Folge 6 – Faktencheck mit dem Informations­sicherheitsbeauftragten

Intro: „Escape“ Der Cyberkrimi-Podcast zur Informationssicherheit

Intro: Das Interview.

Michelle: Ja, herzlich willkommen in Folge sechs von „Escape“. Ich hoffe euch hat die Cybercrime Geschichte in den vorherigen fünf Folgen gefallen und ihr konntet auch was mitnehmen, denn vielleicht ist es euch auch aufgefallen: Mitten in ihrem spannenden Fall haben Leonie und Tom über IT Sicherheitsthemen gesprochen, die auch für unseren nicht fiktiven Alltag wichtig sind. Und die schauen wir uns heute mal genauer an. Dafür habe ich mir heute einen Gast eingeladen. Frederik Christ ist Informationssicherheitsbeauftragter der Uni Mannheim und hat diesen Podcast mitgestaltet. Mein Name ist Michelle und vielleicht kommt euch meine Stimme ein bisschen bekannt vor, denn ich habe die Leonie gesprochen.

Michelle: Ja hallo, Frederik. Schön, dass du bei uns bist. Dann fangen wir mal an, vielleicht erklärst du uns noch mal kurz in zwei, drei Sätzen, was du an der Uni Mannheim so machst.

Frederik: Hallo Michelle. Ich leite die Abteilung Informationssicherheit hier an der Uni Mannheim und versuche zusammen mit meinem Team den Arbeitsalltag der Beschäftigten sicherer zu gestalten.

Michelle: Hast du da ein paar Beispiele für mich, was das so bedeutet?

Frederik: Ja, wir haben hier verschiedene Maßnahmen. Zum Beispiel bieten wir Schulungen an zu den Themen „Passwortsicherheit“ oder auch „Phishing“. Wir stellen Infomaterial bereit zum sicheren Arbeiten und zu guter Letzt schützen wir natürlich auch unsere IT Systeme.

Michelle: Da steckt ja wahrscheinlich noch einiges mehr dahinter, was Du jetzt gerade gar nicht alles erzählen kannst. Kann ich da irgendwo was zu nachlesen?

Frederik: Ja, natürlich, da gibt es viel mehr Informationen dazu. Die haben wir auf unsere Homepage gepackt. Die findest du unter www.uni-mannheim.de/infosicherheit

Michelle: Falls ihr jetzt so schnell nicht mitschreiben konntet: Wir stellen euch den Link auch noch mal in die Shownotes. Okay, dann machen wir doch mit Blick auf unsere ersten Folgen mal einen kleinen Realitycheck. Ich fange mal ganz hinten an, weil der Gedanke für mich am beunruhigendensten war. Könnte ein Hacker oder eine Hackerin wirklich die komplette Uni lahmlegen?

Frederik: Also ich muss sagen, grundsätzlich wäre sowas schon möglich.

Michelle: Okay, krass, das hätte ich jetzt eigentlich nicht gedacht, dass es so einfach geht.

Frederik: Also ich muss sagen, ganz so einfach, wie wir es im Podcast gemacht haben, geht es zum Glück dann doch nicht. Also wir haben Sicherheitsmaßnahmen, die sowas verhindern und der Aufwand hier einzudringen ist natürlich deutlich höher als einfach so einen kleinen Virus ins Netz einzuschleusen.

Michelle: Was sind das denn für Maßnahmen?

Frederik: Wir haben verschiedene Maßnahmen, um die IT Systeme zu schützen. Wir haben natürlich Firewalls und weitere Sicherheitsmaßnahmen wie Virenscanner etc. im Einsatz. Wichtig ist aber, dass jeder mitmacht und darum gibt es auch diesen Podcast.

Michelle: Ich frage mich jetzt natürlich: Was kann ich da konkret machen? Wie kann jeder Einzelne von uns mithelfen, dass am Ende nichts passiert?

