Karsten Nohl
Karsten Nohl ist Gründer und Forschungsleiter der Security Research Labs. Zu seinen Forschungsgebieten gehören GSM-Sicherheit, RFID-Sicherheit und der Schutz der Privatsphäre. Er selbst bezeichnet sich als „Hacker“. Sein Team hackt „um zu verstehen, was Technik sicher macht, oder, im Umkehrschluss, was dazu führt, dass Technik immer und immer wieder unsicher gebaut wird.“ Im folgenden Interview berichtet er von seiner Tätigkeit und seinen Projekten als Hacking-Spezialist und von seinem Interesse, Technik durchdringen und verstehen zu wollen. Des Weiteren gibt er Einblicke in die technischen Herausforderungen, die er als Hacker begegnet, und äußert seine Meinung zu aktuellen Trends: Welche Security-Maßnahmen sind sinnvoll? Befeuert das Bezahlen von Lösegeldern kriminelle Aktivitäten? Wie hängen Kryptowährungen damit zusammen?
Jannis Stemmann
Nochmal vielen herzlichen Dank dafür, dass Du Dir die Zeit nimmst heute! Es freut uns riesig, dass Du dabei bist! Wer bist Du und was machst Du, kannst Du erstmal etwas dazu erzählen?
Karsten Nohl
Ich weiß, was ich mache, wer ich bin, nach der Definition suche ich noch. Ich bin im weitesten Sinne Hacker und wir hacken viele Sachen. Ursprünglich in Berlin, mittlerweile auch in ein paar anderen Locations. Wir hacken, um zu verstehen, was Technik sicher macht, oder, im Umkehrschluss, was dazu führt, dass Technik immer und immer wieder unsicher gebaut wird. Teilweise helfen wir auch Firmen, das von uns Verstandene in die Tat umsetzen. Aber das Hauptinteresse bei uns, das ist nach wie vor die Technik zu Durchdringen und zu verstehen was zu mehr und weniger Hacking-Schutz führt.
Jannis Stemmann
Kannst Du ein bisschen was über die Projekte erzählen, die Euch typischerweise beschäftigen, vielleicht auch spannende technische Herausforderungen, mit denen Ihr Euch gerade noch herumschlagt?
Karsten Nohl
Wir helfen Firmen entweder Technik zu hacken, um zu verstehen, wie man Sie hacken kann und da gibt es in Deutschland selbstverständlich Vorzeigeindustrien, alles um Elektromobilität zum Beispiel ist natürlich gerade ein großes Hacking-Feld aber auch der Finanzsektor baut sich hier, wie auch weltweit, langsam um, alle Fintec-Geschichten, sowohl bei Banken als auch bei Versicherungen. Auch da sind wir gerne und häufig dabei. Dabei begleiten wir Firmen entweder durch die Hacking-Tests, die ich schon angesprochen habe oder wirklich dadurch Teams aufzubauen, weil wir glauben nicht, dass man mit dem Thema Security jemals fertig ist. Zum Beispiel gerade bei einem Mobilfunker, der in Deutschland gerade neu Fuß fasst, und, kannst Du Dir vorstellen, ein extrem interessantes Thema! Neues 5G Netz aufbauen, also sehr cloud-zentrisch, extrem dezentralisiert mit sehr viel experimenteller Technik, aber ohne jede Legacy. Ist auch wirklich in die Zukunft gedacht und dort ein Team aufbauen und zunächst zu leiten, das ist dann unsere Aufgabe. Das machen wir dann ein, zwei Jahre und dann ziehen wir wieder zum nächsten, zum jeweils spannendsten Thema.
Jannis Stemmann
Kann man pauschal sagen, dass Großunternehmen, Du hast jetzt gerade vom Mobilfunk gesprochen, oder auch Finanzdienstleistungen, Banken und Versicherung, dass die deutlich besser geschützt sind als mittelständische Unternehmen? Oder braucht man dann deutlich länger oder ein größeres Team und sich da einzuhacken oder wie ist da Eure Erfahrung?
