„Eine Antivirus-Software reicht nicht.“

02.05.2022 · von Olaf Hordenbach

Warum Hackerangriffe auch private Internetnutzer treffen können, viele Unternehmen die Gefahren im Netz nicht erkennen und Europa mehr in Sachen Cybersecurity tun muss – im Gespräch mit dem Ethical-Hacker Avi Kravitz.

MÄRKTE & ZERTIFIKATE: Herr Kravitz, ich nutze täglich das Internet. Zu Hause, im Büro – und ich denke auch darüber nach, mir einige Haushaltsgeräte anzuschaffen, die ich online steuern kann. Muss ich mir da über die Sicherheit im Netz Gedanken machen? Was gibt es bei mir schon zu klauen?

Avi Kravitz: Nein, dahinter steckt deutlich mehr. Wenn man auf der Zeitachse zurückgeht, in die Vergangenheit reist, dann hat man diesen Vorwurf schon oft gehört. Die Eisenbahn, das Auto, das Flugzeug, das Kreuzfahrtschiff – alles war angeblich nur für die „reichen Jungs“, den Adel, die Elite. Doch heute benutzt jeder die Eisenbahn oder fährt mit dem Auto. Sehen Sie, was auch immer entwickelt wird, am Anfang ist es nur für wenige Menschen, doch dann sinken die Kosten, und jeder kann es benutzen. Dann gibt es mehr Möglichkeiten und Mobilität für jedermann. 

MÄRKTE & ZERTIFIKATE: Ich bleibe dabei, bei mir gibt es nichts zu klauen.

Avi Kravitz: Ja, in der Tat, wir können die Preise für die Menschen, die ins All geflogen sind, nicht kleinreden. Doch je mehr Flüge und Anbieter es gibt, desto günstiger wird es werden. Das ist nur eine Frage der Zeit.

MÄRKTE & ZERTIFIKATE: Noch mal zurück zu den internetfähigen, also smarten Haushaltsgeräten. Die sind doch praktisch und absolut harmlos.

Avi Kravitz: Leider nicht. Internetfähige Haushaltsgeräte erhöhen für Hacker die Angriffsfläche erheblich, da das smarte Gerät mit einem Fuß „zu Hause“ ist und sich mit dem anderen Fuß gleichzeitig in der Online-Welt bewegt. Zudem handelt es sich hierbei oft um Produkte mit sehr niedrigen Sicherheitsstandards, die permanent eingeschaltet, selten überwacht, schlecht gewartet und dazu noch permanent online sind. Für Hacker stellt das eine Chance da, diese Geräte nicht nur von außen zu kapern, sondern auch über die Geräte in das interne Netz – ob das eines Haushalts oder eines Unternehmens, ist dabei egal – einzudringen.

MÄRKTE & ZERTIFIKATE: Aber diese Gefahr müssen die Hersteller von smarten Haushaltsgeräten doch erkannt haben?

Avi Kravitz: Leider nicht. Nicht selten habe ich bei Gesprächen mit namhaften Unternehmen, die solche Geräte herstellen, auf die Frage nach vorhandenen Sicherheitsmaßnahmen das Feedback erhalten: „Wie hilft uns Security, noch mehr Geld zu verdienen?“ Aus der Sicht der meisten Hersteller stellt die Auseinandersetzung mit der Sicherheit einfach nur Mehrkosten dar, denn sie kosten neben Geld auch zusätzliche Zeit. Unter dem Strich lässt sich sagen, dass die Sicherheit bei smarten Geräten, die Internet-of-Things-Security, derzeit noch in den Kinderschuhen steckt und der IT-Security im allgemeinen um mindestens zehn bis 20 Jahre hinterherhinkt.

MÄRKTE & ZERTIFIKATE: Was kann ich denn als privater Nutzer tun, um meine Haushaltsgeräte vor Hackern zu sichern?

