Hacking Teil 6: Fünf Security Tipps eines Hackers und wie man mit Alexa & Co. sicher bleibt

Aus unserer Expertenreihe: Interview mit einem Hacker

Tobias Madl ist IT-Sicherheitsanalyst und als Europas bester Hacker ausgezeichnet. Im Interview erklärt er, wie neue Technologien neue Möglichkeiten, aber auch Security Gefahren mit sich bringen und gibt Tipps für den Alltag, wie man auf der sicheren Seite bleibt.

Zur Vorstellung von Tobias Madl und der Themenübersicht dieser Expertenreihe kommen Sie über diesen Link.

User setzen häufig neue Technologien ein, um sich besser gegen Security Attacken zu schützen. Hacker verwenden neue Technologien aber auch für sich. Wie hat sich die Angriffsfläche verändert durch den beidseitigen Einsatz von neuen Technologien?

Tobias Madl: Je größer das Technologiefeld, das man verwendet, desto grösser natürlich die Angriffsfläche. Beispielsweise man hat drei Handys, wobei zwei davon mit der neusten Software upgedated sind und eines nicht. Hier wird der Hacker logischerweise das angreifen, was alt und anfällig ist.

Das gleiche gilt beispielsweise für Alexa. Das ist eine neue Technologie, die man sich ins Haus stellt; ein Gerät, das vielleicht nicht geupdated wird. Irgendwann wird dort dann eine Sicherheitslücke gefunden und man kann von außen darauf zugreifen.

Wir befinden uns gerade in einem Technologieumschwung und wollen mehr vernetzt sein. Smart TVs haben Mikrofone oder Kameras, um sich selber abzuschalten, wenn keiner mehr davorsitzt. Mit neuen Technologien lässt es sich also bequemer leben.

Staubsaugroboter beispielsweise sind auch sehr praktisch. Das Gerät kann aber oft mit Kameras, Mikrofon mit Gegensprechanlage und Night-Vision ausgerüstet sein und erstellt nebenbei noch eine Karte vom betroffenen Haus. Es kann sogar erkennen, ob jemand zu Hause ist.

Es findet also immer noch ein Trade-off statt, welche Daten geben wir her und welche Sicherheitslücken holen wir uns damit ins Haus.

Bei Firmen ist der Einsatz von KI beispielsweise kritisch, wenn sie diese nicht verstehen oder keine Spezialisten dafür einstellen und dann falsch konfigurieren, weil es auch dafür verschiedene Angriffsvektoren gibt. Man nutzt erst einmal nur die Vorteile der Technologie, bedenkt aber nicht die Nachteile und Gefahren.

Soll man sich solche neuen Technologien also nicht anschaffen aufgrund mangelnder Sicherheit?

Tobias Madl: Technologischer Fortschritt ist berechtigt und wir haben einen Nutzen davon.

Man muss sich dabei nur drei Sachen bewusst sein:

1. Welchen Trade off hat man dabei, also was für Daten gibt man her?
2. Wiegt der Nutzen auf?
3. Kann ich das System selber schützen oder kann ich es updaten?

Auch für Staubsaugroboter gibt es Updates, nur leider macht das keiner, weil man nicht daran denkt. Aber wenn man sich dem bewusst ist und das Gerät auf dem neusten Stand hält, ist das vollkommen ok.

Man kann auch darauf achten, dass es vom Netzwerk abgetrennt ist und seine Firewall am Router eingeschaltet lässt. Das sind kleine Schritte, die einem aber helfen, sicher neue Technologien auch daheim zu nutzen.

Beim Anschaffen solcher Produkte kann man darauf achten, was man für ein Sicherheitsversprechen man hat. Handy Hersteller beispielsweise werben mit Security Updates für mehrere Jahre. Auch bei Betriebssystemen wird von den Herstellern angeboten, dass man beim Kauf auch einen Support von Updates für die nächsten 5-10 Jahre bekommt. Wenn mir sowas ein Unternehmen nicht gewährleisten kann, würde ich das Produkt nicht kaufen, da man dann bei neuen Sicherheitslücken bei schon verkauften Produkten nichts tun kann.

Wie schaut die Security bei Public Hotspots aus wie an Flughäfen, in Hotels etc.? Wie ist da die Gefahrenlage?

Tobias Madl: Also pauschal kann man sagen, man sollte es eigentlich lassen. Aber natürlich ist es bequem und solange man auf verschlüsselten Seiten (https) unterwegs ist, ist das in Ordnung. Das heißt die Daten sind verschlüsselt vom eigenen Gerät bis hin zum Server.

