Einer dieser Tage oder „Muss man wirklich immer die Ruhe bewahren?“

Unverständnis beginnt mit Selbstüberschätzung

Was war passiert? Ich fahre wie so oft zu einem normalen mittelständischen Kunden. Einem, von dem man annehmen sollte, er sei mit Weitsicht dahin gekommen, wo er jetzt ist. Einen, von den Erfolgreichen. Self Made versteht sich. Wie für einen guten Berater üblich, spreche ich ihn natürlich auf das immer aktueller werdende Thema Cyberversicherung an. Und dann kommt wieder das, was in letzter Zeit oft der Fall ist. Ich ernte, aus tiefstem Herzen kommendes, absolutes Unverständnis. Einfach so. Begründet? Nein!
O-Ton: Man sei ja gut vorbereitet. Man beschäftige gar einen EX-Kriminalkommissar, seines Zeichens IT Forensiker und habe natürlich sämtliche Systeme nicht bloß durch eine Firewall, sondern gleich durch mehrere gesichert. Virenschutz “State oft the Art“ sei sowieso selbstverständlich. Datenschutz wurde bereits weit vor der DSGVO großgeschrieben und alle Mitarbeiter - bis hin zum Hausmeister - seien im richtigen Umgang mit verdächtigen E-Mails und der EDV geschult.
An dieser Stelle möchte ich klarstellen, dass genau solche Aussagen mehr oder minder das sind, was ich hören möchte. Es kann schließlich kaum in meinem Interesse sein, mit anzusehen, wie ihm aufgrund von Problemen mit der IT oder den Datenschutzbehörden irgendwann das Wasser bis zum Halse steht und das nur, weil er sich vorab keine Gedanken dazu gemacht hat, inwieweit man seine Cyber -Security und -Safety verbessern kann.

Dennoch bleibt zu attestieren, dass selbst das ausgefeilteste System an IT-Sicherheit keinen hundertprozentigen Schutz bieten kann. Warum? Das lässt sich wohl am einfachsten an einem bildhaften Beispiel erklären.

Nur, weil man es nicht anfassen kann, darf man es nicht vernachlässigen

Auf der einen Seite ﬁndet sich diese, aus Nullen und Einsen im Nebel der Unkenntnis wabernde, irgendwie auch geheimnisvolle, aber doch funktionierende Software. Und auf der anderen Seite etwas, das wir zumindest glauben zu verstehen, das Auto.

Ich mache sehr ungerne Unterstellungen, aber seien wir einmal ehrlich. Niemand würde doch jemals ein Auto kaufen, bei dem ersten Tag nach dem Kauf eine neue Bremsanlage geliefert würde, die dann auch bitte noch selbst zu montieren wäre.

Bei Software indes nehmen das alle einfach so hin. Der Day One Patch [1] bei Windows 10 zum Beispiel hatte eine Größe von einem Gigabyte (GB). Ein GB ist doch nichts? Zur besseren Darstellung: In normiert beschriebener A4 Seitengröße wiegt das mit Code beschriebene Papier (500.000 Blatt) damit so viel wie ein etwas teureres Modell aus Zuﬀenhausen. Eine Menge Code also, welche hier ersetzt wird.

Und die Installation von selbigem hat man dann auch noch selber durchzuführen. Zumindest sind die meisten Hersteller so nett und weisen einen auf die so dringend notwendige Aktualisierung via Pop-up unten rechts auf dem Desktop hin.

Lustige Anekdote in diesem Zusammenhang, mit der nicht funktionierenden Bremse würde vermutlich niemand mehr die Garage verlassen. Aber ggf. grinsen Sie jetzt schon. Wer hat denn noch niemals den Button „später erinnern“ angeklickt. Wenn man es aber nicht macht, stehen die Scheunentore halt weit auf. Den Anbieter indes interessiert dies dann nicht mehr.
Malen wir diesen Vergleich mit dem gleichen Produkt ein wenig mehr aus. Im Oktober 2018 wäre man dann morgens aus der Tür gegangen und hätte statt dem Fahrersitz gähnende Leere im Auto vorgefunden. Schlimm genug, dass das Fahren damit unmöglich geworden wäre, aber ganz nebenbei hätte man auch die so liebgewonnen, persönlich ans Hinterteil angepassten Kuhlen im Sitz verloren, welche einem nach dem Einsteigen so ein heimeliges Gefühl vermitteln.
Was war passiert? Nach einem größeren Update[2] von Windows 10 war es vermehrt zu einem Fehler gekommen, bei dem ein ganzer Ordner mit persönlichen Dateien vom PC verschwunden ist. Tatsächlich weg. Microsoft zog in diesem Zusammenhang das Update zurück, ja warnte gar vor der Installation.