Avi Kravitz: Der beliebteste Angriffsvektor, um internetfähige Geräte zu hacken, sind nicht geänderte Standardpasswörter sowie nicht eingespielte Updates – und viel mehr kann man in der Regel auch nicht machen. Die Anwender von smarten Geräten sind den Qualitätsansprüchen der Hersteller ausgeliefert. Und die haben Cybersecurity in der Regel eben nicht im Fokus.

MÄRKTE & ZERTIFIKATE: Wie kann ich mich denn im Netz überhaupt schützen? Reicht eine handelsübliche Antivirus-Software?

Avi Kravitz: Nein, schon lange nicht mehr. Es ist ein Maßnahmen-Mix aus Weiterbildung und technischen Maßnahmen notwendig. Das gilt insbesondere für Unternehmen. Die Schulung der Mitarbeiter, sie auf das Gefahrenpotenzial aufmerksam zu machen, ist schon ein wichtiger Anfang. Schulungen und Weiterbildung, sogenannte Awareness-Maßnahmen, sind essenziell, um sich über aktuelle Bedrohungen und Maschen der Kriminellen zu schützen. Zentral auch das Patch-Management: Software und Systeme müssen immer aktuell gehalten werden. Aber das sind nur zwei Punkte von einer ganzen Reihe an notwendigen Maßnahmen. 

MÄRKTE & ZERTIFIKATE: Was sind denn die derzeit beliebtesten Maschen der kriminellen Hacker?

Avi Kravitz: Phishing und alles, was mit damit zusammenhängt, als Einfallstor in Unternehmen sowie die Ausnutzung von Schwachstellen in nicht gepatchten, also veralteten, Systemen. In Zukunft werden uns die Themen Deepfakes, IoT-Sicherheit, Angriffe auf Lieferketten sowie Ransomware verstärkt beschäftigen. Sicher ist aber auf jeden Fall: Die Arbeit geht uns nicht aus, ganz im Gegenteil.

MÄRKTE & ZERTIFIKATE: Durch den Krieg in der Ukraine ist Umfragen zufolge auch die Angst der Menschen vor einem „Cyber-Krieg“ gewachsen. Zu Recht?

Avi Kravitz: Der Krieg Russlands gegen die Ukraine ist nicht so digital, wie manche Experten erwartet haben. Das liegt vermutlich auch daran, dass die Ukraine hier ihre Hausaufgaben in Sachen Sicherheit gemacht hat. Nichtsdestotrotz, der „Cyber-Krieg“ auf der ganzen Welt hat schon längst begonnen. Wann erkennt man denn einen Cyber-Angriff? Wir bekommen nur die Hackerangriffe mit unmittelbarer Auswirkung mit, also wenn „nichts mehr geht“, die Rechner sozusagen stillstehen. Bei allen anderen Angriffen sind wir blind. Wenn es nur um Infiltration und Spionage geht, bleiben viele Bedrohungen über Monate oder gar Jahre unentdeckt. 

MÄRKTE & ZERTIFIKATE: Aber die Europäische Union hat ja Richtlinien erlassen, die die Sicherheit im Netz stärken sollen.

Avi Kravitz: Ja, EU-weit wurde im Jahr 2016 eine Richtlinie zur Netz- und Informationssicherheit eingeführt. Sie war die erste gesetzgeberische Maßnahme mit dem Zweck, die Zusammenarbeit zwischen den Mitgliedstaaten beim Thema der Cyber-Sicherheit zu stärken. Sie enthält Sicherheitspflichten für Betreiber systemkritischer Dienste wie zum Beispiel Energie, Verkehr, Gesundheit und Finanzen. Aber nur weil es eine Richtlinie gibt, heißt es nicht, dass die genannten Organisationen auf einmal „sicher“ sind. Es ist ein weit verbreiteter Irrglaube, dass man Cybersecurity schnell und einfach erreicht. Je größer und etablierter eine Organisation ist, desto länger dauert es, einen vernünftigen Reifegrad bei der Sicherheit zu erreichen. Im Schnitt benötigen Unternehmen ein bis drei Jahre dafür.

MÄRKTE & ZERTIFIKATE: Wäre Europa denn auf einen Cyber-Krieg vorbereitet?