Frederik: Podcast hören, also diesen Podcast hören ist schon der erste Schritt. Da ist schon viel erreicht. Wir haben dort viele Themen aufgegriffen, wie ich zum Beispiel sichere Passwörter erstellen kann bzw. wie ich Passwörter nicht wählen sollte, weil sie zu unsicher sind. Es wird in Folge 1 ausführlich behandelt. In Folge 3 taucht das Thema Datensicherung auf. Hier ist ganz klar die Empfehlung, wichtige Daten offline auf einer externen Festplatte zu sichern. Dann kommt entsprechend kein Trojaner etc. dran. Und wie immer, weitere Tipps gibt es auf unserer Homepage.

Michelle: Der Professor fällt in einer unserer Folgen auf eine Phishing Mail rein. Ich glaube, Phishing Mails kennt inzwischen fast jeder. Da werden negative Konsequenzen angedroht und die Angreifenden bauen Druck auf über den Text in der Mail. Was genau sind denn Spearphishing Mails?

Frederik: Spearhishing-Mails sind Mails oder Phishing Mails, die genau auf Personen zugeschnitten sind. Der Angreifer betreibt hier Recherche über sein Opfer und schickt dann eine maßgeschneiderte Phishing-Mail. Im Podcast bekommt Tom zum Beispiel eine Mail von seinem Professor mit Details zum Drittmittelantrag, den er gerade braucht. Das hilft ihm. Das ist genau das, was er im Moment sucht. Und es ist eine vermeintlich vertrauenswürdige Quelle. Er denkt nicht an Gefahren und klickt einfach auf den Link und öffnet die Makros und fängt sich so den Verschlüsselungstrojaner ein.

Michelle: Gibt es denn irgendwas, woran ich mich halten kann, wie ich solche Mails erkennen kann?

Frederik: Also es gibt zum einen technische Merkmale, allerdings wird es immer schwieriger daran was zu erkennen, weil auch die Angreifer immer besser werden. Ich kann prüfen: Ist die Absenderadresse korrekt? Sind Rechtschreibfehler in dem Link enthalten? Steht da beispielsweise „Umi-Mannheim.de“ und nicht „Uni-Mannheim.de“. Ein Tipp an der Stelle generell von mir ist es, bei Links immer vorsichtig zu sein. Lieber auf die entsprechende Homepage gehen, sich durch die Navigation durchzuklicken und zur entsprechenden Seite zu gelangen, als die Abkürzung über den Link zu nehmen, was vielleicht schneller geht, aber dann doch gefährlicher ist. Und neben den technischen Merkmalen ist natürlich der Inhalt auch relevant. Hier hilft der gesunde Menschenverstand. Man muss ich immer fragen: Schreibt die entsprechende Kollegin oder der Kollege ihre Mails wirklich so? Ist das Ganze ein realistisches Szenario? Und warum sollte die Kollegin oder der Kollege das so von mir wollen?

Michelle: Okay, also seine Mails einfach immer ein bisschen mit Sinn und Verstand lesen.

Frederik: Genau das ist wichtig an der Stelle.

Michelle: Und mehr Infos kriegen wir wahrscheinlich auf der Website?

Frederik: Genau, wie immer.

Michelle: Was kann ich denn machen, wenn man jetzt, wie der Professor, wirklich zum Opfer geworden ist und sich nicht schützen konnte?

Frederik: Ganz wichtig ist an der Stelle: Keine Panik, Ruhe bewahren. Wenn ich mir unsicher bin, den Support anrufen, der kann mir im Zweifel immer weiterhelfen. Ein pauschales Vorgehen ist sehr schwierig, da es immer situationsabhängig ist, was aber gut und hilfreich ist, ist den PC sofort vom Netz zu trennen, das Netzkabel ziehen, WLAN gegebenenfalls ausschalten und im zweiten Schritt würde ich möglichst schnell meine Passwörter, die ich auf dem infizierten PC verwendet habe, ändern. Natürlich von einem anderen System, das nicht infiziert ist, beispielsweise der PC von nem Kollegen oder meinem Smartphone. Wichtig ist auch: Ich brauche mich da nicht verstecken. Ich brauche keine Schuldgefühle zu haben. Es kann wirklich jedem passieren. Ich selbst habe auch schon mal auf einen Phishing Link geklickt. Es ist da nichts passiert, ich hab's im zweiten Schritt gemerkt, aber es kann wirklich jedem an der Stelle passieren und es muss einem nicht peinlich sein. Also weitere Details gibt es auch hier auf der Homepage.

