Cyber Security: Angreifer sind die besten Verteidiger

Cyber Security: Angreifer sind die besten Verteidiger

Die israelische Cyber Security-Expertin Keren Elazari empfiehlt jedem Unternehmen, die Dienste von Hackern in Anspruch zu nehmen. Sie weiss, wovon sie spricht: sie war selbst eine Hackerin.

Würden Sie sich als Hackerin bezeichnen?

Ich bin stolz darauf, eine Hackerin zu sein. Genau genommen bin ich allerdings eine ehemalige Hackerin. Die letzten zwei Jahre habe ich nämlich nicht am Computer verbracht, sondern bin als inoffizielle Botschafterin der gutgesinnten Hacker-Community durch die Welt gereist. Diese leistet die wahre Arbeit, indem sie täglich neue Schwachstellen in IT-Infrastrukturen entdeckt und Wege findet, sie zu beheben. Ich würde mich heute eher als Security Researcher bezeichnen.

Viele Leute denken beim Wort Hacker an Gesetzesbrecher.

Für mich ist das Wort nicht negativ besetzt. Hacker sind in erster Linie sehr kreative Persönlichkeiten. Sie verlassen ausgetretene Pfade und verwenden ungewohnte Denkmuster. SIX zum Beispiel hat im März 2018 zum vierten Mal ihren Hackathon ausgerichtet. Niemand geht davon aus, dass SIX Gauner dazu einlädt. Sie lädt inspirierte Querdenker ein, die nicht das Gesetz, sondern höchstens althergebrachte Regeln brechen – um etwas Neues zu schaffen.

Natürlich gibt es auch Kriminelle, die ihr Hacker-Talent missbrauchen. Gerade sehr junge Hacker aus ärmlichen Verhältnissen laufen Gefahr, aus der Not oder aus Zwang straffällig zu werden. Dass das manchmal auch ein gutes Ende nehmen kann, zeigt ein Beispiel aus Venezuela: Ein Schüler wurde beim Hacken des Schulcomputers erwischt. Er wollte die Antworten zu den Prüfungsfragen zu Geld machen. Nach seiner Verhaftung hatte er die Wahl zwischen Gefängnis und einem Job als Sicherheitsberater der Schule. Er hat sich für die zweite Variante entschieden.

Hacker sind sehr kreative Persönlichkeiten. Sie verlassen ausgetretene Pfade und verwenden ungewohnte Denkmuster.

Zeigen Ihre Auftritte und Artikel Wirkung? Verändert sich die öffentliche Wahrnehmung?

Mein TED-Talk von 2014 hat mittlerweile über zwei Millionen Menschen erreicht. Ich hoffe schon, dass ich damit zum Imagewandel beitragen habe. Denn der hat definitiv stattgefunden. Eine Underground-Convention wie DEF CON in Las Vegas hat sich zu einem länder-, branchen- und generationenübergreifenden Happening entwickelt. Oder: Die Girl Scouts of the USA, der Inbegriff von Tugendhaftigkeit, haben vor Kurzem Pfadfinder-Abzeichen für Hacking eingeführt. Aus gutem Grund, der Bedarf an Cyber Security Spezialisten in den Unternehmen wird in Zukunft noch zunehmen.

Keren Elazari war Keynote-Speaker anlässlich der Konferenz «SIX on Cyber Security». Erleben Sie ihren Auftritt vom 1. März 2018 im Video.

Braucht jedes Unternehmen einen Hacker im Team?

Ich empfehle es [lacht]. Immer mehr Unternehmen – auch als konservativ bekannte – haben in den letzten drei bis vier Jahren den Nutzen von Hackern erkannt. Es gibt allerdings ganz verschiedene Möglichkeiten, mit Hackern zusammenzuarbeiten. Hackathons habe ich schon erwähnt. Die Hacker dort sollen keine Sicherheitslücken auf-, sondern neue Geschäftsideen entdecken. Unternehmen initiieren aber auch Bug- Bounty-Programme, bei denen sie Hacker belohnen, die Schlupflöcher in ihren Systemen finden. Andere heuern tatsächlich Hacker an – als externe oder interne Berater. Oder sie stellen sich einmal im Jahr einem so genannten Red-Team, fiktiven Angreifern mit einer unverstellten Aussensicht.

Diese Hacker finden Sicherheitslücken im Auftragsverhältnis. Etwas provokativ gefragt, leisten nicht auch kriminelle Hacker ihren Beitrag?

