„Die Cloud ist einfach nur der Computer von jemand anderem“ - IT-Sicherheitsexperte Graham Cluley im Interview
Für uns als IT-Sicherheitsdienstleister ist es entscheidend, bei sicherheitsrelevanten Themen in unserer Branche auf dem neuesten Stand zu sein. Eine der unterhaltsamsten Quellen für Updates ist der Smashing Security Podcast von Graham Cluley und Carol Theriault. Die beiden Hosts diskutieren jede Woche über aktuelle Sicherheitslücken und geben Tipps für den Schutz der persönlichen Daten. Dabei bestechen sie durch Humor und eine sehr kurzweilige Erzählweise. Von Blockchain bis Fortnite finden die beiden stets interessante Blickwinkel auf die Software, die wir täglich benutzen.
Cluley ist ein überzeugter Anwender von Boxcryptor und erzählt der Welt freimütig, wie fantastisch er unsere Verschlüsselungssoftware findet. Als er neulich wieder einmal auf Twitter von uns schwärmte, habe ich die Gelegenheit genutzt, und ihn zu einem Gespräch eingeladen. Dazu haben wir im Team einige Themen gesammelt, von denen wir glauben, dass sie auch unsere Leser interessieren. Für mich war der Nachmittag mit Graham Cluley jedenfalls sehr kurzweilig…
(Das folgende Interview ist aus dem Englischen ins Deutsche übersetzt worden)
Boxcryptor: Wann hast Du zum ersten Mal über den Schutz Deiner privaten Informationen nachgedacht und wie ist Datenschutz so ein wichtiges Thema für Dich geworden?
Graham Cluley: Seit Anfang der 1990er arbeite ich im Bereich Informatik, doch bereits lange davor habe ich mich sehr dafür interessiert. Damals gab es das World Wide Web noch gar nicht. Was wir aber hatten, das waren Mailing-Listen und da war ich während meinem Studium auf einigen, die sich mit Informatik befassten. Dann war es eigentlich das Problem verloren gegangener Dateien, das mich auf das Thema Malware, Viren und Trojaner aufmerksam machte. Als ich meinen ersten eigenen Computer besorgte, waren deshalb natürlich Backups ein wichtiges Thema für mich.
So stieß ich dann nach einer Weile auf cloudbasierte Dienste. Dropbox war da eine richtige Erleuchtung. Ich probierte den Cloudspeicher aus und war begeistert davon, was für ein fantastisches Stückchen Software ich vor mir hatte. Es funktionierte so reibungslos und gut – das musste einfach ein Hit werden. Doch was mich von Anfang an beunruhigte, war der Gedanke, meine Dateien auf dem Computer eines anderen zu speichern. Und das ist mittlerweile auch mein Erkennungsspruch geworden, ja, ich möchte sagen, dass ich mit der Aussage fast ein bisschen Berühmtheit erlangt habe: Die Cloud ist einfach nur der Computer von jemand anderem.
Mittlerweile sagt das gefühlt jeder, aber es stimmt eben auch einfach. Diese Tatsache hat mich immer nervös gemacht. Ich bin ein wirklich intensiver Anwender von Cloud-Diensten und nutze sie aus verschiedenen Gründen und sie haben immer hervorragend funktioniert. Die Sorge war aber stets da. Als ich Boxcryptor entdeckt habe, habe ich erfreut festgestellt, dass die Software genau wie Dropbox funktioniert: Unsichtbar und nahtlos. Seitdem benutze ich diese Verschlüsselungslösung.
Wie geht es Dir dabei, wenn Du vom nächsten und übernächsten Daten-Skandal erfährst? Natürlich sind solche Vorfälle die Voraussetzung für Deine Arbeit, aber nervt es Dich nicht, wie leichtsinnig Firmen mit den Daten ihrer Kunden umgehen?
