{"id":3875,"date":"2022-05-19T06:58:00","date_gmt":"2022-05-19T06:58:00","guid":{"rendered":"https:\/\/cybercompare.com\/?p=3875"},"modified":"2023-09-06T08:45:02","modified_gmt":"2023-09-06T08:45:02","slug":"projekte-und-herausforderungen-als-hacker-sicht-eines-hacking-spezialisten-auf-cybersicherheit-und-cyberattacken","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/projekte-und-herausforderungen-als-hacker-sicht-eines-hacking-spezialisten-auf-cybersicherheit-und-cyberattacken\/","title":{"rendered":"Projekte und Herausforderungen als Hacker \u2013 Sicht eines Hacking-Spezialisten auf Cybersicherheit und Cyberattacken"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Karsten Nohl<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Karsten Nohl ist Gr\u00fcnder und Forschungsleiter der Security Research Labs. Zu seinen Forschungsgebieten geh\u00f6ren GSM-Sicherheit, RFID-Sicherheit und der Schutz der Privatsph\u00e4re. Er selbst bezeichnet sich als \u201eHacker\u201c. Sein Team hackt \u201eum zu verstehen, was Technik sicher macht, oder, im Umkehrschluss, was dazu f\u00fchrt, dass Technik immer und immer wieder unsicher gebaut wird.\u201c Im folgenden Interview berichtet er von seiner T\u00e4tigkeit und seinen Projekten als Hacking-Spezialist und von seinem Interesse, Technik durchdringen und verstehen zu wollen. Des Weiteren gibt er Einblicke in die technischen Herausforderungen, die er als Hacker begegnet, und \u00e4u\u00dfert seine Meinung zu aktuellen Trends: Welche Security-Ma\u00dfnahmen sind sinnvoll? Befeuert das Bezahlen von L\u00f6segeldern kriminelle Aktivit\u00e4ten? Wie h\u00e4ngen Kryptow\u00e4hrungen damit zusammen?<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe title=\"CyberCompare Interview mit Karsten Nohl: Hacking als Innovations-Treiber?\" width=\"500\" height=\"281\" src=\"https:\/\/www.youtube.com\/embed\/555Pa071szw?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><strong><strong><strong>Jannis Stemmann<\/strong><\/strong><\/strong><br>Nochmal vielen herzlichen Dank daf\u00fcr, dass Du Dir die Zeit nimmst heute! Es freut uns riesig, dass Du dabei bist! Wer bist Du und was machst Du, kannst Du erstmal etwas dazu erz\u00e4hlen?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Ich wei\u00df, was ich mache, wer ich bin, nach der Definition suche ich noch. Ich bin im weitesten Sinne Hacker und wir hacken viele Sachen. Urspr\u00fcnglich in Berlin, mittlerweile auch in ein paar anderen Locations. Wir hacken, um zu verstehen, was Technik sicher macht, oder, im Umkehrschluss, was dazu f\u00fchrt, dass Technik immer und immer wieder unsicher gebaut wird. Teilweise helfen wir auch Firmen, das von uns Verstandene in die Tat umsetzen. Aber das Hauptinteresse bei uns, das ist nach wie vor die Technik zu Durchdringen und zu verstehen was zu mehr und weniger Hacking-Schutz f\u00fchrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Kannst Du ein bisschen was \u00fcber die Projekte erz\u00e4hlen, die Euch typischerweise besch\u00e4ftigen, vielleicht auch spannende technische Herausforderungen, mit denen Ihr Euch gerade noch herumschlagt?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Wir helfen Firmen entweder Technik zu hacken, um zu verstehen, wie man Sie hacken kann und da gibt es in Deutschland selbstverst\u00e4ndlich Vorzeigeindustrien, alles um Elektromobilit\u00e4t zum Beispiel ist nat\u00fcrlich gerade ein gro\u00dfes Hacking-Feld aber auch der Finanzsektor baut sich hier, wie auch weltweit, langsam um, alle Fintec-Geschichten, sowohl bei Banken als auch bei Versicherungen. &nbsp;Auch da sind wir gerne und h\u00e4ufig dabei. Dabei begleiten wir Firmen entweder durch die Hacking-Tests, die