Ca. einen Monat später dann, wurde das Update aktualisiert nachgeschoben (auch wenn dies bis zum Tage wo ich hier sitze und schreibe, aus Angst erst ca. fünf Prozent aller Windows 10 Nutzer das Update installiert haben). Das System hatte die Daten zum Glück nicht gelöscht, den Sitz also nur verlegt, aber dem ein oder anderen damit ganz schön den Tag versaut.

Aber mal ehrlich, wenn wir wüssten, dass uns so etwas bei einem Auto passieren kann, würde das noch jemand kaufen? Bei Software indes haben wir uns damit abgefunden, dass es immer einmal Lücken, Fehler und Probleme gibt.

[1] Fehlerbehebungen durch ein Update am Tage des Releases
[2]Microsoft Windows 10. Oktober 2018 Update

Kleiner = besser?

Paswort steht in der Mitte von ganz vielen Zahlen und dieses Wort wird mit einer Pinzette

Jetzt wird der ein oder andere sagen: “Na ja, aber das war ja Microsoft, ein riesen Laden mit einem hochkomplexen Programm. Bei Anbietern von Virenscannern und Firewalls kann sowas kaum passieren. Die halte ich ja aktuell und ganz so komplex ist deren Programmierung ja nicht. Und weil das (Ironie an)

„kleinere Unternehmen sind, die deutlich weniger Geld und Programmierer haben“ (Ironie aus), arbeiten die ja viel effektiver. Damit werden ja sämtliche Probleme die IT Seitig bestehen beseitigt.

Jemand der diesem Irrglauben erliegt, dem sei das ein oder andere Video von Dr. Sandro Gayken[3] empfohlen. In seinen Ausführungen stellt er deutlich heraus, dass diese kleinen Unternehmen aufgrund von fehlenden Mitteln und / oder fehlenden Mitarbeiterkapazitäten kaum in der Lage sein können, sämtliche Fehler in Ihrem Programm Code aufzudecken.

Er geht gar einen Schritt weiter. Gemäß seinen Ausführungen, erleidet ein System, auf dem eine Sicherheitssoftware aufgespielt ist, gar einen Netto Sicherheitsverlust. Und wenn jemand, der die Bundesregierung sowie die Streitkräfte in IT-Sicherheit berät, solche Aussagen tätigt, dann kann man unterstellen, dass ggf. etwas an solchen Aussagen dran ist.

"100% Sicher“ das ist leider nur der Tod

Festzuhalten bleibt also, dass eine 100% Sicherheit niemals zu gewährleisten ist[4]. Datenlecks, welche selbst bei Sony[5], Apple[6], LinkedIn[7] und vielen anderen Unternehmen auftreten -und denen attestiere ich beileibe das Know-how, die Mittel und die Ressourcen um Systemsicherheit bestmöglich zu gewährleisten- , zeigen auf, dass es ein wenig vermessen ist als Mittelständler zu behaupten, mir könne so etwas nicht passieren. Hier mal ein paar andere Hacks der letzten Jahre, die mehr oder minder umfangreiche Auswirkungen hatten:

Stahlwerk: Mittels ausgefeiltem Social Engineering (also dem Versuch über Mitarbeiter an Zugänge und Informationen zu kommen) gelingt es Hackern, sich Zugriﬀ auf die Steuerung der Produktionsanlagen eines Stahlwerkes zu besorgen. Der Ofen beﬁndet sich daraufhin in einer unkontrollierten Lage und es entstehen immense Schäden am Material.
Flughafen: Die schwedische Bodenkontrolle wird augenscheinlich Ziel eines Hackerangriﬀs. Diesen gelingt es mehrfach die Beleuchtung der Landebahn ein und auszuschalten.
Krankenhäuser: Das Lukaskrankenhaus in Neuss wird gehackt & im Frühjahr 2017 legt ein Erpresservirus (vermutlich der Anhang einer E-Mail) 45 Krankenhäuser in England lahm.
2018: Es kommt zum Hack der weltweit größten Hotelkette. Das Reservierungssystem der Hotels Westin, Sheraton, Le Méridien, St. Regis und W Hotels ist der Betreiberﬁrma Marriott wird unberechtigt inﬁltriert und Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum, Kreditkartendaten von mehr als 320 Millionen Hotelgästen wurden unbefugt kopiert. Ganz Neben bei erbeuten die Hacker noch die Daten zu den Reisezeiträumen.

[3] https://www.youtube.com/watch?v=sxzCbLRbIkA (Beispiel eines seiner Videos gefunden am 01.12.2018)

[4] Siehe dazu auch den jährlichen BSI Lagebericht zur IT Sicherheit (gefunden am 01.12.2018)

[5] Hacker entwenden Mailverkehr, Daten sowie E-Mail Adressen von Angestellten und vieles mehr. (gefunden am 01.12.2018)

[6] Ein 19-Jähriger hat binnen eines Jahres ca. 90 GB Daten von Apple geklaut.