Graham Cluley: Es deprimiert mich. Und es macht mir Angst. Das Schlimmste ist, wenn man mitbekommt, dass Firmen den gleichen Fehler wieder und wieder machen. Völlig klar: Fehler passieren. Wir alle sind Menschen und die machen nun mal Fehler, oder? Manchmal sind wir deshalb nicht so gut geschützt, wie wir es sein könnten. Aber ein Feld, in dem ich mir WIRKLICH Verbesserung wünsche, ist nicht etwa der Umgang mit dem Thema Sicherheit bevor etwas passiert ist, sondern danach. Meiner Meinung nach, ist es für Kunden weniger entscheidend, ob ein Unternehmen gehackt wurde oder nicht, sondern wie das Unternehmen mit dem Vorfall umgeht. Ich kenn Beispiele, bei denen Unternehmen, die gehackt wurden, den Vorfall vorbildlich gehandhabt und transparent kommuniziert haben. Sie konnten dadurch ein potentielles PR-Desaster so umdrehen, dass ihre Kunden sie anschließend mehr liebten als vor dem Vorfall. Man hört dann Aussagen wie „Vielen Dank dafür, dass ihr das damit so großartig umgegangen seid und dass ihr uns genau sagt, was passiert ist und was ihr dafür tut, damit so etwas nie wieder passiert und wodurch potentielle Schäden für uns entstanden sein könnten und was wir jetzt tun sollen.“ Die Leute mögen sowas.
Kannst Du da ein Beispiel nennen?
Graham Cluley: Natürlich. Mein Lieblingsbeispiel ist LastPass – der online Passwort Management Service. LastPass ist eine cloudbasierte Software – offensichtlich. Vor ein paar Jahren hatten wir die einen Sicherheitsvorfall. Die Art, wie sie das kommuniziert hatten, und wie sie darauf reagiert haben, und die Klarheit, mit der sie das mitgeteilt haben finde ich vorbildlich. Wenn man da auf den entsprechenden Blogpost klickt, findet man zahlreiche Nutzer, die „Danke“ schreiben. Es gab dort niemanden, der so etwas wie „Ich verwende Euch nie wieder!“ oder „Ich kann Euch nicht mehr vertrauen!“ schrieb. Sie haben das wirklich gut gehandhabt. Ja, solche Firmen gibt es, die extrem gut mit Sicherheitslücken umgehen.
Und dann gibt es natürlich die anderen Unternehmen. In dieser Woche habe ich ein Unternehmen davon in Kenntnis gesetzt, dass sie sich mit einem sehr ernsten Datenleck konfrontiert sehen. Dort wurde dann beschlossen, die Kunden nicht zu informieren. Man betrachtete es einfach nicht als eine Aufgabe, für dir man zuständig sei. Sie haben dann auch kein Statement zu dem Vorfall veröffentlicht. Nichts. Ich habe also gefragt, ob sie einen Kommentar zu dem Vorfall abgeben möchten. Die Antwort bestand nur aus einem Wort: „Nein“. In dem Moment denkst du nur, das ist Selbstmord. Ich entgegnete: „Das ist die Gelegenheit, um die Deutungshoheit über die Geschichte zu erlangen, die nächsten Schritte zu erklären und die ganze Misere in etwas Gutes zu verwandeln.“ – „Nein. Wir werden dazu nichts sagen.“
Ich denke, dass immer mehr Unternehmen aufwachen. Weißt Du, Jonathan, ich bin sicherlich nicht der perfekte Mensch. Ich mache Fehler und manchmal ist meine Frau sauer auf mich und hat dafür auch ihre Gründe. Ich habe in meinem Leben gelernt zu sagen „Tut mir leid, ich lag falsch, ich hätte es besser wissen sollen“. Es geht nicht nur darum, sich zu entschuldigen. Es geht darum, die Verantwortung zu übernehmen und zu überlegen, wie man es besser machen kann. Und so etwas erwarten die Leute eben von Unternehmen auch. Und man sollte doch hoffen, dass, nun da die DS-GVO da ist und mit ihr die extrem harten Konsequenzen, die Unternehmen jetzt fürchten müssen, wenn ein Datenleck offengelegt wird, Unternehmen diesbezüglich erwachsener agieren. Das würde ich sehr gerne sehen.
Stell Dir vor, Du bist auf einer Party. Welche Geschichte aus deinem Berufsalltag würdest Du erzählen?
Graham Cluley: Oh je, wenn ich das beantworte, werde ich vermutlich nie wieder auf eine Party eingeladen… (lacht). Grundsätzlich muss man sagen, dass Cyberkriminalität sich sehr verändert hat. In den 90ern gab es da wirklich bessere Geschichten zu erzählen. Da waren die Übeltäter meist Nerds, die sich im Kleiderschrank ihres Kinderzimmers versteckt hatten. Die machten ihre Hacks nicht wegen Geld. Das war mehr so eine Art elektronisches Graffiti. Damals gab es echt fantastische Geschichten darüber, was die Leute so getrieben haben und welche Fehler sie dabei machten.