ich schon angesprochen habe oder wirklich dadurch Teams aufzubauen, weil wir glauben nicht, dass man mit dem Thema Security jemals fertig ist. Zum Beispiel gerade bei einem Mobilfunker, der in Deutschland gerade neu Fu\u00df fasst, und, kannst Du Dir vorstellen, ein extrem interessantes Thema! Neues 5G Netz aufbauen, also sehr cloud-zentrisch, extrem dezentralisiert mit sehr viel experimenteller Technik, aber ohne jede Legacy. Ist auch wirklich in die Zukunft gedacht und dort ein Team aufbauen und zun\u00e4chst zu leiten, das ist dann unsere Aufgabe. Das machen wir dann ein, zwei Jahre und dann ziehen wir wieder zum n\u00e4chsten, zum jeweils spannendsten Thema.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Kann man pauschal sagen, dass Gro\u00dfunternehmen, Du hast jetzt gerade vom Mobilfunk gesprochen, oder auch Finanzdienstleistungen, Banken und Versicherung, dass die deutlich besser gesch\u00fctzt sind als mittelst\u00e4ndische Unternehmen? Oder braucht man dann deutlich l\u00e4nger oder ein gr\u00f6\u00dferes Team und sich da einzuhacken oder wie ist da Eure Erfahrung?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Aus meiner Sicht ist derzeit kaum jemand wirklich sehr gut vor Hacking gesch\u00fctzt. Muss das aber auch nicht. Kriminelle sind opportunistisch, die meisten zumindest, und suchen sich die schw\u00e4chsten Ziele aus. Das hei\u00dft, solange man nicht in der letzten Gruppe ist oder in der ersten Gruppe ist, die gehackt wird, ist man risikom\u00e4\u00dfig einigerma\u00dfen auf der sicheren Seite. Da unterscheiden sich gro\u00dfe und kleine Unternehmen aus unserer Erfahrung kaum. Jetzt allerdings nicht, weil das, was die gro\u00dfen Unternehmen zus\u00e4tzlich machen \u2013 und die machen sehr viel zus\u00e4tzlich \u2013 nichts bringt, sondern weil es viel mehr zu sch\u00fctzen gibt! Es ist f\u00fcr einen Kriminellen sehr viele attraktiver, eine gro\u00dfe Firma f\u00fcr ein gro\u00dfes L\u00f6segeld zu erpressen, als viele kleine Firmen jeweils f\u00fcr ein kleines L\u00f6segeld. Das hei\u00dft, der evolution\u00e4re Druck, sich zu verbessern, ist wesentlich gr\u00f6\u00dfer. Gibt uns das in die Zukunft gerichtet einen gro\u00dfen Securityspuffer? Nat\u00fcrlich nicht! Also diese ganzen Risikomodelle der Wirtschaftspr\u00fcfer oder der Versicherungen sind nat\u00fcrlich immer in die Vergangenheit gewandt, fragen im Grunde stochastische Fragen, so wie eine Unwetterversicherung die Frage stellt, wie hoch war die die h\u00f6chste Springflut bisher an der Ostsee, und solange der Damm dann nochmal einen Meter dr\u00fcber ist, dann bist Du schon auf der sicheren Seite. So l\u00e4uft es nat\u00fcrlich im Hackingzeitalter nicht, da ist jeder Hackingwelle komplett einmalig und interaktiv. Also im Sinne der Springflut warten die im Grunde auf den Moment, an dem Du Deinen Damm renovierst und schlagen genau dann zu. Auch auf der anderen Seite ist ein Mensch, es ist keine statistische Verteilung wie schlechtes Wetter.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Wie kann ich mir das vorstellen? Wie gro\u00df ist beispielsweise so ein Team, wenn Ihr dann so einen Test durchf\u00fchrt? Wie lange dauert das typischerweise bis Ihr tats\u00e4chlich mal eine Schwachstelle ausnutzen k\u00f6nnt, wo Ihr sagen k\u00f6nnt, so da kann ich jetzt tats\u00e4chlich Schaden verursachen, einen Ransomware-Angriff verursachen, wenn wir wollen?