Daten sind die Währung des 21. Jahrhunderts. Wer sich nicht richtig schützt, macht Hackern den Datenklau leicht.
0001, 0002, 0003, 0004,... systematisch rattert die Software alle möglichen Zahlenkombinationen durch, bis sie schließlich beim richtigen Sperrcode angekommen ist: 2486 – Voilà, voller Zugriff auf alle Daten. Nicht einmal zwei Minuten hat es gedauert, bis Live-Hacker Sebastian Schreiber mit seiner Hacking-Software ein iPad geknackt hatte. Eigentlich geht das ja nicht, denkt nun der gemeine Apple-Nutzer, denn nach wahlweise fünf oder zehn falschen Versuchen ist normalerweise Schluss. Das Gerät zerstört sich dann einfach selbst, indem es schlicht den Schlüssel zur verschlüsselten Festplatte löscht.
Profis können diesen Mechanismus aber ganz einfach aushebeln, indem sie das iPad per Kabel mit ihrem eigenen Rechner verbinden, anschließend ausschalten, dabei die richtigen Tasten drücken und so das Gerät dazu bringen, ein manipuliertes Betriebssys-tem, das auf dem Hacker-Rechner installiert ist, zu benutzen. „Dass jetzt mein System drauf läuft, erkennen sie an der angebissenen Ananas“, sagt Schreiber, dessen Firma im Auftrag von Unternehmen deren Systeme testet, und hält das Gerät mit dem plastisch sichtbaren Beweis in die Höhe. Das Publikum quittiert das mit einem kurzen Lacher; noch haben die meisten nicht verstanden, wozu das gut sein soll. Aber jetzt: Das System mit der Ananas lässt unbegrenzte Versuche beim Sperrcode-Knacken zu und eine entsprechende Software ungehindert arbeiten.
LKA sieht Mittelstand im Visier
Dass es so einfach ist, ihr Mobilgerät zu knacken und ihre Daten zu stehlen, überrascht die meisten der 300 Teilnehmer, die IHK-Vizepräsident Wolf Maser zu den zehnten Bayerischen Mittelstandsgesprächen im Historischen Rathaussaal begrüßt hatte, dann doch. Aber interessiert sich die kriminelle Internationale überhaupt für den Mittelstand und dessen Geschäftsgeheimnisse? „Und ob“, erklärt Günter Seibold vom Landeskriminalamt Bayern. Er leitet das im Januar gegründete Dezernat „Cybercrime“ und verzeichnet eine große Anzahl von Angriffen auf Unternehmen in einer Größenordnung von bis zu 250 Mitarbeitern. „Diese Firmen stehen in der Hitliste auf Platz zwei nach den großen Konzernen. Kleinere Zulieferbetriebe werden gern als Einfallstor in die Großunternehmen benutzt“, weiß der Kripo-Beamte.
Darauf ist der Mittelstand überhaupt nicht vorbereitet. Eine Umfrage der Datev eG aus dem Jahr 2013 ergab, dass das Bewusstsein für Sicherheitsfragen zwar insgesamt zufriedenstellend entwickelt ist, aber nur 44 Prozent der Unternehmen Maßnahmen zur Absicherung ihrer E-Mail-Korrespondenz getroffen haben. Um den Bereich der mobilen Endgeräte haben sich die meisten überhaupt noch nicht gekümmert. „Besonders die sich immer mehr verbreitende Praxis des sogenannten Bring-your-own-Device, wo Mitarbeiter – oder Chefs – ihre eigenen privaten Geräte mit in die Firma bringen und auch geschäftlich nutzen, ist das Riskanteste, was man machen kann“, ist Daniel Domscheit-Berg überzeugt. Der Netzaktivist und ehemalige WikiLeaks-Sprecher appelliert an die Mittelständler, ihr politisches Gewicht zu nutzen, um auf Gesetze und Strukturen zum Schutz der eigenen Daten zu drängen und Sorge für ihre eigenen Systeme zu tragen.
Sicherheit ist (k)eine Geldfrage
„Sicherheit fängt im Kopf an“, betont Martin Hager, Geschäftsführer der Retarus GmbH, die Verschlüsselungs-Software anbietet. „Vielleicht muss ich meine CAD-Zeichnungen eben nicht unbedingt in den Online-Speicher tun, nur weil es convenient ist.“ Die Server zu den bequemen Cloud-Diensten stehen oftmals irgendwo auf der Welt, eine Kontrolle über die dort liegenden Daten ist in keiner Weise möglich. Natürlich ist Sicherheit neben einem Mentalitätsthema auch eine Frage der Investition. „Derzeit geben deutsche Unternehmen mehr Geld für Toilettenpapier aus als für IT-Sicherheit“, polemisiert Hager. Allerdings könne eine Investition gleich welcher Größenordnung niemals absolute Sicherheit gewährleisten, warnt Hacker Schreiber, die sei aber auch nicht nötig. Ein geschärftes Bewusstsein hingegen schon.
„Kriminelle spielen mit der menschlichen Neugier, wenn sie Schad-Codes verteilen“, weiß LKA-Experte Seibold. Wie – das könnten Sie im Gedankenspiel selbst testen: Angenommen, Sie deponieren auf Ihrem Firmenparkplatz einen USB-Stick mit der Aufschrift: „Personalabteilung – streng vertraulich, nur für den internen Gebrauch“. Wie viele Ihrer Mitarbeiter stecken diesen Stick dann wohl in ihren Rechner, wenn sie ihn zufällig finden? Voilà, voller Zugriff auf alle Daten.