Da gibt es diese Geschichte von Dr. Joseph Popp. Er ist vermutlich der Erfinder von Ransomware. Das war 1990 oder 1991, also lange bevor Ransomware das große Problem wurde, das es heute ist. Popp verschickte hier in Großbritannien an die Abonnenten einer Computerzeitschrift eine Floppy Disk. Darauf war etwas, das sich AIDS Information nannte – oder so ähnlich. Man sollte also die Installation durchführen und erhielt dann Informationen zu der Autoimmunerkrankung AIDS. Aber auf der Floppy Disk war eben auch ein Trojaner. Wenn man die zu lange in seinem Rechner lies, hat dieser Trojaner verschiedene Probleme verursacht. Man musste dann Geld an ein Schließfach in Panama überweisen, um den Schlüssel zur Datenwiederherstellung zu erhalten, denn Popp hatte mit dem Trojaner Dateien verschlüsselt.
Das alles passierte, bevor es das Netz gab, bevor Bitcoin erfunden wurde und Kryptowährung, weshalb Popp eben Überweisungen an ein Schließfach verlangen musste und weshalb auch der Angriff an sich via Post durchgeführt wurde. Er wurde schließlich gestellt und es stellte sich heraus, dass er die ganze Aktion aus Wut gestartet hatte. Man kam auf das Motiv Wut, weil er persönlich per Hand die Umschläge adressiert und frankiert hat und seine Floppy Disk so an Tausende geschickt hat. Ich glaube nicht, dass er viel Geld damit gemacht hat, aber ein Problem war das natürlich.
Und nun haben wir die Bescherung! Ransomware gibt es nun seit annähernd dreißig Jahren. Nicht immer in dieser heimtückischen Form, wie wir sie heute kennen. Damals waren die Leute, die Schadsoftware schrieben echt seltsame Typen. Oder Kinder. Es gab eigentlich keinen Grund, so etwas zu machen. Sie störten einfach nur. Das war reine Protzerei. Was heutzutage passiert, nervt mich viel mehr, denn es geht immer um’s Geld und es sind immer Kriminelle, die dich ausspionieren und Informationen stehlen. Sie wollen an Dein Wissen, an Deine Daten oder an Dein Geld. Das künstlerische, der Spaß… das ist alles verschwunden. Versteh’ mich nicht falsch. Auch damals waren solche Aktionen nichts Gutes, aber ein wenig wehmütig blicke ich auf diese Zeiten doch zurück.
Denk mal an Leute, die nicht so tech-affin sind, wie wir. Welchen Rat würdest Du jemandem geben, der seine Daten schützen und seine persönliche Sicherheit im Netz verbessern möchte?
Graham Cluley: Diese Frage bekomme ich oft gestellt, wenn ich in ein Taxi steige… Also Du brauchst auf alle Fälle einen Passwortmanager – auf die eine oder andere Art. Unser kümmerliches Gehirn kann das Problem der Passwörter nicht allein bewältigen. Es ist schlicht nicht in der Lage, sich ein Passwort zu merken, das so komplex und einzigartig ist, wie es sein muss, um einen gewissen Schutz zu bieten. Eher wählen die Nutzer dumme Passwörter oder sie verwenden dieselben überall.
Also hol Dir einen Passwortmanager! Der wird für Dich Passwörter festlegen und sie sicher verwahren. Normalerweise sagen die Leute dann „Ich vertraue doch nicht einem Passwortmanager meine Daten an!“ und das liebe ich, denn ich denke, dass die Leute, die solche Fragen stellen, die passende zynische Haltung haben. Das führt nämlich dazu, dass sie sicherer sind, weil sie eben über so etwas nachdenken. Theoretisch könnte natürlich auch ein Passwortmanager gehackt werden, dennoch ist es meiner Meinung nach wesentlich gefährlicher, keinen zu benutzen.
