mfm - Interview: Drei+1 Fragen an Christopher Schöndube mit der Lizenz zum Hacken

Christopher Schöndube ist seit zwei Jahren IT Security Consultant und Penetrationstester bei der it.sec GmbH & Co KG in Ulm. Das Unternehmen berät staatliche und nicht-staatliche Institutionen sowie Unternehmen in mehr als 30 Ländern in Fragen zur Informationssicherheit, Datenschutz & IT-Compliance. Penetrationstester wie Christopher Schöndube hacken sich für die Auftraggeber in deren Online-Systeme und -Shops, Firmen, Banken oder industrielle Anlagen und helfen bei der Aufklärung von IT-bezogenen Sicherheitsvorfällen ("Cybercrime"). Wir haben Christopher Schöndube zur Informationssicherheit in Deutschland befragt.

1. Haben wir in Deutschland ein Problem mit der Sicherheit durch unsere Passwörter? 

Hier muss ich kurz dazwischen grätschen. Der sogenannte "jüngste" Datenklau ist schon alt. Meines Erachtens nach deuten die Hinweise darauf hin, dass der junge Mann aus Hessen nur Daten aus alten Bundestag-Hacks aus dem sogenannten Dark Web gekauft hat. Er war leider so unvorsichtig und hat über eine sehr bekannte und stark frequentierte Plattform die Daten im Web preisgegeben. Das war sein Verhängnis. 

Aber zurück zur eigentlichen Frage. Ein ganz klares Ja. Das betrifft aber nicht nur Deutschland. Das ist ein globales Problem. Und es liegt in der Natur des Menschen, faul zu sein. Sicherheit bedeutet auch immer mehr Aufwand. Ein gutes Passwort sollte schon ausreichend komplex sein. Wenn ich jedoch ein Passwort aus 32 Zeichen mit Klein-, Großbuchstaben, Zahlen und Sonderzeichen anlege, merkt sich das kein normaler Mensch. Nachvollziehbar! Durch moderne Methoden und Software ist der Aufwand aber handhabbarer geworden. Ich meine hier vor allem die Passwort-Safes, die mit einem Master-Passwort, welches man sich nur noch als einziges merken muss, gute Speicher- und Verwaltungsmöglichkeiten bieten. So können aus den Programmen heraus per Tastenkombination Zugangsdaten automatisch eingefügt werden. Außerdem wird der User automatisch eingeloggt. Und das auch mit hoch komplexen und langen Passwörtern. Das ist gut, um der „Faulheit“ der Nutzer entgegenzuwirken. Zudem hilft dies, schwache Passwörter wie „Passwort123“ oder „qwertz“ verschwinden zu lassen. Die zuletzt genannten Passwörter bieten keinen ausreichenden Schutz und können in weniger als einer Minute geknackt werden.


2. Was kann der Gesetzgeber Ihrer Meinung nach gegen diese individuelle Nachlässigkeit im Umgang mit den Passwörtern tun? 

Hier ist zunächst jede Person und jedes Unternehmen selbst gefragt. Jede Hard- und Software, die heute in der elektronischen Datenverarbeitung eingesetzt wird, hat die Option, eine gewisse Mindestkomplexität der Passwörter zu erzwingen. Würde dies endlich von allen strikt so umgesetzt und angefordert werden, müssten sich die Angreifer andere Wege als das Passwort-Cracking suchen, um an die Daten und Konten zu gelangen. 

Ansonsten hätte man über Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik die Möglichkeit, nicht nur Best Practices für die IT- Sicherheit vorzugeben, sondern auch Verpflichtungen auszusprechen. Sicherheitsvorfälle sind bereits meldepflichtig. Wenn nach einer Untersuchung der Sicherheitsvorfälle von einem dritten, unabhängigen IT-Sicherheitsunternehmen festgestellt wird, dass der Grund des Vorfalls die zu schwache Passwortkomplexität war, sollte eine weitere Sanktion in Form von Strafzahlungen fällig werden.

3.Was genau bestimmt Ihre tägliche Arbeit als IT-Security Consultant und Penetrationstester bei it.sec?

