Tageblatt: Sie haben Astrophysik studiert. Wie kommt man von da zur Cybersicherheit?
Pascal Steichen: Wie das Leben manchmal so spielt … In der Forschung wollte ich nach dem Abschluss in Brüssel nicht bleiben und habe Ende der 90er Jahre einen Job in der IT-Branche gefunden. Da habe ich mich ziemlich schnell auf Cybersicherheit spezialisiert. Und bin immer noch mit viel Spaß dabei.
Viele Mitarbeiter im Home-Office, fortschreitende Digitalisierung … stehen wir an einem kritischen Punkt der Entwicklung des Webs?
Internet of Things (IoT)
Das „Internet of Things“ (IoT, Internet der Dinge) bezeichnet die zunehmende Vernetzung von Geräten, Sensoren etc. via IP-Netz. Unter Experten ist es unstrittig, dass das IoT unsere Art des Wirtschaftens, aber auch unser tägliches Leben – Stichwort: Smart City, Smart Home – revolutionieren wird. Eng mit IoT verbunden sind Themen wie „connected cars“ oder „wearables“, schreibt die Fachzeitung Computerwoche. „Wearables“ sind intelligente elektronische Geräte, die nahe oder auf der Hautoberfläche getragen werden, wie beispielsweise Blutdruck-, Entfernungs- und Zeitmesser.
Ja, aber nicht wegen Covid-19. Die zunehmende Digitalisierung ist schon seit ein paar Jahren in vollem Gang. In dieser Zeit haben sich auch die Angriffsflächen für Cyberangriffe auf Handys, Kühlschränke oder Autos bis hin zu Laptop, Joghurtfabriken oder Atomkraftwerken stark vergrößert. Die aktuelle Pandemie hat das Bewusstsein dafür nur vergrößert.
Ist Cybersicherheit nicht eigentlich ein Versprechen, das nicht erfüllt werden kann?
100 Prozent Sicherheit gibt es nicht. Die digitale Welt dreht sich schnell. Selbst wenn ein System zur Sicherheit sich gerade als gut erwiesen hat, kann es das schon morgen nicht mehr sein.
Das klingt ja wie die Geschichte von Hase und Igel …
Hat ein bisschen was davon … Cybersicherheit ist ein Wettrennen. Man muss schnell und flexibel sein. Gerade aber stellen wir fest, dass wir zurückgeworfen werden. Das betrifft Geräte, wo früher wenig bis keine Elektronik eingebaut war. Ich spreche vom „Internet of things (IoT)“ – Kühlschränke, Autos, Jalousien, Smart Homes … Da treffen wir alte Bekannte.
Welche?
Keine Passwörter, keinen verschlüsselten Datenaustausch, ein Passwort, dass man nicht ändern kann, ein Zugriff über das Internet, der nicht geschützt ist. Da dachten wir, das sei längst erledigt. Ein Grund mag vielleicht darin liegen, dass die Herstellung der Geräte nicht von Informatikern begleitet wird. Außerdem werden sie in großen Stückzahlen produziert, wo die Sicherheit ganz am Schluss steht.
Hat nicht Cybersicherheit den Nachteil, dass sich Experten über Sachen unterhalten, die Otto Normalverbraucher gar nicht verstehen kann?
Das ist ganz klar eine Herausforderung unserer Branche. Deswegen pochen wir so auf Sensibilisierung. Ein Beispiel ist „Bee Secure“. Die Technik ist das eine, viel wichtiger ist aber, was ich wem poste.
Gehen wir zu unbedacht mit dem Web um?
Ja. Etwas anderes kommt aber hinzu. Das Web ist etwas, was nur einen Sinn des Menschen anspricht, nämlich das Sehen. Unsere anderen Sinne können wir nicht nutzen. Das macht es anderen relativ einfach, uns reinzulegen. Daten sind heute das Öl der Weltwirtschaft und sehr begehrt. Kaum jemand, der auf virtuellen Plattformen aktiv ist, macht sich Gedanken darüber, was mit seinen Daten passiert.
Was haben die Enthüllungen Edward Snowdens in der Welt der Cybersicherheit bewegt?
Ich sage es mal mit den Worten des amerikanischen Sicherheitsanalytikers Bruce Schneier: Das, was da zutage kam, hatte die Cybersecurity-Community schon länger vermutet. Die Enthüllungen Snowdens waren die Bestätigung. Für die Menschen außerhalb dieser Community hatte es einen riesigen Sensibilisierungseffekt.
Ist das sichere Passwort ein Märchen?