Karsten Nohl
Aus meiner Sicht ist derzeit kaum jemand wirklich sehr gut vor Hacking geschützt. Muss das aber auch nicht. Kriminelle sind opportunistisch, die meisten zumindest, und suchen sich die schwächsten Ziele aus. Das heißt, solange man nicht in der letzten Gruppe ist oder in der ersten Gruppe ist, die gehackt wird, ist man risikomäßig einigermaßen auf der sicheren Seite. Da unterscheiden sich große und kleine Unternehmen aus unserer Erfahrung kaum. Jetzt allerdings nicht, weil das, was die großen Unternehmen zusätzlich machen – und die machen sehr viel zusätzlich – nichts bringt, sondern weil es viel mehr zu schützen gibt! Es ist für einen Kriminellen sehr viele attraktiver, eine große Firma für ein großes Lösegeld zu erpressen, als viele kleine Firmen jeweils für ein kleines Lösegeld. Das heißt, der evolutionäre Druck, sich zu verbessern, ist wesentlich größer. Gibt uns das in die Zukunft gerichtet einen großen Securityspuffer? Natürlich nicht! Also diese ganzen Risikomodelle der Wirtschaftsprüfer oder der Versicherungen sind natürlich immer in die Vergangenheit gewandt, fragen im Grunde stochastische Fragen, so wie eine Unwetterversicherung die Frage stellt, wie hoch war die die höchste Springflut bisher an der Ostsee, und solange der Damm dann nochmal einen Meter drüber ist, dann bist Du schon auf der sicheren Seite. So läuft es natürlich im Hackingzeitalter nicht, da ist jeder Hackingwelle komplett einmalig und interaktiv. Also im Sinne der Springflut warten die im Grunde auf den Moment, an dem Du Deinen Damm renovierst und schlagen genau dann zu. Auch auf der anderen Seite ist ein Mensch, es ist keine statistische Verteilung wie schlechtes Wetter.
Jannis Stemmann
Wie kann ich mir das vorstellen? Wie groß ist beispielsweise so ein Team, wenn Ihr dann so einen Test durchführt? Wie lange dauert das typischerweise bis Ihr tatsächlich mal eine Schwachstelle ausnutzen könnt, wo Ihr sagen könnt, so da kann ich jetzt tatsächlich Schaden verursachen, einen Ransomware-Angriff verursachen, wenn wir wollen?
Karsten Nohl
Ein Team von uns, sagen wir mal fünf Leute, kommen in zwei Wochen in die meisten Firmen nicht nur rein, sondern kann die Firma komplett übernehmen, ohne detektiert zu werden. Da gibt es jetzt keine 100-prozentige Wahrscheinlichkeit, vor allem für den letzten Teil, nicht detektiert zu werden. Das heißt, teilweise wird man als Hacker herausgeschmissen, aber geht dadurch natürlich nicht automatisch ins Gefängnis, sondern muss im Grunde nur nochmal anfangen. Und nochmal und dann nochmal. Man lernt dazu, das heißt, wir reden hier von Wochen nicht Monaten, um die größten Firmen der Republik zu übernehmen. Der Grund, weshalb das nicht häufiger passiert, ist natürlich dass die Kriminellen noch einfachere Ziele finden und mit noch weniger Aufwand an ihre Lösegelder kommen. Insoweit die großen mittelgut geschützten Firmen, wo wir mit fünf Leuten zwei Wochen brauchen, um einzubrechen, noch nicht an der Reihe waren, weil es derzeit noch keinen Sinn macht.
Jannis Stemmann
Der ein oder andere, der uns da zuschaut oder zuhört, der denkt sich vielleicht „naja aber vielleicht ist es so, dass das Team von Karsten hat dann auch mehr Informationen als die Hacker“ – Whitebox Test oder Gray Box Test. Spielt so etwas eine Rolle?
