In seiner Keynote auf dem Systemhauskongress "Chancen 2016" wird Hacking-Experte Pierre Tempel brandaktuelle Sicherheitsrisiken in Unternehmensnetzen aufzeigen und Wege und Lösungen zu deren Behebung live darstellen. Im Interview berichtet er über seine bisherigen Erfahrungen und gibt einen Einblick, welche spannenden Erkenntnisse Teilnehmer des Kongresses in seiner Keynote gewinnen können.
Herr Tempel, Sie haben einige spektakuläre Hackerangriffe und Sicherheitslücken bei sehr großen Unternehmen aufgedeckt, unter anderem bei einem großen Automobilhersteller. Was ging Ihnen zuerst durch den Kopf, als Sie auf die Sicherheitslücken stießen?
Pierre Tempel: Im Rahmen des Cloud Report habe ich in der Tat bedenkliche Sicherheitslücken bei größeren Unternehmen festgestellt. Die Dunkelziffer ist aber weit größer, da durch private Clouds, welche z.B. Firmenausweise enthalten eine indirekte Gefährdung ausgeht. Dann gehen Daten verloren, ohne dass das Unternehmen dies bemerkt. Um auf diese erheblichen Missstände hinzuweisen, wurde das Programm überhaupt gestartet.
Wie stellt sich die Lage zwei Jahre später dar?
Tempel: Nach gut zwei Jahren kommen allerdings immer noch sekündlich 3 bis 7 gefährdete Systeme hinzu, etwa 30 Prozent enthalten Daten, welche Unternehmen gefährden (weltweit). Bei der größten Sicherheitslücke, welche entdeckt wurde, war der Ursprung wohl Fahrlässigkeit, aber da kann man nur spekulieren. Die Daten wurden zwar verschlüsselt übertragen, dann aber für alle zugänglich abgelegt. Solche simplen Berechtigungsfehler passieren meist, wenn Unternehmen meinen sie müssten eigene Systeme entwickeln, statt bereits bewährtes zu nutzen.
Wie reagierten die Kunden, als Sie Ihnen die Ergebnisse Ihrer Analyse vorstellten?
Tempel: Eine Frage ist häufig, wie man mit besonders sensiblen Funden umgeht. Die Nutzer kontaktieren? Das haben wir zirka fünf Mal versucht; ein Vorstand war dabei. Alle dachten zunächst wir würden ihnen was verkaufen wollen und legten meist gleich wieder auf. Andere legten ebenfalls auf, sagten aber, es sei unmöglich, dass so etwas passiere. Ihr Antivirenprogramm schütze sie doch davor. Hier fehlt es einfach, gerade in Deutschland, an Grundwissen über Computer. Der Anwender weiß nicht mehr, was ihn nun vor wem schützt und was er tatsächlich braucht. Leider fehlt dieses Wissen auch bei einigen Personen, welche Führungspositionen besetzen, erschreckenderweise sogar IT-Führungspositionen.
Welche Maßnahmen haben die Kunden anschließend ergriffen? Was hat sich geändert?
Tempel: Immerhin 35 Prozent der gefundenen Systeme sind im nächsten Kalendermonat wieder "sicher". Das heißt allerdings nicht, dass der Kunde tatsächlich das Problem behoben hat. In 9 von 10 Fällen hat sich einfach seine IP geändert, seine Daten sind trotzdem nicht sicher. Das Programm soll Ende des Jahres noch einmal laufen. Dann haben wir statistische Werte von möglichen Verbesserungen.
Die meisten Unternehmen hierzulande arbeiten mit IT-Dienstleistern und Systemhäusern zusammen. Wie erklären Sie sich, dass dennoch so viele gravierende IT-Sicherheitslücken existieren?
Tempel: In den Systemhäusern ist der Sicherheitsstandard generell recht hoch. Das bestätigen im Zweifelsfall noch Zertifikate. Da Problem ergibt sich - intern und extern - wenn Nutzer ein Produkt anwenden sollen, für das kein Ansprechpartner in nächster Nähe ist.
Durch verschiedene Konfigurationen an den Nutzer-PCs, sowie durch unterschiedliche Bildung der Nutzer entsteht ein chaotisches System, das viele Risiken birgt. Dann hilft nur noch eins: Nicht nur für das Produkt schulen, sondern auch für den Umgang mit sensiblen Daten.
Ein vernünftiges Schwachstellenmanagement darf natürlich nirgends fehlen, weder beim Hersteller, noch beim Kunden. Software wie z.B. 8MAN hilft, Berechtigungsstrukturen transparent zu machen.
Sie werden auf dem Systemhauskongress in Düsseldorf im Rahmen Ihrer Keynote auch eine Hacking-Session umsetzen. Was werden Sie den Teilnehmern des Kongresses hier zeigen? Was sind Ihre Kernanliegen?
Tempel: Einerseits gehe ich noch einmal auf die Ergebnisse des Cloud Report ein und zeige, welche Gefährdung durch Mitarbeiter ausgehen kann. Folgend werde ich demonstrieren wie einfach, aber effektive Systemangriffe möglich sind, und welche Folgen diese wiederrum haben. Dazu gibt es einige findige Beispiele und Lösungen aus der Praxis.
Zur Person: Pierre Tempel
Pierre Tempel wurde im Mai 2015 zum Director of Technical Operations & Infrastructure bei 3DLogics berufen. Das Unternehmen hat sich auf 3D Visualisierung und Augmented Reality spezialisiert. Zu den Kunden zählen unter anderem Audi, Siemens und BSH.
Vor seinem Start bei 3D Logics verantwortete Tempel als Mitgründer, Gesellschafter und Chefentwickler (CTO) PointMagic GmbH die strategische und technologische Ausrichtung des Spezialisten und Entwicklers von IT-Sicherheitslösungen und biometrischer Hardware, für Asien im Bereich B2B/OEM.
Als Trainee & Seminar Host am Max-Planck-Institut für Plasmaphysik leitete Tempel außerdem die Software-Entwicklung mit NeuroSKY an einer bionischen Prothese (Bionik). Über das Projekt hielt er auch ein Seminar am ASDEX Fusionsreaktor in München. Davor hatte er bereits zwei Jahre lang ein Softwareprojekt im Bereich Genetik geleitet.
Nähere Infos zum Systemhauskongress, zur Agenda und Anmeldemöglichkeit finden Sie unter: www.chancen2016.de
- Zutritt und Zugriff für Unberechtigte
- Verlust tragbarer Speichermedien
- Aufbewahrung von Logins und Passwörtern
- Ungesperrte Arbeitsplätze
- Private Nutzung geschäftlicher Kommunikationsmittel
- Weitergabe firmeneigener IT
- Preisgabe vertraulicher Firmeninformationen
- Unerlaubter Zugriff auf Teile des Netzes
- Installation nicht freigegebener Software
- Änderungen an den Sicherheitseinstellungen des Clients durch den Mitarbeiter