29.10.2020
Welche Auswirkung hat mein Verhalten in Sachen Cyber Security auf andere? Welchen Zusammenhang hat der Schutz meines privaten Laptops mit der Verfügbarkeit des Webshops eines Detailhändlers? Diesen Fragen widmet sich Adrian Wiesmann, Leiter der IT Security bei PostFinance, in seinem Blogbeitrag im Rahmen der «Connecta».
«Ich bin ein zu kleiner Fisch, an mir ist niemand interessiert.» Solche Aussagen habe ich in der Vergangenheit immer wieder gehört. Insbesondere von Personen, welche auf ein starkes Passwort oder das Patchen ihrer Systeme verzichtet haben. Aber die Überlegung greift zu kurz. Es wird damit impliziert, dass es keine Abhängigkeiten zu Dritten gibt und die eigenen Handlungen keinen Einfluss auf andere haben. Das ist falsch.
Im Internet gibt es unzählige Scanner. Das sind Computer, welche konstant das ganze Internet nach verwundbaren Servern durchsuchen. Sobald eine Schwachstelle gefunden wird, wird zum Teil sofort und automatisch versucht, die gefundene Schwachstelle auszunutzen. Solche Scanner werden auch von zwielichtigen Gestalten betrieben. Dazu nutzen sie nicht selten die privaten Computer von «kleinen Fischen». Die eigentlichen Besitzer dieser Computer wissen vermutlich gar nicht, dass ein Krimineller ihr System fernsteuert und für kriminelle Zwecke missbraucht.
Für den Besitzer des Computers muss dieser Missbrauch keine spürbare Auswirkung haben. Werden aber viele dieser ferngesteuerten Computer zusammen in einem Botnetz orchestriert, sind sie definitiv gefährlich und schädlich. Botnetze werden gerne für DDoS-Angriffe verwendet. Also dazu, Server (z. B. einer Online-Bank oder eines Webshops) zu überlasten, um den Zugriff durch deren Kunden zu verhindern. Die Gründe für einen solchen Angriff sind vielfältig (Reputationsschaden, Erpressung etc.). Die Auswirkung ist in jedem Fall ein finanzieller Schaden für das Opfer.
Dies bringt uns zurück zum «kleinen Fisch». Mein privater Laptop, schlecht geschützt, vielleicht ohne die aktuellen Security Patches, ist für sich ein kleines Ziel, im Kontext eines Botnetz-Angriffs aber definitiv Teil eines grösseren Ganzen und damit des Problems. In einem etwas anderen Kontext: Der Webshop eines KMU ist vielleicht nicht gross, und trotzdem entstehen Kosten für den Unterhalt und das wiederkehrende Patchen. Die Verlockung ist gross, dass man aus Kostengründen diese Aufwände vielleicht (zu Teilen) einspart. Wenn der Shop-Betreiber darauf verzichtet, lässt er aber die Tür für kriminelle Gruppierungen einen Spalt offen und gewährt ihnen unbewusst Zugriff auf den Server. Kriminelle nutzen das dann aus, um beispielsweise im Bezahlvorgang die Kreditkartendaten der Kunden mitzulesen und anschliessend deren Konto zu plündern. Somit ist der kleine Webshop plötzlich der Steigbügel für einen grösseren Angriff.
Vollständig lösen kann man das Problem nicht. Sobald etwas einen Wert hat, wird es immer Betrugsversuche geben. Aber wir können dem Problem gezielt begegnen. Der Schutz der eigenen Systeme und Prozesse muss von Anfang an eingebaut und geplant werden. In unserer heutigen vernetzten Welt gehört dazu auch der Blick über den eigenen Garten hinaus, zu meinen Partnern und Kunden. Wenn ich dies konsequent tue, spart mir das langfristig nicht nur selber Geld und Aufwand. Es hat zudem den Effekt, dass ich meine Partner und Kunden ebenfalls schütze. Ein Kunde, der sich sicher und wertgeschätzt fühlt, wird die Geschäftsbeziehung aufrechterhalten und seine Einkäufe auch in Zukunft über meinen Shop tätigen.
Adrian Wiesmann ist Leiter der IT Security bei der PostFinance AG. Er regt mit provokativen Blog-Titeln gerne zum Denken an. Adrian will verstehen, wie etwas funktioniert. Dafür nimmt er auch schon mal Dinge auseinander und schaut sich die Einzelteile genau an. Seine Partnerin baut sie dann wieder zusammen.