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Ein Team von uns, sagen wir mal f\u00fcnf Leute, kommen in zwei Wochen in die meisten Firmen nicht nur rein, sondern kann die Firma komplett \u00fcbernehmen, ohne detektiert zu werden. Da gibt es jetzt keine 100-prozentige Wahrscheinlichkeit, vor allem f\u00fcr den letzten Teil, nicht detektiert zu werden. Das hei\u00dft, teilweise wird man als Hacker herausgeschmissen, aber geht dadurch nat\u00fcrlich nicht automatisch ins Gef\u00e4ngnis, sondern muss im Grunde nur nochmal anfangen. Und nochmal und dann nochmal. Man lernt dazu, das hei\u00dft, wir reden hier von Wochen nicht Monaten, um die gr\u00f6\u00dften Firmen der Republik zu \u00fcbernehmen. Der Grund, weshalb das nicht h\u00e4ufiger passiert, ist nat\u00fcrlich dass die Kriminellen noch einfachere Ziele finden und mit noch weniger Aufwand an ihre L\u00f6segelder kommen. Insoweit die gro\u00dfen mittelgut gesch\u00fctzten Firmen, wo wir mit f\u00fcnf Leuten zwei Wochen brauchen, um einzubrechen, noch nicht an der Reihe waren, weil es derzeit noch keinen Sinn macht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Der ein oder andere, der uns da zuschaut oder zuh\u00f6rt, der denkt sich vielleicht \u201enaja aber vielleicht ist es so, dass das Team von Karsten hat dann auch mehr Informationen als die Hacker\u201c \u2013 Whitebox Test oder Gray Box Test. Spielt so etwas eine Rolle?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Das spielt auf jeden Fall eine Rolle und ich kann Dir einen Faktor sagen, der wahrscheinlich die gr\u00f6\u00dfte Rolle spielt, und das ist unsere Erfahrung, dass wir das seit \u00fcber zehn Jahren machen. Es gibt kaum einen Kriminellen, der zehn Jahre lang Computer hackt. Weil, warum? Du bist nach wenigen Jahren entweder sehr reich oder im Gef\u00e4ngnis. Ist der Startvorteil ein Faktor von zwei oder drei? Vielleicht, aber viel auch nicht. Und ich sagte ja gerade wir sind in zwei Wochen drin. Hilft Dir auch wirklich ein Faktor 3, dass ist jetzt eineinhalb Monate dauert, l\u00e4sst sich das pl\u00f6tzlich besser schlafen oder denkst Du, wenn ich so bin einem Hacker sowieso ein Millionenl\u00f6segeld zahlen w\u00fcrde, dann ist er auch m\u00f6glicherweise bereit, sechs Wochen aufzubringen, vielleicht sogar zweimal, auch einmal pro Quartal ein paar Millionen bezahlt zu bekommen, auch da braucht man nicht viele Jahre, bis man sich dann endlich zur Ruhe setzen kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Wie siehst Du das ganze Thema Automatisierung von solchen Angriffssimulationen?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Ich finde Automatisierung wahnsinnig wichtig! Ob jetzt unbedingt die Angriffssimulationen das erste sind, was ich automatisieren w\u00fcrde, da w\u00fcrde ich noch mal ein Fragezeichen dranh\u00e4ngen, weil die Automatisierung der Angriffsimulation ja im Grunde bei zwei Sachen hilft: einmal ein Grundverst\u00e4ndis schaffen, dass man grunds\u00e4tzlich gehackt werden k\u00f6nnte. Das Grundverst\u00e4ndis sollten heute wirklich alle mitbringen. Also da brauch ich nicht nochmal einen Dienstleister, egal wie automatisiert, um mir im abstrakten zu erkl\u00e4ren, dass es da eine theoretische M\u00f6glichkeit gibt, dass ich gehackt werden kann. Das zweite, wo die Angriffssimulationen helfen, ist die internen Detektionsteams zu trainieren, auch denen eine M\u00f6glichkeit zu geben, jede Woche auf einen, ja wenn ich echten, dann zumindest echt aussehenden Hackingangriff reagieren zu k\u00f6nnen und ihre Messer zu sch\u00e4rfen. Die allermeisten Firmen haben aber solche Teams nicht.