[7] Diebstahl von 167.000.000. Nutzerkonten tauchen im Netz auf.

„Selbstüberschätzung“ versus „Realität“

Mann mit einem Hoodie und Kopfhöher, den man von hinten sieht, gzckt auf einen Bildschirm mit Daten

Aber genug dessen, kommen wir doch zu unserem Unternehmer zurück. Seien wir einmal ehrlich. Wenn jemand einen solchen Schutz aufbieten muss wie unser angesprochener Geschäftsführer, ja gar seinen eigenen Forensiker bezahlt, dann hat doch mit Sicherheit auch einen Grund. Zu vermuten wäre, dass insgeheim das Gefühl vorherrscht, vielleicht doch sensible Daten zu verwalten, respektive kaum einen Ausfall seiner Systeme verkraften zu können.

Wenn dem so ist, muss ich mir die Frage stellen, wie er dann blind darauf vertrauen kann, das einige vorgeschaltete Filter für eine 100% Sicherheit sorgen? Hinzu kommt, jeder noch halbwegs logisch denkende Mensch weiß doch, dass Menschen für die Wartung eines solchen IT-Sicherheitssystems verantwortlich sind. Und Menschen machen bekanntlich Fehler. Selbst der beste IT Forensiker ist nämlich beileibe nicht in der Lage, jede Zeile Programmcode seiner Systemprogramme zu checken, um damit zu 100% auszuschließen, dass sich nicht doch für Hacker nutzbare Fehler im Programmcode beﬁnden. Wer sich einmal damit auseinandersetzen möchte, dem sei die Website der National Vulnerability Database NVD[8] empfohlen.

[8] https://nvd.nist.gov/vuln/search (https://nvd.nist.gov/vuln/search?usernotreleased) (gefunden am 29.11.2018 )

Was oft vergessen wird

Taste einer Tastertur auf der Datenschutz steht

Neben der Tatsache, dass er seine eigenen Systemprogramme hauptverantwortlich im Auge haben muss, dürfte es in diesem Zusammenhang Geschmäckle haben, dass viele unserer täglich genutzten Programme zusätzlich auf bestimmte andere Programme zurückgreifen, um eine schnelle Funktionalität zu bieten. Ich führe hier einmal JAVA an, dessen Laufzeit Umgebung ja so ziemlich von keinem PC wegzudenken ist. Unser glorreicher Forensiker nimmt den Mund schon sehr voll, wenn er seine Hand auch noch für diese - ich nenne sie einmal – Zusatzprogramme ins Feuer legt.

Zudem sind Updates / Sicherheitspatches ja ein unbedingt einzuhaltender Teil bei der Arbeit an Sicherheitsrelevanten Systemen. Wer aber übernimmt die Arbeit, wenn der damit beauftragte Mitarbeiter krank oder im Urlaub ist? Ein Bekannter hat mir in meiner Jugend einmal eine schöne Geschichte erzählt. Er ist in der DDR aufgewachsen und war damit zwingender Bestandteil des Militäraparates der DDR. Ein Spaß auf den späteren Ehemaligetreﬀen war immer folgender Satz. „Hätten wir gewusst, dass sonntags keiner bei der Bundeswehr arbeitet, wäre es ein leichtes gewesen einzumarschieren“. Das dies vermutlich nicht der Wahrheit entspricht ist mir klar, aber es ist eine nette Anekdote, die aufzeigt wie man aus dem damaligen „Ausland“ auf die Arbeitsweise der Bundesbürger geschaut hat.

Man versetze sich jetzt doch einfach in die Lage eines nicht ganz so netten Hackers oder Ideensuchers aus vielleicht Fernost, also dem heutigen „Ausland“. Mithilfe von Facebook ist heute doch ein leichtes herauszuﬁnden, wann der verantwortliche IT Mitarbeiter im Wochenende oder gar im Urlaub ist. Ein guter Zeitpunkt, um eine Attacke durchzuführen.

Um - auch wenn ich etwas aufgewühlt bin - zum Abschluss zu kommen, man muss schon die Fäuste ballen, um ruhig zu bleiben und nicht mit der falschen Wortwahl wachzurütteln. Denn, wie solch emotional aufgeladene warmen Worte dann ankommen, kann sich wohl jeder selber ausmalen.

Die Hoffnung bleibt, dass irgendwann auch in den letzten Winkeln ankommen möge, wie wichtig ein vernünftiger Cyberversicherungsschutz ist. Bis dahin werde ich mir weiterhin das Unverständnis der Unternehmer anhören und meine Botschaft in die Welt tragen. Wie ein Bauer der säht hoﬀe ich auf reiche Ernte.