Security made in Luxembourg
SECURITYMADEIN.LU ist eine Agentur des Wirtschaftsministeriums und ist die Dachorganisation von drei Abteilungen. Es ist ein „Groupement d’intérêt économique“ (GIE) und verfügt 2020 über ein Jahresbudget von 3,5 Millionen Euro. 80 Prozent kommen vom Staat, den Rest generiert die Agentur über Einnahmen aus den Veranstaltungen. Es gibt drei Abteilungen: Das Computer Incident Response Center Luxembourg (CIRCL) ist die Feuerwehr, die bei Cyberattacken helfen soll. Das Cybersecurity Competence Center (C3) macht Trainings und Workshops für Firmen. Die Abteilung CASES hilft Unternehmen, ihrer Risiken zu bewerten und ob sie in puncto Cybersicherheit gut aufgestellt sind. CIRCL.lu ist unter Tel. 00352-24 78 84 44 erreichbar; CASES/C3 im Web unter cases.lu/c-3.lu.
Wie weit sie schützen und wie wirksam sie sind, hängt von verschiedenen Variablen ab. Entscheidend ist die Länge. Das kann ein Satz aus einem Buch sein oder ein normaler Satz. Bis man das durchgerechnet hat, um es zu knacken, dauert es. Und einen Satz kann man sich besser merken als komplizierte Buchstaben- und Zahlenkombinationen.
Nutzen Sie Google?
Nein. Ich will die Kontrolle über meine Daten behalten. Ich möchte sie nicht digitalisieren. Das passiert, wenn man Google nutzt.
Sie haben 2018 Facebook die Freundschaft gekündigt. Warum?
Facebook ist völlig außer Kontrolle. Als Facebook-Nutzer gebe ich freiwillig Daten an die Plattform. Dahinter steht ein Versprechen: Diese Daten werden genutzt, um Freundschaften zu schließen. Wenn aber die gleichen Daten genutzt werden, um Wahlen zu beeinflussen, oder verkauft werden, um mir Produkte zu verkaufen, dann ist das Versprechen gebrochen. Das muss gestoppt werden.
Benutzen Sie WhatsApp?
Leider noch immer, aber sehr eingeschränkt.
Der Dienst verspricht aber End-zu-End-Verschlüsselung …
Für die Gruppe, die da kommuniziert. Wenn da aber noch jemand dabei ist, den man nicht sieht, kann der unverschlüsselt mitlesen.
Also kommuniziert die Cybersecurity-Gemeinde nur verschlüsselt?
Klar.
Machen Sie noch etwas analog?
Meine Klimaanlage und die Haushaltsgeräte sind nicht vernetzt. Es hängt zwar ein Kabel oder könnte über Bluetooth gesteuert werden, aber es ist nicht angeschlossen.
Hitparade der Hackerangriffe:
- Dropbox: Der Filehoster Dropbox wurde 2012 gehackt. 68 Millionen Zugangsdaten, die nur zum Teil verschlüsselt waren, wurden gestohlen.
- J.P. Morgan: Die US-amerikanische Großbank mit Niederlassung in Luxemburg wurde im Jahre 2014 angegriffen. Als Zugang diente das Passwort eines Mitarbeiters des Finanzinstituts, das offenbar zuvor gestohlen wurde. Insgesamt wurden 83 Millionen Datensätze, darunter 7 Millionen Daten, die auf Geschäftskonten zurückgehen, erbeutet.
- LinkedIn: 2016 wurden über 117 Millionen gehashte Passwörter zu LinkedIn-Konten über einen Filehoster zum Verkauf angeboten. Die Daten, die in ihrer Gesamtheit eine 4,5 Gigabyte große Textdatei füllten, sollen im Rahmen eines Hacks im Jahre 2012 geklaut worden sein.
- British Airways: Im Herbst 2018 teilte die Fluggesellschaft ein Datenleck mit. 380.000 Bank- und Kreditkartendaten von Buchungen wurden gestohlen, die zwischen dem 21. August und 5. September 2018 getätigt wurden.
- Österreichisches Außenministerium: Anfang Januar 2020 waren die IT-Systeme der staatlichen Behörde Ziel eines „schwerwiegenden“ Cyberangriffs. Vonseiten des Ministeriums vermutete man einen Angriff eines „staatlichen Akteurs“, wie der öffentlich-rechtliche Sender ORF mitteilte.
- Der jüngste Hackerangriff betrifft die europäische Arzneimittelbehörde (EMA): Hacker haben sich letzte Woche Zugriff auf „einige Dokumente“ im Zusammenhang mit der Einreichung von Zulassungen für den Covid-19-Impfstoff BNT162b2 von Pfizer und Biontech verschafft. Das berichtet die Süddeutsche Zeitung (SZ). Die EMA ist für die Beurteilung und Überwachung von Arzneimitteln zuständig. Der Vorfall hat nach EMA-Angaben keine Auswirkung auf die Prüfungsfristen für den Impfstoff, heißt es in dem SZ-Artikel weiter.
Besorgen Sie sich einen VPN, für 5 Geräte um die 5€ Monat.