Avi Kravitz: Nein. Die Wichtigkeit, hier etwas zu unternehmen, wurde schlichtweg zu spät erkannt. Das will man jetzt nachholen, aber das dauert halt seine Zeit.

AviKravitz.png

Avi Kravitz

Avi Kravitz ist ein anerkannter Experte für Cybersecurity, der seit über 15 Jahren Sicherheitsprojekte bei europäischen Unternehmen und Institutionen leitet. Er ist Gründer von a-team.rocks, einem in Wien ansässigen Beratungsunternehmen für Cyber-Sicherheit, das Technologie und Fachwissen bündelt und Unternehmen betreut. Avi Kravitz ist ein durch zahlreiche Medienbeiträge bekannter Experte. So hat ihn das Magazin Forbes Austria im Oktober 2016 mit der Headline „Der Cyberagent – Avi Kravitz macht Jagd auf Hacker“ auf das Titelblatt gebracht. 

Die im Interview geäußerten Meinungen geben nicht die Ansichten der Redaktion oder des Herausgebers wieder.

Wichtige rechtliche Hinweise – bitte lesen. Dieser Beitrag von BNP Paribas S.A. – Niederlassung Deutschland ist eine Produktinformation und Werbe- bzw. Marketingmitteilung, die sich an private und professionelle Kunden in Deutschland und Österreich richtet, wie definiert in § 67 deutsches Wertpapierhandelsgesetz (WpHG) und § 1 Z 35 und 36 österreichisches Wertpapieraufsichtsgesetz 2018 (WAG 2018). Er stellt weder ein Angebot noch eine Beratung, Empfehlung oder Aufforderung zum Kauf, Verkauf oder Halten irgendeiner Finanzanlage dar. Ferner handelt es sich nicht um eine Aufforderung, ein solches Angebot zu stellen. Insbesondere stellt dieser Beitrag keine Anlageberatung bzw. Anlageempfehlung dar, weil er die persönlichen Verhältnisse des jeweiligen Anlegers nicht berücksichtigt.

Es handelt sich um eine Werbe- bzw. Marketingmitteilung, die weder den gesetzlichen Anforderungen zur Gewährleistung der Unvoreingenommenheit bzw. der Förderung der Unabhängigkeit von Finanzanalysen noch dem Verbot des Handels im Anschluss an die Verbreitung von Finanzanalysen unterliegt. Der Erwerb von hierin beschriebenen Finanzinstrumenten bzw. Wertpapieren erfolgt ausschließlich auf Basis der im jeweiligen Prospekt nebst etwaigen Nachträgen und den endgültigen Angebotsbedingungen enthaltenen Informationen. Diese Dokumente können in elektronischer Form unter www.derivate.bnpparibas.com unter Eingabe der jeweiligen Wertpapierkennnummer (WKN oder ISIN) des Produkts bzw. der jeweilige Basisprospekt unter www.derivate.bnpparibas.com/service/basisprospekte abgerufen werden. Ebenso erhalten Sie diese Dokumente in deutscher oder englischer Sprache in elektronischer Form per Mail von derivate@bnpparibas.com bzw. in Papierform kostenfrei in Deutschland von BNP Paribas Emissions- und Handelsgesellschaft mbH Frankfurt am Main, Senckenberganlage 19, 60327 Frankfurt am Main.

Diese Werbe- bzw. Marketingmitteilung ersetzt keine persönliche Beratung. BNP Paribas S.A. rät dringend, vor jeder Anlageentscheidung eine persönliche Beratung in Anspruch zu nehmen. Um potenzielle Risiken und Chancen der Entscheidung, in das Wertpapier zu investieren, vollends zu verstehen wird ausdrücklich empfohlen, den jeweiligen Prospekt nebst etwaigen Nachträgen, die jeweiligen endgültigen Angebotsbedingungen sowie das jeweilige Basisinformationsblatt (KID) gut durchzulesen, bevor Anleger eine Anlageentscheidung treffen. BNP Paribas S.A (samt Zweigniederlassungen) ist kein Steuerberater und prüft nicht, ob eine Anlageentscheidung für den Kunden steuerlich günstig ist. Die steuerliche Behandlung hängt von den persönlichen Verhältnissen des Kunden ab und kann künftig Änderungen unterworfen sein. Kurse bzw. der Wert eines Finanzinstruments können steigen und fallen.