Karsten Nohl
Das spielt auf jeden Fall eine Rolle und ich kann Dir einen Faktor sagen, der wahrscheinlich die größte Rolle spielt, und das ist unsere Erfahrung, dass wir das seit über zehn Jahren machen. Es gibt kaum einen Kriminellen, der zehn Jahre lang Computer hackt. Weil, warum? Du bist nach wenigen Jahren entweder sehr reich oder im Gefängnis. Ist der Startvorteil ein Faktor von zwei oder drei? Vielleicht, aber viel auch nicht. Und ich sagte ja gerade wir sind in zwei Wochen drin. Hilft Dir auch wirklich ein Faktor 3, dass ist jetzt eineinhalb Monate dauert, lässt sich das plötzlich besser schlafen oder denkst Du, wenn ich so bin einem Hacker sowieso ein Millionenlösegeld zahlen würde, dann ist er auch möglicherweise bereit, sechs Wochen aufzubringen, vielleicht sogar zweimal, auch einmal pro Quartal ein paar Millionen bezahlt zu bekommen, auch da braucht man nicht viele Jahre, bis man sich dann endlich zur Ruhe setzen kann.
Jannis Stemmann
Wie siehst Du das ganze Thema Automatisierung von solchen Angriffssimulationen?
Karsten Nohl
Ich finde Automatisierung wahnsinnig wichtig! Ob jetzt unbedingt die Angriffssimulationen das erste sind, was ich automatisieren würde, da würde ich noch mal ein Fragezeichen dranhängen, weil die Automatisierung der Angriffsimulation ja im Grunde bei zwei Sachen hilft: einmal ein Grundverständis schaffen, dass man grundsätzlich gehackt werden könnte. Das Grundverständis sollten heute wirklich alle mitbringen. Also da brauch ich nicht nochmal einen Dienstleister, egal wie automatisiert, um mir im abstrakten zu erklären, dass es da eine theoretische Möglichkeit gibt, dass ich gehackt werden kann. Das zweite, wo die Angriffssimulationen helfen, ist die internen Detektionsteams zu trainieren, auch denen eine Möglichkeit zu geben, jede Woche auf einen, ja wenn ich echten, dann zumindest echt aussehenden Hackingangriff reagieren zu können und ihre Messer zu schärfen. Die allermeisten Firmen haben aber solche Teams nicht.
Wo würde ich bei der Automatisierung ansetzen? Bei der Abarbeitung der ganzen Probleme, die sie die Detektion und die das Grundverständis erstmal aufwirft. Die allermeisten Firmen heute ertrinken in guten Ideen, was man noch alles machen könnte zum Thema Security, ohne wirklich mit viel Automatisierungen an die Aufarbeitung zu gehen.
Jannis Stemmann
Siehst Du denn irgendwo vielleicht auch, nicht allgemein, sondern eben vereinzelt, Securitymaßnahmen, bei denen Du denkst, die sind jetzt umgesetzt worden, aber ehrlich gesagt, so richtig viel bringen die nicht in der Praxis. Dann hätte man das Geld wahrscheinlich eher woanders investieren sollen.
Karsten Nohl
Ja jeden Tag! Der Securitymarkt ist gewachsen um ein Verständnis, dass Security irgendwann fertig ist. In Deutschland zum Beispiel gibt es den BSI Grundschutz. Das BSI selber glaubt, glaube ich, heute nicht mehr daran, dass wenn man den BSI Grundschutz einmal abgearbeitet hat, dass man dann fertig ist, ja und hat es ja auch richtigerweise Grundschutz genannt und nicht vollumfängliche Security. Und trotzdem findet sich die gleiche Idee wieder in den ISO-Zertifizierungen, bei NIST, ja überall. Fast alles was diese Zertifizierung einem abverlangen, bringt zum Thema Hackingschutz gar nichts. Das kann man jetzt allerdings der Zertifizierung selber gar nicht vorwerfen, weil jede Idee in diesen Zertifizierungen oder in diesen Grundschutzkatalogen sicher irgendwem hilft, die aktuell bei ihm vorhandene Situation leicht zu verbessern.