Immerhin decken diese ebenfalls Missstände auf. Es gibt hackende Whistleblower oder Hacktivisten, die ähnlich wie investigative Journalisten zwar Ungerechtigkeiten anprangern, aber dabei gegen das Gesetz verstossen. Ich denke jedoch, Sie meinen Hacker mit monetären oder zerstörerischen Absichten. Wenn ich es mir recht überlege, kann selbst daraus noch etwas Gutes entstehen. Denken Sie an Ransomware, die geschäftsrelevante Daten verschlüsseln und diese nur gegen Bezahlung wieder frei geben. Ein grosses Problem. Auf der anderen Seite hat die letzte Welle derartiger Erpressungsversuche das Bewusstsein für Cyber Security immens geschärft. Was die Entwickler der Ransomware tun, bleibt falsch. Aber wir können etwas daraus lernen.

Wir müssen ein Sicherheitsbewusstsein etablieren, ein bisschen paranoid bleiben oder werden.

Gehört demnach zu diesem Lernprozess, dass wir Cyber Security nicht alleine an die Technologie delegieren können?

Es gibt fantastische neue Technologien, wie kognitive Intelligenz, die zum Beispiel SIX in ihrem Security Operations Center zurecht nutzt. Es sind allerdings nicht Algorithmen alleine, die uns beschützen werden. Die beste Firewall ist wertlos, wenn wir uns als Nutzer unvernünftig verhalten. Meine Recherchen haben gezeigt, dass individuelle Aktionen mitunter die grössten Angriffe begünstigt haben. Jeder von uns fällt täglich Dutzende von Sicherheitsentscheidungen: Wir öffnen die Tür, obwohl wir nicht wissen, wer davorsteht, wir verwenden mehrmals das gleiche Passwort, wir klicken auf einen Link, dessen Ziel wir nicht kennen, oder verbinden ein privates Gerät mit dem WLAN am Arbeitsplatz. Wir können die Technologie benutzen, um diese Entscheidungen zu automatisieren und dadurch den menschlichen Einfluss zu minimieren. Er wird aber immer bestehen bleiben. Darum müssen wir ein Sicherheitsbewusstsein etablieren, ein bisschen paranoid bleiben oder werden.

Sie leben in Tel Aviv, sind dort aufgewachsen; haben die israelischen Bürger aufgrund der politischen Situation ein ausgeprägtes Sicherheitsbewusstsein?

Die Realität, in der wir in Israel leben, hat erstaunliche Innovationen hervorgebracht. «Pressure makes diamonds.» Immer wieder mussten wir schnelle – und darum kreative – Sicherheitslösungen für kurzfristige Bedrohungen finden. Vielleicht als provisorisch angedacht, überdauerten viele dann doch die Zeit. Die Schweizer zum Beispiel nehme ich ganz anders wahr. Das über Jahrzehnte stabile Umfeld erlaubt es ihnen bis heute, immer auf alle Eventualitäten vorbereitet zu sein. Im Kampf gegen Cyberattacken könnten beide Eigenschaften hilfreich sein: die Kreativität und die ständige Bereitschaft.

Blicken wir noch ein wenig in die Zukunft. Das Internet of Things, die Vernetzung von physischer und virtueller Welt, wird gerade Realität. Biohacker sind bereits dabei, den menschlichen Körper auch mit technologischen Mitteln zu optimieren.

Richtig. Und damit entsteht eine Angriffsfläche ungeahnter Dimension. Erschwerend hinzu kommt, dass die Innnovation, was den menschlichen Körper betrifft, zurzeit weder von Unternehmen noch aus den Hochschulen kommt. Biohacking floriert in einer Do-it-yourself-Community, die mit Chips unter der Haut und entsprechender Software experimentiert. Aber wir müssen gar nicht so weit gehen, um besorgt zu sein. Schon heute müssen Patienten mit Herzschrittmachern oder Insulinpumpen regelmässig Softwareupdates machen. Das Hacken von Computern war also erst der Anfang.

SIX Cyber Hub

Kein Zweifel, der Schweizer Finanzplatz steht unter Druck: neue Wettbewerber, neue Technologien, neue Vorschriften. Hinzugekommen ist in den letzten Jahren die erhöhte Bedrohung durch Cyberattacken. Deshalb lanciert SIX 2018 den Cyber Hub, eine branchenspezifische, interdisziplinäre und multilaterale Initiative. Sie steht allen Teilnehmern am Schweizer Finanzplatz offen. Der SIX Cyber Hub will die Zusammenarbeit, den Informationsaustausch und das «digitale Vertrauen» stärken.

Zum SIX Cyber Hub gehört auch das erste Security Operations Center (SOC) der Schweiz, das auf Cognitive Computing setzt. Die Security-Analysten von SIX arbeiten vor Ort in Zürich rund um die Uhr. Ab Herbst steht das SOC als Managed Service auch Banken und Versicherungen zur Verfügung. Ergänzend wird SIX Trainings- und Weiterbildungsangebote lancieren sowie das Teilen von Erkenntnissen zur Bedrohungslage unter allen Beteiligten fördern und vereinfachen.

SIX lädt alle Teilnehmer am Schweizer Finanzplatz zum Dialog über Cyber Security ein: cyberhub@six-group.com.