Prinzipiell habe ich die Lizenz zum Hacken. Wie mein Berufstitel schon angibt, bin ich hauptsächlich mit Kunden und deren IT-Sicherheitsberatung beschäftigt. Die kann in Form von Schulungen sein, thematisch hier zum Beispiel Secure Coding für Programmierer oder ganz einfach das Bewusstsein für IT-Sicherheit der Mitarbeiter weiter sensibilisieren und abprüfen. Daneben haben wir im Alltag aber auch viele Penetrationstests auf Softwaresystemen, mobilen Geräten, PCs, Geldautomaten, Router, Datenbanken und ganzen Netzwerkstrukturen, um mit der Erlaubnis der jeweiligen Kunden Schwachstellen in deren Netzwerk und Systemen präventiv zu identifizieren. Entsprechend der gefundenen Schwachstellen geben wir Empfehlungen zur Behebung oder zumindest zur Verminderung des Risikos. Denn das ganz große Problem, das sich von meinem allerersten Tag in der IT-Security vor sechs Jahren bis heute zeigt, ist, dass dem Großteil der Menschen trotz des großen Medienechos von IT-Sicherheitsvorfällen, egal ist, was mit ihren Daten passiert. Und nur dies begründet wiederum die Angriffe auf uns alle. Vor allem von einigen einschlägig bekannten Nationen, die auch regierungsgesteuert global andere Nationen hacken.

4. Was können Firmen und Privatpersonen Ihrer Meinung nach tun, um ihre Daten zu schützen?

Wie eben schon angesprochen muss den Firmen und Menschen endlich klar werden, wie wertvoll und auch weitreichend ihre Daten sind. Daten sind das heutige Gold, das „jeder“ haben will. Dies wird einem immer erst bewusst, wenn es zu spät ist. Wenn Firmen zum Beispiel einen Wirtschaftsspionage-Vorfall haben oder einer Privatperson über soziale Plattformen die Identität gestohlen und missbraucht wurde. 

Zunächst sollte sich jeder bewusst werden, dass die IT-Sicherheit ein wichtiges und empfindliches Thema ist. Eine kommerzielle Anti-Viren-Software kann beispielsweise helfen. Diese sind heute gar nicht mehr so teuer mit 40-50 Euro Jahresgebühr und meist noch Multi-Device, sodass die Lizenz zum Beispiel auf fünf Geräten gleichzeitig verwendet werden kann. Dann sollte eine hohe Passwortkomplexität für Zugänge gewählt werden, genauso wie die Zwei-Faktor-Authentifizierung. Wenn man dies alles befolgt und seine Software noch aktuell hält und nicht mehr ganz so frei mit seinen Daten im Internet hausieren geht, sollte das Gesamtrisiko eines erfolgreichen Angriffs auf die eigenen Daten nicht mehr so hoch sein. Ich denke, das sind alles wenig aufwendige Punkte, sie erhöhen das IT Sicherheitslevel aber ungemein.

Unternehmen


ARUP, Berlin
Baur Versand, Burgkunstadt
Berliner Verkehrsbetriebe (BVG), Berlin
BEV Bayerische Energieversorgungsgesellschaft, München
Censhare, München
CIC Group - CIC GmbH & Co KG, Regensburg
EURO-Internatsberatung, München
Genie Beratungs AG, Schweiz Tägerwilen
GS1-Germany, Köln
Hassel Rechtsanwälte, Berlin
Heyl chemisch-pharmazeutische Fabrik GmbH &Co. KG, Berlin
Incuria Regress, Rechtsanwalts-GmbH, Berlin
KPMG, Berlin
Novo Argumente Verlag, Frankfurt
Odgers Berndtson, Frankfurt
Startnext, Berlin
SYNK GROUP, Stuttgart
xbav, München
Xing Business-Netzwerkpartner, München
Warner Bros., Hamburg
World Media Group AG, Berlin
Zahmer Kaiser Bergbahn, Walchsee, Österreich