<br>Wo w\u00fcrde ich bei der Automatisierung ansetzen? Bei der Abarbeitung der ganzen Probleme, die sie die Detektion und die das Grundverst\u00e4ndis erstmal aufwirft. Die allermeisten Firmen heute ertrinken in guten Ideen, was man noch alles machen k\u00f6nnte zum Thema Security, ohne wirklich mit viel Automatisierungen an die Aufarbeitung zu gehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Siehst Du denn irgendwo vielleicht auch, nicht allgemein, sondern eben vereinzelt, Securityma\u00dfnahmen, bei denen Du denkst, die sind jetzt umgesetzt worden, aber ehrlich gesagt, so richtig viel bringen die nicht in der Praxis. Dann h\u00e4tte man das Geld wahrscheinlich eher woanders investieren sollen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Ja jeden Tag! Der Securitymarkt ist gewachsen um ein Verst\u00e4ndnis, dass Security irgendwann fertig ist. In Deutschland zum Beispiel gibt es den BSI Grundschutz. Das BSI selber glaubt, glaube ich, heute nicht mehr daran, dass wenn man den BSI Grundschutz einmal abgearbeitet hat, dass man dann fertig ist, ja und hat es ja auch richtigerweise Grundschutz genannt und nicht vollumf\u00e4ngliche Security. Und trotzdem findet sich die gleiche Idee wieder in den ISO-Zertifizierungen, bei NIST, ja \u00fcberall. Fast alles was diese Zertifizierung einem abverlangen, bringt zum Thema Hackingschutz gar nichts. Das kann man jetzt allerdings der Zertifizierung selber gar nicht vorwerfen, weil jede Idee in diesen Zertifizierungen oder in diesen Grundschutzkatalogen sicher irgendwem hilft, die aktuell bei ihm vorhandene Situation leicht zu verbessern.<br><br>Die Sachen, die man braucht zum Hackingschutz sind viel subtiler, in den Verhaltensweisen, in der Auslegung von Prozessen, im Menschlichen und dabei meine ich jetzt nicht die Leute, die auf Phishing-Mails klicken, die sind sicher auch ein Problem, aber ein Problem mit dem wir einfach leben m\u00fcssen, sondern die Leute, deren Job es zum Beispiel w\u00e4re zu patchen und die per Prozess in der ISO-Zertifizierung versprochen haben: \u201eja, wir patchen jeden Monat\u201c, die irgendwann merken, das ist gar nicht so einfach. Wir haben hier etwas versprochen, das gar nicht umsetzbar ist. Zumindest nicht ohne mehr Automatisierung, hatten wir ja gerade, die dann irgendwann die Realit\u00e4t und die Dokumentationslage auseinanderdriften lassen, wo man sich dann fragt: \u201eNa ja, wieso haben wir es dann so aufwendig dokumentiert?\u201c Also, ja auf Deine Frage, habe ich schon mal Securityma\u00dfnahmen gesehen, die den eigentlichen Hackingschutz nicht erh\u00f6hen. Ja, die allermeisten, die ich sehe, fallen genau in dieser Kategorie.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Insgesamt ist ja, wenn man so von oben drauf schaut, dann wird immer mehr f\u00fcr Security ausgegeben. Das gilt jetzt vielleicht nicht f\u00fcr jedes einzelne Unternehmen, aber f\u00fcr fast jedes Unternehmen und in der Grundgesamtheit nat\u00fcrlich auch. Und gleichzeitig ist es aber nat\u00fcrlich so, wenn wir uns die Statistiken anschauen, dann steigt die Anzahl der Angriffe und die Schwere der Angriffe auch stetig. Hast Du da eine Perspektive drauf?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Bevor ich genau darauf eingehe, w\u00fcrde ich glaube ich vorher noch mal eine vielleicht kontroverse Meinung \u00e4u\u00dfern: Dass null Hacking auch kein guter Zustand w\u00e4re. Weil null Hacking beschreiben w\u00fcrde, dass wir die Technik, mit der wir t\u00e4glich umgehen, komplett verstanden haben, dass wir wirklich lange dar\u00fcber nachgedacht haben, wie die Technik betrieben wird und wie halten wir sie sicher vor Hackern. Doch das kommt mit einer derartigen Verz\u00f6gerung, dass wir uns von der Innovation aussperren w\u00fcrden. Also wer die Technik, mit der er umgeht, komplett 100 Prozent versteht, kann nicht mit neuer Technik hantieren, experimentiert nicht, versucht nichts Neues mehr, sondern verl\u00e4sst sich darauf, dass die Technik, die man vor Jahren mal installiert hat, und endlich verstanden hat, heute noch das Beste ist, was man hat. Also begeht im Grunde technologischen Selbstmord. Ich glaube, niemand w\u00fcrde sagen, es ist gut, dass wir Hacking haben, aber die These, die ich vertrete, ist, dass ich sage, von allen Alternativen find ich die Alternativen, die mit null Hacking daherkommen, sehr unattraktiv, weil wir sehr viel anderes daf\u00fcr opfern m\u00fcssen.