Die Sachen, die man braucht zum Hackingschutz sind viel subtiler, in den Verhaltensweisen, in der Auslegung von Prozessen, im Menschlichen und dabei meine ich jetzt nicht die Leute, die auf Phishing-Mails klicken, die sind sicher auch ein Problem, aber ein Problem mit dem wir einfach leben müssen, sondern die Leute, deren Job es zum Beispiel wäre zu patchen und die per Prozess in der ISO-Zertifizierung versprochen haben: „ja, wir patchen jeden Monat“, die irgendwann merken, das ist gar nicht so einfach. Wir haben hier etwas versprochen, das gar nicht umsetzbar ist. Zumindest nicht ohne mehr Automatisierung, hatten wir ja gerade, die dann irgendwann die Realität und die Dokumentationslage auseinanderdriften lassen, wo man sich dann fragt: „Na ja, wieso haben wir es dann so aufwendig dokumentiert?“ Also, ja auf Deine Frage, habe ich schon mal Securitymaßnahmen gesehen, die den eigentlichen Hackingschutz nicht erhöhen. Ja, die allermeisten, die ich sehe, fallen genau in dieser Kategorie.
Jannis Stemmann
Insgesamt ist ja, wenn man so von oben drauf schaut, dann wird immer mehr für Security ausgegeben. Das gilt jetzt vielleicht nicht für jedes einzelne Unternehmen, aber für fast jedes Unternehmen und in der Grundgesamtheit natürlich auch. Und gleichzeitig ist es aber natürlich so, wenn wir uns die Statistiken anschauen, dann steigt die Anzahl der Angriffe und die Schwere der Angriffe auch stetig. Hast Du da eine Perspektive drauf?
Karsten Nohl
Bevor ich genau darauf eingehe, würde ich glaube ich vorher noch mal eine vielleicht kontroverse Meinung äußern: Dass null Hacking auch kein guter Zustand wäre. Weil null Hacking beschreiben würde, dass wir die Technik, mit der wir täglich umgehen, komplett verstanden haben, dass wir wirklich lange darüber nachgedacht haben, wie die Technik betrieben wird und wie halten wir sie sicher vor Hackern. Doch das kommt mit einer derartigen Verzögerung, dass wir uns von der Innovation aussperren würden. Also wer die Technik, mit der er umgeht, komplett 100 Prozent versteht, kann nicht mit neuer Technik hantieren, experimentiert nicht, versucht nichts Neues mehr, sondern verlässt sich darauf, dass die Technik, die man vor Jahren mal installiert hat, und endlich verstanden hat, heute noch das Beste ist, was man hat. Also begeht im Grunde technologischen Selbstmord. Ich glaube, niemand würde sagen, es ist gut, dass wir Hacking haben, aber die These, die ich vertrete, ist, dass ich sage, von allen Alternativen find ich die Alternativen, die mit null Hacking daherkommen, sehr unattraktiv, weil wir sehr viel anderes dafür opfern müssen.
Keiner will mehr Hacking, aber wir wollen mehr Innovationen und Innovation spült uns Milliarden, Billionen an Wertschöpfung in die Kassen. Zu sagen, das geben wir alles auf, weil wir nicht Millionen an Hacker verlieren wollen, das finde die falsche Abwägung. Hacking als Steuer auf Innovation! Wobei, ich rede speziell vom Hacken von Firmen, die Geld verlieren. Wenn wir über Privatleben reden, Datenschutz, da habe ich dann eine andere Meinung. Ich glaube, mit den Daten anderer umzugehen und sie zu verlieren, schadet einem selber nicht, anderen aber sehr stark. Da finde ich Zertifizierungen, Gesetzgebung und so weiter, sehr hilfreich. Wenn man die Risiken minimiert, die Firmen anderen aufbürden, so wie eine Umweltverschmutzung des Internets. Aber wenn wir rein über die großen Schäden reden, da denke ich schon, wenn wir jetzt Milliarden oder Billionen an Wert schöpfen und der Hacker uns davon Promille abknapsen kann, dann ist es immer noch ein guter Kompromiss. Wir müssen nur schauen, dass wir es unter Kontrolle halten, dass aus den Promille nicht irgendwann Prozent werden und wir mehr und mehr an ein Ökosystem verlieren, das sich aus diesem Geld auch speist, sich trainiert, und irgendwann überhandnimmt.
Jannis Stemmann
Ein Gedanke, den man ja auch jetzt öfters mal in der Zeitung liest, ist, wie sieht das mit der Lösegeldzahlung aus? Ist es nicht so, dass man damit dieses Geschäftsmodell eigentlich befeuert?
