Linus Neumann, Keynote Speaker auf dem diesjährigen www.aareon-forum.de, ist Diplom-Psychologe und Hacker. Er berät Unternehmen und Betreiber kritischer Infrastrukturen rund um IT-Sicherheit. Im Chaos Computer Club engagiert er sich seit Jahren für netzpolitische Themen und ist mit seiner Expertise regelmäßig in Ausschüssen des Deutschen Bundestags gefragt. Auf dem Aareon Forum hält Linus Neumann den Vortrag: „Schöne neue Welt? Freiheit, Sicherheit und Recht in Zeiten der Digitalisierung“
Wo liegen die Hemmnisse für mehr Sicherheit in der IT-Welt? Liegt es an mangelndem Bewusstsein der Nutzer? Oder ist es eher eine Systemfrage durch fehlende Regulierung?
Ich fürchte, dass es leider an mangelnder Kompetenz liegt. Wie ich darauf komme? Auch da, wo Sicherheit immerhin als unerlässlich anerkannt ist, wird sie oft nicht korrekt umgesetzt – wider besseres Wissen! Das andere fundamentale Problem ist Komplexität. IT-Projekte werden oft mit der heißen Nadel gestrickt und haben schließlich einen viel größeren Umfang als ursprünglich geplant.
Das gilt für einzelne Software-Projekte ebenso wie „die gesamte IT“ von Organisationen. Diese Systeme versteht dann kein Mensch mehr und kann sie entsprechend auch nicht mehr sicher bedienen. Wenn das System selbst nicht intuitiv ist, dann ist es auch seine Sicherheit nicht.
Das wird leider auch so bleiben, bis wir eine IT-Basis-Kompetenz in der Gesellschaft haben. So ist es am Ende auch eine Frage der Bildungspolitik. Momentan basiert diese noch darauf, die Existenz von Computern und Internet so lange wie möglich vor Kindern geheim zu halten. Das wird katastrophale Folgen für die jungen Generationen haben, die Computer als geheimnisvolle Konsumgeräte mit sieben Siegeln kennenlernen, statt mächtiges alltägliches Werkzeug.
Linus Neumann
Jedes Jahr entstehen allein in Deutschland Milliardenschäden durch Cyberattacken, Phishing und Co. Wo sehen Sie Lösungen, die Privatpersonen wie Unternehmen für mehr Datensicherheit einfach anwenden können?
IT-Sicherheit ist ein Prozess und kein Zustand, den man erreichen kann. Natürlich wäre es schön und auch nach wie vor erstrebenswert, wenn Sicherheit einfach gekauft und angewendet werden könnte. Leider ist das nicht möglich, sonst gäbe es solche Produkte tatsächlich. Das ist aber leider nicht der Fall.
Ein einfaches Beispiel: Das technisch sicherste System bringt mir nichts, wenn ich überall das gleiche Passwort verwende. Eine Angreiferin knackt dann nur einen meiner Accounts und hat Zugriff auf alle. Die einzelnen Anbieterinnen können aber nicht sinnvoll prüfen, ob ich diesen Fehler mache oder nicht. Technisch lässt sich dieses Risiko kaum einfangen, außer mit einer 2-Faktor-Authentifizierung, die heute aber immer noch als zu umständlich empfunden wird.
Für die meisten Organisationen gibt es aber durchaus einen wichtigen Rat, den sie unbedingt befolgen sollten: Tägliche Back-ups von allen Systemen. Die Back-ups sollten so angefertigt werden, dass die gesicherten Systeme sie nicht löschen können, und der Back-up- Server darf nicht in die Domäne eingebunden sein. Dieser kleine Rat spart im Zweifelsfall Millionenschäden durch Ransomware.
Linus Neumann
Wie genau können Unternehmen von Ihrer Expertise profitieren? Hacken Sie sich auf Wunsch in deren Systeme oder geht es da eher um generelle IT-Schwachstellen? …