Basisinformationsblatt: Für die hierin beschriebenen Wertpapiere steht ein Basisinformationsblatt (KID) zur Verfügung. Dieses erhalten Sie in deutscher oder englischer Sprache kostenfrei in Deutschland von BNP Paribas Emissions- und Handelsgesellschaft mbH Frankfurt am Main, Senckenberganlage 19, 60327 Frankfurt am Main sowie unter www.derivate.bnpparibas.com unter Eingabe der Wertpapierkennnummer (WKN oder ISIN) des Wertpapiers.

Warnhinweis: Sie sind im Begriff, ein Produkt zu erwerben, das nicht einfach ist und schwer zu verstehen sein kann.

Hinweis auf bestehende Interessenkonflikte zu den besprochenen Wertpapieren/Basiswerten bzw. Produkten, die auf diesen Wertpapieren/Basiswerten basieren: Als Universalbank kann BNP Paribas S.A., ein mit ihr verbundenes Unternehmen oder eine andere Gesellschaft der BNP Paribas Gruppe mit Emittenten von in dem Beitrag genannten Wertpapieren/Basiswerten in einer umfassenden Geschäftsbeziehung stehen (zum Beispiel Dienstleistungen im Investmentbanking oder Kreditgeschäfte). Sie kann hierbei in Besitz von Erkenntnissen oder Informationen gelangen, die in dieser Werbe- bzw. Marketingmitteilung nicht berücksichtigt sind. BNP Paribas S.A., ein mit ihr verbundenes Unternehmen oder eine andere Gesellschaft der BNP Paribas Gruppe oder auch Kunden von BNP Paribas S.A. können auf eigene Rechnung Geschäfte in oder mit Bezug auf die in dieser Werbemitteilung angesprochenen Wertpapiere/Basiswerte getätigt haben oder als Marketmaker für diese agieren. Diese Geschäfte (zum Beispiel das Eingehen eigener Positionen in Form von Hedge-Geschäften) können sich nachteilig auf den Marktpreis, Kurs, Index oder andere Faktoren der jeweiligen genannten Produkte und damit auch auf den Wert der jeweiligen genannten Produkte auswirken. BNP Paribas S.A. unterhält interne organisatorische, administrative und regulative Vorkehrungen zur Prävention und Behandlung von Interessenkonflikten.

Wichtige Information für US-Personen: Die hierin beschriebenen Produkte und Leistungen sind nicht an US Personen gerichtet. Dieser Beitrag darf nicht in die USA eingeführt oder gesandt oder in den USA oder an US-Personen verteilt werden.

Emittentenrisiko: Die in diesem Beitrag beschriebenen Wertpapiere werden von BNP Paribas Emissions- und Handelsgesellschaft mbH Frankfurt am Main emittiert und von der BNP Paribas S.A. garantiert. Als Inhaberschuldverschreibungen unterliegen die von BNP Paribas Emissions- und Handelsgesellschaft mbH Frankfurt am Main emittierten und von der BNP Paribas S.A. garantierten Wertpapiere keiner Einlagensicherung. Der Anleger trägt daher mit Erwerb des Wertpapiers das Ausfallrisiko der Emittentin sowie der Garantin. Angaben zum maßgeblichen Rating von BNP Paribas S.A. sind unter www.derivate.bnpparibas.com erhältlich. Ein Totalverlust des vom Anleger eingesetzten Kapitals ist möglich.