Karsten Nohl
Super spannendes Thema! Und genau das Thema erklärt gerade die Statistik, die Du erwähnt hast, dass es plötzlich doppelt so viele Hacker gibt, wie vor ein paar Jahren. Weil sich genau diese Erpressungstrojaner so durchgesetzt haben. Das ist eine Entwicklung, die auf jeden Fall eine Antwort braucht. Derzeit scheint die Antwort zu sein, dass staatliche Stellen jetzt, ich weiß nicht, ob aus Deutschland, aber so die die Five Eyes, also Amerika und die engsten Verbündeten, zurückhacken. Versuchen, die Kriminellen mit ihren eigenen Methoden zu schlagen, bloßzustellen. Schutzgelder, Kopfgelder auf die Kriminellen auszuloben. Und meistens kommt das in einem Maßnahmenpaket, das man auch Schutzgeldzahlungen verbietet, oder mindestens mal Transparenz dazu verlangt.
Auch in den USA wird gerade eine Gesetzesvorlage diskutiert, dass Schutzgelder zwar nach wie vor bezahlt werden dürfen, dann aber die Meldepflicht hat, sodass man erste Statistiken erstellen kann, wie viele geht dann wirklich verloren. Am Ende des Tages sind das alles nur abschwächende Maßnahmen, davon wird nichts das Problem lösen, weil, wenn wir uns die klassischen Schutzgelderpressungen, auch Entführungen anschauen, die ja nichts Elektronisches sind, die sind auch nie weggegangen in den Regionen auf der Welt, die unsicher und gefährlich sind. Und das Internet und die Technik, die wir für das Internet einsetzen, ist unsicher und gefährlich. Das heißt, man kann sich ja die Transaktionskosten hochziehen, dass man immer mal wieder jemanden verhaftet, dass man die Transaktion selber schwerer macht, dadurch dass das große Bitcoin Exchanges zum Beispiel klar ihre Kunden kennen wollen und den einen oder andere Kriminellen dann halt nicht mehr zulassen. Aber ich glaube, dass das Kind ist in den Brunnen gefallen ist, also wir werden das jetzt nicht wieder auf null runterziehen können. Und die sehr viel zukunftsweisendere Antwort ist: Macht es den Kriminellen so schwierig, dass sie bei Euch aufgeben! Schickt sie woanders hin! Das hilft jetzt den anderen nicht, aber es hilft uns allen, ständig besser zu werden.
Jannis Stemmann
Wie siehst du das Thema Kryptowährung im Zusammenhang mit Lösegelderpressungen, also im Zusammenhang mit Ransomware oder so?
Karsten Nohl
Ich glaube, es wird noch einige Innovationszyklen brauchen, bis Kryptowährungen mehr Gutes als Schlechtes der Welt antun.
Jannis Stemmann
Karsten, es gibt ja auch so die Perspektive auf das ganze Thema Cybersecurity, das ist so ein Hype und natürlich wird der ja auch befeuert durch die ganzen Anbieter, Tausende von Anbietern im Bereich Security, die leben ja auch alle davon. In den Organisationen gibt es auch Securityverantwortliche, die leben im Prinzip auch davon, dass es Cyberangriffe gibt und dass man sich davor schützen muss. Aber natürlich gibt es auch Inhaber, gerade von mittelständischen Unternehmen, und die sagen: „Na ja, mein Unternehmen hat zwei Weltkriege überstanden, das wird wohl auch so einen Cyberangriff überstehen, lasst uns doch die Kirche im Dorf lassen.“ Es gibt ja auch wenig Beispiele von Unternehmen, die tatsächlich ruiniert wurden.
Karsten Nohl
Wer Furcht hat vor Hacking, also auf einem Extrem der Skala, der versperrt sich dieser Innovation und geht einem langsamen Tod entgegen. Irgendwann wird es eine agilere, digitalisiertere Firma geben, die einem einfach die Kunden ausspannt. Wer auf dem anderen Extrem des Spektrums überhaupt keinen Respekt vor dem Thema Hacking hat und einfach naiv in der Digitalisierung geht, der wird schließlich so böse gehackt, dass es dann Kunden abschreckt und er eventuell eine sehr viel disrupteren, nicht Tod stirbt, aber der zumindest das, was er sich aus der Innovation erhofft, nicht erreicht hat. Das heißt, den Mittelweg zu finden, sagen wir mal moderierte Digitalisierung, wo man Hackingrisiken versteht, aber sich vor denen nicht fürchtet, aus ist der richtige Weg, aber jetzt nicht um den Tod durch Hacking zu verhindern, sondern um am Leben zu bleiben was Innovation betrifft.