Mein zweiter Ratschlag ist die Zwei-Faktor-Authentifizierung. Du solltest so viele Accounts wie möglich mit Multi-Faktor-Authentifizierung schützen. In der Regel funktioniert das so, dass Du eine App auf deinem Smartphone hast, die eine zufällige, sechsstellige Nummer generiert. Wenn Du Dich dann einloggst, musst Du eben diese PIN zusätzlich noch eingeben. Dieses Vorgehen schützt Dich, wenn Hacker (zum Beispiel durch Phishing) das Passwort stehlen. Allerdings ist Zwei-Faktor-Authentifizierung komplett nutzlos, wenn sie zusätzlich auch Zugang zu Deinem Smartphone haben.
Zu guter Letzt: Standardmäßige Verschlüsselung. Noch immer denken zu viele Leute, dass Verschlüsselung die Ausnahme sein sollte. Ich höre dann sowas wie „Boah, müssen wir das wirklich verschlüsseln?“ – und das sollte so nicht sein. Die bessere Frage lautet: „Gibt es einen Grund, warum etwas nicht verschlüsselt sein sollte?“. Und wenn es diesen Grund nicht gibt, dann sollte die Information eben gut verschlüsselt sein, denn man weiß eben nicht, wann eine Festplatte mal in die falschen Hände gerät und wann ein Account gehackt wird oder was auch immer. Viel zu oft sehen wir Unternehmen und Personen, die ihre unverschlüsselten Daten frei zugänglich in irgendwelchen Clouds ablegen. Und das führt dann zu der nächsten Meldung über die nächste Sicherheitslücke beim nächsten Unternehmen.
Es gibt diesen schrecklichen Satz: „Ich habe doch nichts zu verbergen.“ – was antwortest Du Leuten, die so etwas behaupten?
Graham Cluley: Ha! Das ist großartig! Lass mich für 24 Stunden eine Kamera in Dein Schlafzimmer stellen… Wir haben doch alle etwas zu verbergen. Dieser Satz ist schlichtweg falsch. Wir tragen schließlich alle Kleidung. Wenn wir durch die Suchmaschinen stöbern, dann finden wir schnell viele erschreckende Details zu Personen. Die Suchmaschinen, einige der Online-Dienste, manche Sozialen Netzwerke wissen mehr über uns, als unsere engsten Vertrauten. Und diese Unternehmen haben die Rechenleistung, diese Information zueinander in Korrelation zu setzen und zu assimilieren und dadurch noch wesentlich mehr über Dich zu erfahren.
Ich persönlich glaube sehr wohl, dass jeder von uns etwas zu verbergen hat. Man mag ja nicht unbedingt in kriminelle Machenschaften verwickelt sein, aber es gibt genügend Leute auf dieser Welt, die morgens in einem Land aufwachen, dessen Regierung gewechselt hat. Sie finden sich in einem totalitären Regime wieder und die Polizei geht bei der Beurteilung der Daten, die sie gesammelt hat, plötzlich übereifrig zur Sache. Woher willst Du wissen, dass Regierungen und Geheimdienste die Daten, die sie sammeln, sicher verwahren? Wir haben in der Vergangenheit bereits erlebt, dass Regierungen und andere Stellen gehackt wurden. Also ich würde sagen, man muss aufpassen. Das Recht auf Privatsphäre ist so eine Art fundamentales Menschenrecht. Ich denke, dass darauf allzu leichtfertig verzichtet wird. Kümmere Dich um Deine Privatsphäre und Du bist sicherer.
Nun, da der BREXIT vor der Tür steht, kannst Du einige der Herausforderungen benennen, mit denen Britische Unternehmen sich jetzt angesichts der DS-GVO konfrontiert sehen?
Graham Cluley: Ich muss sagen, die schlechte Nachricht für die britischen Unternehmen ist, dass sie den BREXIT nicht als Entschuldigung dafür nennen können, dass sie nicht DS-GVO-konform sind. Denn die Datenschutz-Grundverordnung – ich sage nicht, dass sie das Gelbe vom Ei ist – aber sie ist ein großartiger Ansporn für Unternehmen und sie sollte ein Startschuss für britische Unternehmen und Unternehmen innerhalb UND außerhalb von Europa sein. Sie alle brauchen gute Sicherheitskonzepte und Datenschutz, denn sie alle wollen an Kunden innerhalb Europas verkaufen und dafür müssen sie nun mal DS-GVO-konform sein. Tja, sorry, wir kommen aus der Nummer nicht raus – genauso wenig wie die Vereinigten Staaten. Und das ist gut so. Ich denke, dass die Datenschutz-Grundverordnung etwas unglaublich Gutes ist und ich hoffe, dass sie ein Weckruf für die Firmen ist. Ich bin sicher, dass die DS-GVO die Nachrichten noch eine ganze Weile lang beherrschen wird. Für mich sind das gute Nachrichten.
