Live-Hacking-Demo zur KMU-Sensibilisierung
Georg Jakubaas ist Leiter Informationssicherheit (CISO) der WIR Bank. An den «KMU und du»-Anlässen im August und September 2019 zeigt er, wie KMU das Risiko eines Hackerangriffs reduzieren können.
Du bist Leiter Informationssicherheit der WIR Bank. Was ist deine Hauptaufgabe?
Georg Jakubaas: Mein Aufgabengebiet ist vielfältig. Ich bin für den Datenschutz verantwortlich, spezifiziere ausserdem die Sicherheitsvorgaben an die Informatik – und stelle sicher, dass diese umgesetzt werden. Weiterhin bewirtschaften mein Team und ich die operationellen Risiken in den eben genannten Bereichen. Wir kümmern uns auch darum, dass die Bank weiter funktioniert, falls einmal ein grösseres Schadenereignis eintreten sollte, und wir verwalten auch alle Zugriffberechtigungen. Nicht zuletzt bin ich für die Sensibilisierung aller Mitarbeitenden zuständig, damit sie zum Beispiel mit Cyberrisiken richtig umgehen können. Diese Sensibilisierung ist übrigens mindestens so wichtig wie ein guter, technischer Schutz.
Dass eine Bank einen Sicherheitsverantwortlichen beschäftigt, ist nachvollziehbar – aber steht die WIR Bank überhaupt im Fokus von Cyberkriminellen?
Es gibt sicher Banken und Firmen in anderen Branchen, die erheblich stärker im Fokus stehen. Daher erachte ich einen gezielten Angriff auf die WIR Bank als eher unwahrscheinlich. Leider ist dies aber kein Garant dafür, dass die WIR Bank nicht trotzdem angegriffen wird. Cyberkriminelle suchen im Internet laufend nach technischen Schwachstellen. Wenn sie eine finden, greifen sie an, falls sie darin einen Vorteil sehen. Auch hier gilt daher: Gelegenheit macht Diebe.
Digitales Marketing und Live-Hacking: Jetzt Platz sichern!
«KMU – und du» ist eine Veranstaltungsreihe der WIR Bank und richtet sich an Schweizer KMU, die den Anschluss an die Digitalisierung nicht verlieren wollen. Nebst Live-Hacking-Demo durch Georg Jakubaas ist das Thema dieses Jahr digitales Marketing. Dabei zeigt Thomas Hutter von der Hutter Consult AG, wie digitales Marketing dafür sorgen kann, dass Unternehmen auch online sichtbar sind und Mehrwert generieren – stratgegisch, fundiert, nachhaltig, sinnvoll.
Die diesjährigen Events starten am 20. August in St. Gallen (Lokremise), werden im September in Aarau (Aeschbachhalle6 am 10.9.) und Zürich (Daizy am 18.9.) fortgesetzt – und enden am 24. September in Bern (Bierhübeli).
Die Teilnahme ist kostenlos. An jedem Anlass werden zwei Digital-Marketingseminare bei der Hutter Consult AG im Wert von je 790 Franken verlost. Melden Sie sich jetzt an, die Platzzahl ist begrenzt.
«Die Sensibilisierung der Mitarbeitenden ist mindestens so wichtig wie ein technischer Schutz.»
Und wie gefährdet sind KMU, die nicht in sensitiven Bereichen tätig sind?
Dort verhält es sich gleich. Ist eine Firma technisch verwundbar, ist die Wahrscheinlichkeit eines Angriffs erhöht. Je mehr Schwachstellen vorhanden sind, desto wahrscheinlicher wird ein erfolgreicher Angriff. Dieser muss nicht einmal manuell erfolgen. Es genügen ein PC mit einer Schwachstelle und ein falscher Klick des Benutzers, damit ein automatisierter Verschlüsselungstrojaner alle Nutzdaten verschlüsselt – auch diejenigen auf den Netzlaufwerken. Diese kann man dann nur gegen Lösegeld wiederherstellen oder mit einem aktuellen Backup, das der Trojaner nicht gefunden und nicht verschlüsselt hat.
Nicht jedes KMU kann sich einen Sicherheitsverantwortlichen leisten. Was ist deiner Ansicht nach die Mindestanforderung an ein KMU, damit es effizient gegen Cyberattacken geschützt ist?
Es braucht nicht so viel, wie man vielleicht denkt. IT-Sicherheit muss immer im Verhältnis zum Gesamten stehen, alles andere ist teuer und unnötig. Je kleiner eine Firma ist, desto einfacher ist die Absicherung – wobei eine absolute Sicherheit jedoch nie erreicht werden kann. An der Live-Hacking-Demo zeige ich nicht nur, wie man hackt, sondern auch, wie man das Risiko eines Angriffs reduzieren kann. Ich stelle einen einfachen Plan vor, den jedes KMU mit verhältnismässigem Aufwand umsetzen kann. Wohlgemerkt, wir sprechen hier von normalen KMU, nicht von kleineren Firmen, die sich im Fokus von Nachrichtendiensten oder anderen hochspezialisiertem Akteuren befinden. Diese benötigen weit mehr Massnahmen.
«Ich stelle einen einfachen Plan vor, den jedes KMU mit verhältnismässigem Aufwand umsetzen kann.»
Kannst du verraten, was oder wen du hackst?
Ich hacke das Mobiltelefon eines ahnungslosen Anwesenden (lacht). Nein, im Ernst: Ich hacke einen eigenen Windows-PC, dessen Software nicht aktualisiert wurde und deshalb verwundbar ist. Auch zeige ich, was ein Hacker mit einem gehackten PC alles anstellen kann.
Ist Hacking denn eine deiner Freizeitbeschäftigungen?
Diese Frage beantworte ich besser nicht (lacht). Aber nein, ich hacke in meiner Freizeit nicht. Dort brauche ich einen Ausgleich zum Beruf. Im Geschäft halte ich mein Wissen mithilfe zahlreicher Quellen auf dem Laufenden und starte des Öfteren auch mal den Hacker-PC, um etwas auszuprobieren. Um jederzeit die richtigen Massnahmen ergreifen zu können, ist es notwendig zu verstehen, wie ein Angriff technisch funktioniert. Theoretisches Wissen genügt da nicht mehr. Auch bin ich der Überzeugung, dass man Cyberrisiken ohne Praxiswissen kaum richtig einschätzen kann. Es ist nur von Vorteil, wenn man das Vorgehen und Arsenal seines Gegners kennt.
Kommentare
Zu diesem Beitrag gibt es noch keine Kommentare.