Jannis Stemmann
Beim Thema Penetrationstest, gibt es da vielleicht Tipps und Kniffe, die nicht so offenkundig sind, die häufig übersehen werden, die Du gerade IT-Leitern aus mittelständischen Unternehmen empfehlen würdest, wenn sie sowas ausschreiben, wenn sie sich dafür entscheiden: „Ich möchte gerne einen Anbieter beauftragen, also einen ethischen Hacker“?
Karsten Nohl
Was sehr wichtig ist, ist uns, oder anderen, nicht zu eng vorzugeben, was zu schützen ist. Häufig sagt eine Firma ok uns gibt es jetzt 100 Jahre, wir setzen Computer seit 40 Jahren ein, alles was wir heute haben, ist natürlich sicher aber wir gehen jetzt in die Cloud oder haben unsere erste Mobile App oder was auch immer, und der Teil da, da fürchten wir uns vor, testet bitte diesen Teil. Die Firma wird dann zwei Jahre später trotzdem gehackt, weil sie irgendwas anders in ihren existierenden Systemen übersehen haben. Überlasst es den Hackern Euch zu sagen, wo Ihr angreifbar seid. Auf der Kehrseite: Was macht man dann mit solchen Ergebnissen, wenn man jetzt herausgefunden hat, dass die Cloudmigration zu Amazon vielleicht gar nicht das Schlimmste ist, aber eher im Zuge der Tests festgestellt wurde, dass man seine eigene Middleware nicht im Griff hat. Nimmt man den Vorschlaghammer raus und sagt: „Wir müssen jetzt den BSI Grundschutz, die ISO-Zertifizierung, alles durchlaufen!“
Mein Vorschlag ist, macht das nicht, sondern holt Euch da auch den Rat von Experten ein und bevor Ihr irgendetwas umsetzt, das eine mögliche Verlangsamung oder gar Kostenexplosion mit sich bringt, fragt immer: „Wie sieht der Hacker das? Stört es den Hacker, wenn Du diese Maßnahme einführst, und stört es ihn sehr für eine sehr teure Maßnahme und wenn ja dann macht es! Wenn Hacker sagt, egal ob Ihr Zertifikate auf die Webseite schreibt oder nicht, ich hack doch sowieso was komplett anderes, ja dann macht das erst mal nicht.
Jannis Stemmann
Vielleicht auch zum Abschluss: Wenn Du eine E-Mail schicken könntest an alle CIOs dieser Welt, oder wenn Du an einer Straße ein Plakat aufstellen könntest, was wären die Kernbotschaften oder was wird in der Betreffzeile stehen?
Karsten Nohl
Vertraut euren Experten! Ihr habt alle Leute im Haus oder zumindest bei Partnerfirmen, die über die Jahre gelernt haben, was wichtig ist beim Thema Security. Und Experten vertrauen heißt auch, fürchtet Euch nicht so sehr vor Hacking es wird dadurch nicht besser, dass Ihr Euch fürchtet! Aber alles andere, was die Firma macht, wird dadurch schlechter: Dass Ihr technikskeptisch werdet. Vertraut den Experten und lasst die, ihre Arbeit machen! Und wenn der Experte sagt, wir brauchen ein Tool, gib ihm das Budget. Aber Du kannst auch nicht das Budget jedes Jahr um 30 Prozent erhöhen, nur damit Du denkst, als CIO, dass Du Deinen Teil getan hast. Das zusätzliche Geld hilft nicht immer und kann sogar den Leuten weg rumstehen.
Jannis Stemmann
Noch mal herzlichen Dank!
Karsten Nohl
Danke, Jannis, tolle Fragen!
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.