<br><br>Keiner will mehr Hacking, aber wir wollen mehr Innovationen und Innovation sp\u00fclt uns Milliarden, Billionen an Wertsch\u00f6pfung in die Kassen. Zu sagen, das geben wir alles auf, weil wir nicht Millionen an Hacker verlieren wollen, das finde die falsche Abw\u00e4gung. Hacking als Steuer auf Innovation! Wobei, ich rede speziell vom Hacken von Firmen, die Geld verlieren. Wenn wir \u00fcber Privatleben reden, Datenschutz, da habe ich dann eine andere Meinung. Ich glaube, mit den Daten anderer umzugehen und sie zu verlieren, schadet einem selber nicht, anderen aber sehr stark. &nbsp;Da finde ich Zertifizierungen, Gesetzgebung und so weiter, sehr hilfreich. Wenn man die Risiken minimiert, die Firmen anderen aufb\u00fcrden, so wie eine Umweltverschmutzung des Internets. Aber wenn wir rein \u00fcber die gro\u00dfen Sch\u00e4den reden, da denke ich schon, wenn wir jetzt Milliarden oder Billionen an Wert sch\u00f6pfen und der Hacker uns davon Promille abknapsen kann, dann ist es immer noch ein guter Kompromiss. Wir m\u00fcssen nur schauen, dass wir es unter Kontrolle halten, dass aus den Promille nicht irgendwann Prozent werden und wir mehr und mehr an ein \u00d6kosystem verlieren, das sich aus diesem Geld auch speist, sich trainiert, und irgendwann \u00fcberhandnimmt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Ein Gedanke, den man ja auch jetzt \u00f6fters mal in der Zeitung liest, ist, wie sieht das mit der L\u00f6segeldzahlung aus? Ist es nicht so, dass man damit dieses Gesch\u00e4ftsmodell eigentlich befeuert?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Super spannendes Thema! Und genau das Thema erkl\u00e4rt gerade die Statistik, die Du erw\u00e4hnt hast, dass es pl\u00f6tzlich doppelt so viele Hacker gibt, wie vor ein paar Jahren. Weil sich genau diese Erpressungstrojaner so durchgesetzt haben. Das ist eine Entwicklung, die auf jeden Fall eine Antwort braucht. Derzeit scheint die Antwort zu sein, dass staatliche Stellen jetzt, ich wei\u00df nicht, ob aus Deutschland, aber so die die Five Eyes, also Amerika und die engsten Verb\u00fcndeten, zur\u00fcckhacken. Versuchen, die Kriminellen mit ihren eigenen Methoden zu schlagen, blo\u00dfzustellen. Schutzgelder, Kopfgelder auf die Kriminellen auszuloben. Und meistens kommt das in einem Ma\u00dfnahmenpaket, das man auch Schutzgeldzahlungen verbietet, oder mindestens mal Transparenz dazu verlangt.<br><br>Auch in den USA wird gerade eine Gesetzesvorlage diskutiert, dass Schutzgelder zwar nach wie vor bezahlt werden d\u00fcrfen, dann aber die Meldepflicht hat, sodass man erste Statistiken erstellen kann, wie viele geht dann wirklich verloren. Am Ende des Tages sind das alles nur abschw\u00e4chende Ma\u00dfnahmen, davon wird nichts das Problem l\u00f6sen, weil, wenn wir uns die klassischen Schutzgelderpressungen, auch Entf\u00fchrungen anschauen, die ja nichts Elektronisches sind, die sind auch nie weggegangen in den Regionen auf der Welt, die unsicher und gef\u00e4hrlich sind. Und das Internet und die Technik, die wir f\u00fcr das Internet einsetzen, ist unsicher und gef\u00e4hrlich. Das hei\u00dft, man kann sich ja die Transaktionskosten hochziehen, dass man immer mal wieder jemanden verhaftet, dass man die Transaktion selber schwerer macht, dadurch dass das gro\u00dfe Bitcoin Exchanges zum Beispiel klar