Marken: DAX® und TecDAX® sind eingetragene Marken der Deutschen Börse AG. STOXXSM , STOXX 50SM und EURO STOXX 50SM Index sind Marken der STOXX Limited. STOXX Limited ist ein Unternehmen der Deutschen Börse. SMI® ist eine eingetragene Marke der SIX Swiss Exchange. ATX (Austrian Traded Index®) und RDX (Russian Depository Index®) werden durch die Wiener Börse AG real-time berechnet und veröffentlicht. WIG 20® ist eine eingetragene Marke der Warsaw Stock Exchange. BUX® ist eine eingetragene Marke der Budapest Stock Exchange. Dow Jones Industrial AverageSM ist ein Dienstleistungszeichen von McGraw-Hill Companies. S&P 500® ist ein eingetragenes Warenzeichen der McGraw-Hill Companies, Inc. Nasdaq 100® ist eine eingetragene Marke von The Nasdaq Stock Market, Inc. NYSE Arca Gold Bugs Index ist Eigentum der NYSE Euronext. Nikkei 225® Index ist Eigentum der Nihon Keizai Shimbun, Inc. TOPIX® ist Eigentum der Japan Exchange Group. Hang Seng IndexSM und Hang Seng China Enterprises IndexSM sind Eigentum von Hang Seng Indexes Company Limited. KOSPI 200SM ist Eigentum der Korea Stock Exchange. SET 50SM ist ein eingetragenes Warenzeichen der Stock Exchange of Thailand. MSCI® ist ein eingetragenes Warenzeichen von MSCI Inc. IBEX 35 ist ein eingetragenes Warenzeichen der  Sociedad de Bolsas S.A. CECE EUR Index ® ist Eigentum und eingetragenes Warenzeichen der Wiener Börse AG. Der FTSE/ASE 20 Index® ist gemeinsames Eigentum der Athens Stock Exchange und von FTSE International Limited und wurde für den Gebrauch durch BNP Paribas S.A. – Niederlassung Deutschland lizenziert. FTSE International Limited fördert, unterstützt oder bewirbt nicht diese Produkte. FTSE™, FTSE® und Footsie® sind registrierte Marken der London Stock Exchange Plc und The Financial Times Limited und werden von FTSE International unter einer Lizenz verwendet. NIFTY 50SM ist ein eingetragenes Warenzeichen der National Stock Exchange of India. S&P Toronto Stock Exchange 60 Index® ist ein eingetragenes Warenzeichen der McGraw-Hill Companies Inc. Dow Jones Turkey Titans 20 Index ist eine Dienstleistungsmarke von Dow Jones & Company, Inc. und wurde für den Gebrauch durch BNP Paribas S.A. – Niederlassung Deutschland lizenziert. LPX 50® und LPX® Major Market Index sind eingetragene Marken der LPX GmbH, Basel. GPR 250 Global Index ist eingetragenes Warenzeichen von Global Property Research. MSCI® World Index und MSCI® Emerging Markets sind eingetragene Warenzeichen von MSCI Inc.

Das vorliegende Dokument wurde von der BNP Paribas S.A. Niederlassung Deutschland erstellt, eine Niederlassung der BNP Paribas S.A. mit Hauptsitz in Paris, Frankreich. BNP Paribas S.A. Niederlassung Deutschland, Senckenberganlage 19, 60327 Frankfurt am Main wird von der Europäischen Zentralbank (EZB) und der Autorité de Contrôle Prudentiel et de Résolution (ACPR) beaufsichtigt, ist von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zugelassen und ist Gegenstand beschränkter Regulierung durch die BaFin. BNP Paribas S.A. ist von der EZB und der ACPR zugelassen und wird von der Autorité des Marchés Financiers in Frankreich beaufsichtigt. BNP Paribas S.A. ist als Gesellschaft mit beschränkter Haftung in Frankreich eingetragen. Sitz: 16 Boulevard des Italiens, 75009 Paris, France. www.bnpparibas.com.

© 2022 BNP Paribas. Alle Rechte vorbehalten. Wiedergabe oder Vervielfältigung des Inhalts dieses Beitrag oder von Teilen davon in jeglicher Form ohne unsere vorherige Einwilligung sind untersagt.