Michelle: Wir haben ja auch eine Situation in einer unserer ersten Folgen, wo die Hackerin einen USB Stick mit Keylogger in die Docking Station des Professors steckt. Kurze Erklärung an die Zuhörenden, Ich musste das selber googeln: Ein Keylogger funktioniert im Grunde wie eine Wanze, die den Text mit protokolliert. Also jede Tastatureingabe wird am Ende aufgezeichnet. Frederik, wie erkenne ich, dass ich einen Keylogger habe und wie reagiere ich dann am besten?

Frederik: Grundsätzlich muss man unterscheiden zwischen Soft- und Hardware- Keylogger Im Podcast wird ein Hardware-Keylogger eingesetzt. Das ist im Prinzip wie ein USB Stick, das irgendwo in der Docking Station, im Laptop etc. im Rechner steckt. Das kann auch ein sehr kleines Gerät sein. Vielleicht kennen Sie das von den Mäusen die Mini USB Adapter, die wirklich in dem Slot verschwinden und kaum sichtbar sind. Also nach sowas sollte ich auf jeden Fall Ausschau halten. Bezüglich Software hilft immer ein Virenscanner, der aber auch nicht immer alles findet und im Zweifelsfall auch hier den Support anrufen, der kann weiterhelfen.

Michelle: Kann ich denn noch irgendwas machen, um mich sofort selber zu schützen?

Frederik: Ja, wichtig ist, dass du nur Programme aus vertrauenswürdigen Quellen verwendest, also nicht irgendwo aus dem Internet irgendeine Software runterladen. Auch hier gilt wieder: Im Zweifel bei dem Wort nachfragen. Und bezüglich Hardware-Keylogger, hier muss ich einfach mein Gerät überprüfen und sollte meine Geräte auch nicht allein lassen. Beispielsweise den Laptop im Zug mit auf Toilette nehmen und nicht einfach auf dem Tisch stehen lassen. Die Bürotür immer abschließen, auch wenn ich mal nur kurz das Büro verlasse. Und generell wachsam sein, auf unbekannte Personen achten und nicht wie im Podcast jemand Fremdes einfach ins Büro lassen.

Michelle: Die Hackerin gibt sich als jemand anderes aus. Wie häufig ist denn dieses Social Engineering?

Frederik: Vielleicht grundsätzlich noch einmal zum Social Engineering: Also bei Social Engineering handelt es sich um ein Verfahren, um sicherheitstechnisch relevante Daten durch das Ausnutzen menschlichen Verhaltens zu gewinnen. Das ist mittlerweile eigentlich schon eine klassische Methode, um an Infos zu kommen. Weil IT-Systeme in der Regel durch eine Firewall geschützt sind. Der Hacker kommt nicht direkt auf die Systeme, auf die Zielsysteme, auf die er zugreifen will. Und für ihn ist es in der Regel einfacher, den Menschen, also den gutmütigen Menschen anzugreifen und nicht das IT-System vor Ort. Dass jemand vor Ort kommt, ist nur eine Variante. Wir alle kennen, wie schon genannt, die Phishing Mails. Es gibt aber auch vermehrt Telefon Phishing. Vielleicht hast du schon mal gehört von den Anrufen eines Microsoft Mitarbeiters, der dir sagt ,dein PC hat irgendwie ein Problem und du sollst deine Kreditkartennummer mal eingeben. In letzter Zeit passiert es auch häufiger mit DHL, dass irgendein Paket nicht zugestellt werden kann und Du sollst auf irgendeine Seite gehen und erstmal deine Zugangsdaten eingeben, damit Du überhaupt an dein Paket kommst.

Michelle: Gibt es da irgendwelche Warnsignale auf die ich achten kann, um mich zu schützen?

Frederik: Für dich persönlich wie bei Spearphishing einfach drauf achten: Passt es in den Kontext? erwarte ich halt wirklich das Paket?

Michelle: Gesunder Menschenverstand hilft scheinbar grundsätzlich weiter.

Frederik: Ja genau, das ist immer gut, wenn man den hat.

Michelle: Sehr gut. Tom und Leonie haben ja jetzt das Glück und können die gelöschten Daten vom USB Stick der Hackerin wiederherstellen. Ist das realistisch? Wie schütze ich mich denn vielleicht auch grundsätzlich davor?