ihre Kunden kennen wollen und den einen oder andere Kriminellen dann halt nicht mehr zulassen. Aber ich glaube, dass das Kind ist in den Brunnen gefallen ist, also wir werden das jetzt nicht wieder auf null runterziehen k\u00f6nnen. Und die sehr viel zukunftsweisendere Antwort ist: Macht es den Kriminellen so schwierig, dass sie bei Euch aufgeben! Schickt sie woanders hin! Das hilft jetzt den anderen nicht, aber es hilft uns allen, st\u00e4ndig besser zu werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Wie siehst du das Thema Kryptow\u00e4hrung im Zusammenhang mit L\u00f6segelderpressungen, also im Zusammenhang mit Ransomware oder so?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Ich glaube, es wird noch einige Innovationszyklen brauchen, bis Kryptow\u00e4hrungen mehr Gutes als Schlechtes der Welt antun.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Karsten, es gibt ja auch so die Perspektive auf das ganze Thema Cybersecurity, das ist so ein Hype und nat\u00fcrlich wird der ja auch befeuert durch die ganzen Anbieter, Tausende von Anbietern im Bereich Security, die leben ja auch alle davon. In den Organisationen gibt es auch Securityverantwortliche, die leben im Prinzip auch davon, dass es Cyberangriffe gibt und dass man sich davor sch\u00fctzen muss. Aber nat\u00fcrlich gibt es auch Inhaber, gerade von mittelst\u00e4ndischen Unternehmen, und die sagen: \u201eNa ja, mein Unternehmen hat zwei Weltkriege \u00fcberstanden, das wird wohl auch so einen Cyberangriff \u00fcberstehen, lasst uns doch die Kirche im Dorf lassen.\u201c Es gibt ja auch wenig Beispiele von Unternehmen, die tats\u00e4chlich ruiniert wurden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Wer Furcht hat vor Hacking, also auf einem Extrem der Skala, der versperrt sich dieser Innovation und geht einem langsamen Tod entgegen. Irgendwann wird es eine agilere, digitalisiertere Firma geben, die einem einfach die Kunden ausspannt. Wer auf dem anderen Extrem des Spektrums \u00fcberhaupt keinen Respekt vor dem Thema Hacking hat und einfach naiv in der Digitalisierung geht, der wird schlie\u00dflich so b\u00f6se gehackt, dass es dann Kunden abschreckt und er eventuell eine sehr viel disrupteren, nicht Tod stirbt, aber der zumindest das, was er sich aus der Innovation erhofft, nicht erreicht hat. Das hei\u00dft, den Mittelweg zu finden, sagen wir mal moderierte Digitalisierung, wo man Hackingrisiken versteht, aber sich vor denen nicht f\u00fcrchtet, aus ist der richtige Weg, aber jetzt nicht um den Tod durch Hacking zu verhindern, sondern um am Leben zu bleiben was Innovation betrifft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Beim Thema Penetrationstest, gibt es da vielleicht Tipps und Kniffe, die nicht so offenkundig sind, die h\u00e4ufig \u00fcbersehen werden, die Du gerade IT-Leitern aus mittelst\u00e4ndischen Unternehmen empfehlen w\u00fcrdest, wenn sie sowas ausschreiben, wenn sie sich daf\u00fcr entscheiden: \u201eIch m\u00f6chte gerne einen Anbieter beauftragen, also einen ethischen Hacker\u201c?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Was sehr wichtig ist, ist uns, oder anderen, nicht zu eng vorzugeben, was zu sch\u00fctzen ist. H\u00e4ufig sagt eine Firma ok uns gibt es jetzt 100 Jahre, wir setzen Computer seit 40 Jahren ein, alles was wir heute haben, ist nat\u00fcrlich sicher aber wir gehen jetzt in die Cloud oder haben unsere erste Mobile App oder was auch immer, und der Teil da, da f\u00fcrchten wir uns vor, testet bitte diesen Teil. Die Firma wird dann zwei Jahre sp\u00e4ter trotzdem gehackt, weil sie irgendwas anders in ihren existierenden Systemen \u00fcbersehen haben. \u00dcberlasst es den Hackern Euch zu sagen, wo Ihr angreifbar seid. Auf der Kehrseite: Was macht man dann mit solchen Ergebnissen, wenn man jetzt herausgefunden hat, dass die Cloudmigration zu Amazon vielleicht gar nicht das Schlimmste ist, aber eher im Zuge der Tests festgestellt wurde, dass man seine eigene Middleware nicht im Griff hat. Nimmt man den Vorschlaghammer raus und sagt: \u201eWir m\u00fcssen jetzt den BSI Grundschutz, die ISO-Zertifizierung, alles durchlaufen!