Ich bin genervt 🤬 „Hackerangriffe“ sind die neue Ausrede für „wir haben uns nicht gekümmert“. Eine Firma nach der anderen muss ihren Betrieb einstellen wegen den bösen Hackern. Quatsch.
Nehmen wir an, ich hab eine Bank mit Bargeld im Tresor. Wenn der Tresor vor meiner Bank mit einem Zahlenschloss gesichert steht, hat den auch nicht „die Mafia“ geknackt. Aber der Reihe nach, schauen wir mal auf die beliebtesten „Hackerangriffe“: Distributed Denial of Service (DDoS) und besagte Ransomware.
DDoS-Hacker
Im Winter-Lockdown 2020/2021 kam es in Rheinland-Pfalz und Baden-Württemberg zu DDoS-Attacken auf die digitalen Lernplattformen. Auch die Ermittlungsbehörden sagten, dass es „so viele Zugriffe gegeben (habe), dass der Server überlastet und schließlich lahmgelegt wurde“. Entweder böse Hacker. Oder halt Schüler, die am digitalen Unterricht teilnehmen wollten und auf einen Schlag massenhaft zugreifen wollten, wie das nach den Ferien so ist. Aber hey: Gegen die Hacker ist man ja machtlos🤷♂️
Ransomware-Hacker
Noch klarer wird es bei all den Meldungen von Ransomware Angriffe. Krankenhäuser und Landratsamter landauf, landab sind betroffen. Nicht, dass wir uns falsch verstehen: Für die betroffenen Häuser ist das eine Katastrophe. Ich fühle da mit jedem Betroffenen und will auch nicht hämisch sein.
Die Katastrophe ist aber eben auch eine vermeidbare. Wir reden hier in den seltensten Fällen von komplexen Angriffen. Im Regelfall sind es einfach Einfallstore, immer noch viel zu oft der Anhang einer Mail. Aber klar. Gegen die Hacker ist man ja auch hier machtlos. Wie soll denn ein Landratsamt, eine Firma XYZ sich gegen „Hacker“ verteidigen 🤷♂️
Schauen wir uns mal Ransomware an. Ransomware ist erstmal ein Programm, das von einem Nutzer gestartet werden muss. Wird das Programm gestartet, verschlüsselt es Daten auf die der Nutzer zugreifen kann und versucht sich meist parallel im Netzwerk weiter auszubreiten.
Damit das Programm überhaupt gestartet werden darf, muss er die technische Berechtigung auf seinem System haben, als normaler Benutzer ein nicht installiertes und nicht freigegebenes Programm zu starten. Ja, warum in aller Welt hat den ein normaler Nutzer dieses Recht? 😳
Unter Windows kann man das sehr leicht testen: Einfach eine Portable App (also eine App, die von einem Benutzer ohne administrative Rechte gestartet werden darf) nutzen. Idealerweise wird die Ausführung verhindert. Das kann Windows mit Bordmitteln. Dann kommt folgende Meldung.
Kollege Supper hat da einen schicken Artikel zu geschrieben.
Und warum?
Schade halt, dass die Ausrede „das war ein Hackerangriff“ bei Chefs und Medien so unhinterfragt akzeptiert wird. Ja, es gibt komplexe Angriffe. Wenn die Kriminellen mal „drin“ sind, machen die auch noch anderen Schabernack, den man wegen mir manchmal als Hacking bezeichnen kann. Aber das allerallermeiste da draußen ist vermeidbar. Mit wenig Zauberei.
Nehmen wir an, wir sperren jetzt nicht freigegebene Software: Ja, dann wird es in vielen Organisationen sicher zu Problemen kommen. Technisch kein Problem. Organisatorisch schon. Dadurch würde viel Schatten-IT zu Tage treten. Schatten-IT sorgt aber in vielen Fällen dafür, dass Menschen ihrer Arbeit nachgehen können. Die ist selten aufgrund böser Absichten vorhanden. Aber dann muss man da halt ran.
Ich kenne so viele Mittelständler, die bis heute keinen Cybersicherheitsverantwortlichen haben, aber ohne IT da nichts mehr geht. Wenn dann mal ein Verantwortlicher bestimmt wird, ist das oft kein Experte, sondern jemand, der (wenn es gut läuft) aus der IT kommt und sich für Sicherheit „interessiert“. Der macht das dann nebenher. Das gibt es in keiner anderen Wissensdomäne. Niemand würde (und sollte) mich z. B. nebenher als Schreiner beschäftigen, nur weil ich gerne mal was aus Holz herstelle.
Nachhaltige Cybersicherheit ist Aufwand? Ja und? In jedem anderen Bereich wird der Aufwand betrieben. Zu Recht. Keine Buchhaltung ohne Controlling? Keine IT ohne Cybersicherheit!
Der Schwabe sagt „Schaffa isch halt a Gschäft“. Und auf die Gefahr hin Don Quijot’sche Züge anzunehmen: Wenn wir unser aller Leben so verdammt auf IT basieren lassen, dann müssen wir für Betrieb und Schutz dieser IT ENDLICH Geld in die Hand nehmen.