Frederik: Ja das ist auf jeden Fall realistisch. Löschen in der IT ist nicht wirklich löschen, sondern die Daten werden nur als gelöscht markiert. Vielleicht hast du ja auch schon mal deine Urlaubsfotos auf einer Speicherkarte aus Versehen gelöscht. Hier gibt es ganz viele Tools, die die einfach wiederherstellen können und deswegen ist es sehr wichtig, dass du Daten auf externen Datenträgern immer nur verschlüsselt ablegst. Nur so können sie nicht in fremde Hände geraten. Und wir haben auf unserer Webseite ganz viele Infos, für welchen Fall du welche Verschlüsselung Methode verwenden solltest.

Michelle: Was mache ich denn, wenn ich jetzt ein Stick habe, wo schon unverschlüsselte Daten drauf sind?

Frederik: Also wenn schon unverschlüsselte Daten drauf sind, kann ich die wie gesagt nicht einfach löschen, sondern hier hilft, die Daten einfach mehrfach zu überschreiben. Mit irgendwelchen Müll Daten, vielleicht irgendwelche unverfänglichen Bilder, die ich nicht mehr brauche, die ich einfach mehrfach auf den Stick kopiere, und so werden die Ursprungsdaten unlesbar.

Michelle: So, jetzt habe ich ja schon einiges mitgenommen heute, hast du vielleicht abschließend noch drei Top Tipps, die wirklich jeder sofort umsetzen kann und die den eigenen Laptop oder auch generell die eigenen Daten am Ende sicherer machen?

Frederik: Mein erster Tipp wäre es, Passwörter nicht wieder zu verwenden. Wir alle kennen das, das wir uns am neuen Onlineshop beispielsweise registrieren wollen, müssen ein Passwort eingeben und uns fällt schwer, was Neues auszudenken. Ich habe Angst, ich kann es mir vielleicht nicht merken. Der einfachste Weg ist mein Passwort, das ich sowieso in der Uni verwende, auch für den neuen Onlineshop zu nehmen. Die große Gefahr ist natürlich: Wird der Shop gehackt oder betreibt der Admin dort ein Nebengewerbe und verkauft die Zugangsdaten im Darknet, können meine Informationen und Zugangsdaten veröffentlicht werden und ein möglicher Angreifer kann sich damit hier in der Uni anmelden. Deswegen ganz wichtig: Passwörter nicht wiederverwenden, für jedes System ein eigenes Passwort ausdenken, auch wenn es mühsam ist. Mein zweiter Tipp wäre es, Updates zu installieren. Auch hier kennen wir die Meldung von Windows: „Update steht bereit“. Meistens kommt es zum ungünstigen Zeitpunkt. Wir sind im Stress, wir sind im Meeting, wir haben keine Zeit und klicken das Ganze weg. Die große Gefahr ist, dass auch die Angreifer in dem Moment, wo die Sicherheitslücke bekannt wird, diese kennen und sich auch darauf vorbereiten und Tools entwickeln, um deinen Rechner angreifen zu können. Wenn du das Update zu lange aufschiebst, dann sind die Angreifer schneller und können deinen Rechner entsprechend übernehmen. Deswegen ganz wichtig: Updates möglichst schnell installieren. Mein letzter Tipp ist es, sich ständig zu informieren. Am einfachsten schaust du regelmäßig auf unserer Homepage vorbei

Frederik: www.uni-mannheim.de/infosicherheit

Michelle: Ja, Frederik, vielen Dank, dass du da warst. Ich glaube, wir haben alle heute viel gelernt und auch schon ein bisschen was mitgenommen, was man ganz praktisch umsetzen kann.

Frederik: Ja, danke, dass ich hier sein durfte.

Michelle: Und ich hoffe, euch allen hat unsere Hörspielreihe gut gefallen und jeder konnte sich ein bisschen was mitnehmen. Ich glaube, wir gehen jetzt einmal alle an unseren Laptop und ändern unsere Passwörter ganz schnell. Und nicht vergessen: traut nie einem USB Stick, den ihr nicht selbst gelöscht habt.