Ministerien/Bundestag/Bundesämter



Abgeordnete des Deutschen Bundestages, Berlin
Auswärtiges Amt (AA), Berlin
Bundesministerium der Justiz (BMJ), Berlin
Bundesministerium für Arbeit und Soziales (BMAS), Berlin
Bundesministerium für Ernährung und Landwirtschaft (BMEL), Berlin
Bayerisches Staatsministerium für Wirtschaft, München
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Bonn
Bundesamt für Bauwesen und Raumordnung, Berlin
Deutscher Bundestag, Berlin
Deutsches Patent- und Markenamt, München
Presse- und Informationsamt der Bundesregierung, Berlin
Statistisches Bundesamt, Wiesbaden
SPD-Landesgruppe Bayern im Deutschen Bundestag, Berlin
CDU-Fraktion im Deutschen Bundestag, Berlin
FDP-Fraktion im Deutschen Bundestag, Berlin


Europa



EU-Projekt Integration von Minderheiten in Europa, Istanbul, Berlin
EU-Projekt Journalisten-Workshop, Brüssel, Berlin
EU-Projekt "News4Youth", Brüssel, Berlin, Potsdam
EU-Projekt "International-Project Management", Brüssel, Berlin
EU-Projekt "European Public Relation", Brüssel, Berlin
EU-Projekt Gemeinde Winterlingen & Förderverein Sporthalle

Verbände


AWO Landesverband Berlin
Bund Deutscher Pflanzenzüchter, Bonn
Bundesverband e-Commerce und Versandhandel, Berlin
Bundesverband energieeffiziente Gebäudehülle (BuVEG), Berlin
Bundesverband des Deutschen Lebensmittelhandles, Berlin
Bundesverband mittelständische Wirtschaft (BVMW), Berlin
Die Lebensmittelwirtschaft e.V, Berlin
Deutsche Stiftung Akut- und Notfallmedizin, Berlin
Deutsches Tiefkühlinstitut, Berlin
Deutscher Mühlenverband, Berlin
Deutscher Bauernverband, Berlin
Deutscher Angelfischer Verband, Berlin
Deutsche Rheuma-Liga Bundesverband, Bonn
Fachverband Mineralwolleindustrie (FMI), Berlin
Fachverband Gips, Berlin
Forum Moderne Landwirtschaft (FML), Berlin
FG-Holzbau und Ausbau GmbH, Berlin
Grain Club, Berlin
Hauptverband der Deutschen Bauindustrie, Berlin
RAV-Republikanischer Anwaltsverein, Berlin
Schutzgemeinschaft Deutscher Wald (SDW), Berlin
Technisches Hilfswerk (THW) Berlin, Brandenburg, Sachsen-Anhalt
VdTÜV, Hauptverband, Berlin

Politik/Länder



Die Piratenpartei im schleswig-holsteinischen Landtag, Kiel
FDP/DVP-Fraktion im Landtag von Baden-Württemberg, Stuttgart
FDP-Fraktion im bayerischen Landtag, München
FDP-Fraktion im Berliner Abgeordnetenhaus, Berlin
FDP-Fraktion im Landtag von Sachsen-Anhalt, Magdeburg
FDP Landesverband Mecklenburg-Vorpommern, Schwerin
FDP-Fraktion im Landtag von Rheinland-Pfalz
FDP Landesverband Bayern, München
Stadt Wipperfürth, Nordrhein-Westfalen

Bildung/Wissenschaft



Berkeley, University of California
BiBB-Bundesinstitut für Berufsbildung, Bonn
Bundesakademie für öffentliche Verwaltung (BAköV), Brühl
Circular Farming 2030, Stuttgart
Cyber Valley (AI), Tübingen
Eventus-Bildung e.V., Berlin
Fachhochschule Heilbronn, Heilbronn
Fachhochschule für Management und Oekonomie (FOM), Berlin
Goethe Universität Frankfurt, Frankfurt/Main
Hochschule für Angewandte Wissenschaften (HAW), Hamburg
Internationale Schule, Bremen
Stiftung Private Kant-Schulen, Berlin
Platanus Schule, Berlin
Mediendienst Integration, Berlin
Friedrich Naumann Stiftung für die Freiheit, Berlin