dinge, die man als Ordnungshüter nachvollziehen können muss. Und auch hier gilt: Der Hacker kommt nicht mehr physisch vor die Tür, sondern er greift online an. Das verändert auch das Täterverhalten. Früher musste man dem Menschen ins Gesicht sagen „Du bist ein Idiot“, jetzt mache ich das – oft sogar anonym – per Social Media. Die Hemmschwelle, Täter zu werden, ist eine ganz andere. Die technischen Herausforderungen und Möglichkeiten sind auch für uns als Polizei nicht einfach, auch wir müssen in die Zukunft investieren. In Personal, in Schulungen und auch in Technik, um bestimmte Sachen abzubilden und am Ball zu bleiben.

Um gar nicht erst die Polizei einschalten zu müssen: Wie kann ich mich privat am besten vor Cyber Gefahren schützen? Was muss dafür vielleicht auch im Hintergrund geschehen, Stichwort: Versicherungen und Schutzsoftware?

Ein gewisses Schutzlevel braucht jeder. Am Ende würden Sie, glaube ich, schließlich auch nicht die Haustür offenlassen. Genau dieses Schutzlevel muss ich in der IT auch mit einbauen – allerdings muss ich hierfür erst verstehen, wie die jeweiligen Technologien funktionieren. Ein wichtiges Schutzlevel beispielsweise ist das bewusste Trennen des heimischen WLAN-Netzes, wie eingangs besprochen. Durch dieses Schutzlevel habe ich dann einen Großteil erreicht, aber auch nicht zu 100 Prozent. Ein Restrisiko bleibt. Um dieses abzumildern, können Versicherungen meines Erachtens eine gute Idee sein. Mit anderen Worten: Eine Cyberversicherung kann eine sehr gute Ergänzung sein, um Schäden für Privatpersonen und auch Firmen einzugrenzen – sie sollte aber nie alleine stehen.

Hätten Sie zum Abschluss bitte noch ein paar Tipps für uns, wo wir uns näher mit Security auseinandersetzen können?

Eine gute Plattform für Sie als Privatpersonen ist sicherlich das BSI für Bürger. Das ist eine große Behörde, die sehr viele Informationen bereitstellt. Sie setzen sich auch viel mit den Trends rund um’s Smart Home auseinander und bieten viele Sicherheitsratschläge. Da braucht man auch kein Informatikstudium, sondern bekommt leichte und gut umsetzbare Tipps. Außerdem sind die Verbraucherzentralen recht gut aufgestellt, etwa in Richtung Datensparsamkeit oder bei Fragen wie „Muss ich überall meine Daten angeben?“. Für den Unternehmensbereich gibt es unterschiedlichste Initiativen auch von der BSI Allianz für Cyber Sicherheit.

Interview: Alina Gedde