\u201c<br><br>Mein Vorschlag ist, macht das nicht, sondern holt Euch da auch den Rat von Experten ein und bevor Ihr irgendetwas umsetzt, das eine m\u00f6gliche Verlangsamung oder gar Kostenexplosion mit sich bringt, fragt immer: \u201eWie sieht der Hacker das? St\u00f6rt es den Hacker, wenn Du diese Ma\u00dfnahme einf\u00fchrst, und st\u00f6rt es ihn sehr f\u00fcr eine sehr teure Ma\u00dfnahme und wenn ja dann macht es! Wenn Hacker sagt, egal ob Ihr Zertifikate auf die Webseite schreibt oder nicht, ich hack doch sowieso was komplett anderes, ja dann macht das erst mal nicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Vielleicht auch zum Abschluss: Wenn Du eine E-Mail schicken k\u00f6nntest an alle CIOs dieser Welt, oder wenn Du an einer Stra\u00dfe ein Plakat aufstellen k\u00f6nntest, was w\u00e4ren die Kernbotschaften oder was wird in der Betreffzeile stehen?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Vertraut euren Experten! Ihr habt alle Leute im Haus oder zumindest bei Partnerfirmen, die \u00fcber die Jahre gelernt haben, was wichtig ist beim Thema Security. Und Experten vertrauen hei\u00dft auch, f\u00fcrchtet Euch nicht so sehr vor Hacking es wird dadurch nicht besser, dass Ihr Euch f\u00fcrchtet! Aber alles andere, was die Firma macht, wird dadurch schlechter: Dass Ihr technikskeptisch werdet. Vertraut den Experten und lasst die, ihre Arbeit machen! Und wenn der Experte sagt, wir brauchen ein Tool, gib ihm das Budget. Aber Du kannst auch nicht das Budget jedes Jahr um 30 Prozent erh\u00f6hen, nur damit Du denkst, als CIO, dass Du Deinen Teil getan hast. Das zus\u00e4tzliche Geld hilft nicht immer und kann sogar den Leuten weg rumstehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Jannis Stemmann<\/strong><br>Noch mal herzlichen Dank!<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Karsten Nohl<\/strong><br>Danke, Jannis, tolle Fragen!<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcbrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider \u2013 aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenw\u00e4rtigen Entwicklungen vertiefend und freuen uns \u00fcber Ihr Feedback sowie Anfragen zu einem Austausch.<br><br>Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abh\u00e4ngig von der kundenindividuellen Situation.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Karsten Nohl Karsten Nohl ist Gr\u00fcnder und Forschungsleiter der Security Research Labs. Zu seinen Forschungsgebieten [&hellip;]<\/p>\n","protected":false},"author":24,"featured_media":3876,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[19],"tags":[],"class_list":["post-3875","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-interviews-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=3875"}],"version-history":[{"count":1,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3875\/revisions"}],"predecessor-version":[{"id":3878,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/3875\/revisions\/3878"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/3876"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=3875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=3875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=3875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}