In dem Moment, wenn eine unverschlüsselte Verbindung besteht, kann jeder, der in diesem Netzwerk sitzt, alles mitlesen, was man aufruft und macht. Auch nachdem man das unsichere Fenster geschlossen hat.

So kann man den ganzen Netzwerk Traffic mitlesen. Vielleicht hat man sich unverschlüsselt eingeloggt, dann hat man schon einmal die Login-Daten.

Hier kann man sich z.B. mit einem VPN-Tunnel schützen. Dieses Virtual Private Network baut eine verschlüsselte Verbindung in ein anderes Netzwerk auf (dem man vertraut) und man kann von dort aus im Internet browsen. Entweder man hat einen eigenen VPN oder man hat einen Anbieter, bei dem man das einkaufen kann. Wenn man dann in ein öffentliches WLAN möchte, muss man als Prämisse den VPN aktivieren.

Ohne VPN muss man einfach sehr gut aufpassen, welche Seiten man anbrowst, welche Apps im Hintergrund ins Internet gehen und so weiter. Es nutzt nichts, wenn man aufpasst, aber im Hintergrund mein E-Mail-Programm falsch konfiguriert ist und die unverschlüsselte Verbindung wählt, sodass jeder meine Mails mitlesen kann.

Man kann z.B. den Netzwerkzugang von Apps verbieten, außer bei denen die man freigibt. Es gibt also Möglichkeiten sich zu schützen, aber so etwas lernt man auch nicht unbedingt selber, so etwas muss einem beigebracht werden.

Haben Sie TOP 5 Security Tipps für den Alltag?

Tobias Madl: Für die Privatperson:

  • Vorsicht bei Passwörtern. Wählen Sie sichere Passwörter und nicht überall das gleiche. Idealerweise kann man dazu einen Passwort Manager verwenden.
  • Nutzen Sie Zwei-Faktor- Authentifizierung an zwei verschiedenen Geräten für wichtige Accounts.
  • Updaten Sie Ihre Geräte und halten Sie dies auf dem aktuellsten Stand
  • Vertrauen Sie nicht jedem im Internet und öffnen Sie nicht jede Mail oder Link, auch wenn einem Geld versprochen wird
  • Verwenden Sie mehrere E-Mail Accounts und trennen Sie, welcher wichtig ist und wer die Adresse bekommt

Es gibt einfach so viele Schnittstellen, so viel, was beachtet werden muss. Das ist oft auch das Problem für Firmen. Man kann das gar nicht alleine bewältigen, wenn man nicht direkt in der Branche arbeitet. Das heißt, man braucht Experten, was bis dato noch nicht alle verstanden hatten.

Deswegen ist das Arbeitsfeld der Security auch so groß, weil so viel Power und Know-how gebraucht wird, um sich zu schützen. Im Privaten ist es fast nicht anders.

Jeder bräuchte eigentlich eine Schulung und man sollte einen Führerschein machen für seinen PC/Internet. Warum macht man einen Autoführerschein? Weil es Gefahren birgt und Schaden für einen selbst und andere entstehen kann. Das gleiche ist bei PCs und Internet möglich.
Kinder gehen an den PC ihrer Eltern und damit haben sie den ersten Kontakt und sind bereits den Gefahren ausgesetzt.

In den letzten Jahren ging der Trend von Technologien, in die man sich reinfuchsen musste zu denen die besonders anwenderfreundlich sind. Man denkt da nicht so lange nach, was alles passieren kann und nutzt es einfach.

Das ist im Grunde auch nicht schlecht. Man sollte nur zumindest im Hinterkopf haben, dass da ein gewisses Gefahrenpotenzial besteht und dass man das Kindern auch vermitteln muss. Meiner Meinung nach ist das nur möglich, wann man das schon in der Schule beigebracht bekommt. Das sollte wirklich früh in den Informatikunterricht mit rein.

Ich gebe selber auch Schulungen an Schulen und man merkt, es ist einfach null bis fast kein Wissen oder eine Awareness vorhanden, aber alle haben ein Smartphone.

An dieser Stelle noch einmal herzlichen Dank an Tobias Madl, für seine Zeit und das spannende Interview über die Welt des Hackens!

Hier geht es noch einmal zur Übersicht der anderen Teile unserer Expertenreihe: Interview mit einem Hacker!

Haben Sie Fragen zu dem Interview, wollen mehr über Cyber-Security erfahren oder suchen direkt nach einer Lösung für ein Security-Projekt, dann schreiben Sie uns gerne eine Nachricht!