In Bezug auf den BREXIT allgemein fällt mir eigentlich nichts ein, dass sich speziell auf die IT-Sicherheit auswirken wird. Ich hoffe aber, dass Großbritannien weiterhin eng mit den europäischen Partnern zusammenarbeiten wird, wenn es darum geht Computerkriminalität zu verfolgen. Ich persönlich befürchte, dass der BREXIT auf wirtschaftlicher Ebene für das Vereinigte Königreich desaströs wird. Möglicherweise bedeutet der BREXIT, dass wir nicht mehr in der Lage sein werden, so viel Geld wie bisher in Sicherheit und Datenschutz zu investieren – um nur mal einen Bereich herauszugreifen. Aber der BREXIT ist nun dummerweise etwas, für das das Vereinigte Königreich abgestimmt hat und wir werden wohl mit ungebremster Geschwindigkeit hineinkrachen.
Was ist Deine Meinung zum neuen Web Authenticator Standard (WebAuthn)? Werden wir die Passwörter jemals hinter uns lassen?
Graham Cluley: Ich denke, dass der Tod der Passwörter schon oft vorhergesagt wurde und nie eingetreten ist. Ich bin mir nicht sicher, ob wir Passwörter jemals loswerden. Ich denke, dass die verschiedenen Methoden, mit denen die Leute schon versucht haben, Passwörter zu ersetzen, einfach nie gut genug waren. Was wir stattdessen tun sollten, ist uns weniger darauf zu konzentrieren, die Passwörter loszuwerden, und stattdessen lieber die Sicherheit insgesamt zu verbessern. Die Multi-Faktor-Authentifizierung – um nur ein Beispiel zu nennen – kann zum Beispiel sehr gut in Kombination mit Passwörtern funktionieren.
Meiner Meinung nach werden die Leute mit der Zeit gewiefter in Bezug auf die Authentifizierung und werden die Vorteile von mehrfaktorieller Authentifizierung verstehen. Doch es gibt eben immer noch die, die Passwörter wie „12345“ verwenden, und die gleichen Passwörter wieder und wieder einsetzen. Es ist immer noch ein langer Weg, den wir da vor uns haben. Wie wir alle wissen, braucht jede größere Veränderung im Internet Jahre um Jahre, bis sie wirklich überall angekommen ist. Es sind Baby-Schrittchen.
Glaubst Du, dass es jemals eine Zeit geben wird, in der wir uns keine Sorgen mehr über Datenschutz machen müssen, weil alle Daten sicher sind?
Graham Cluley: Das ist ein schöner Traum, oder? Aber ich denke, es ist eben nur ein Traum. Vielleicht wird das eintreffen, wenn wir uns von allen beteiligten Personen befreien. Wenn wir alle Menschen loswerden. Dann wird auch das Problem mit dem Datenschutz verschwinden (lacht zynisch). Also nein – Datenschutz ist ein Problem, das gekommen ist, um zu bleiben. Die Art der Angriffe mag sich verändern, es mag Veränderungen bei den Techniken geben, mit denen Sicherheitslücken ausgenutzt werden, aber das Problem an sich wird uns für viele, viele Jahre begleiten.
Welche vertrauenswürdigen Quellen kannst Du empfehlen, wenn man bei Sicherheitslücken und Sicherheitstipps auf dem Laufenden bleiben will?
Graham Cluley: Oh, da habe ich einige Tipps. Zunächst einmal möchte ich jedem empfehlen, sich bei der Webseite haveIbeenpwned zu registrieren. Sie wird von Troy Hunt (Australischer Online Security Experte; Anm. D. Red.) betrieben und ist eine Art Benachrichtigungsdienst für gestohlene Daten. Wenn man dort also seine E-Mail-Adresse eingibt, dann erhält man eine Benachrichtigung, falls eine Sicherheitslücke bei einem Dienst auftritt, den man mit dieser E-Mail-Adresse nutzt. Und es kommt sogar recht häufig vor, dass man gar nicht wusste das jemand Informationen über einen hatte – dass „sie“ deine Email-Adresse haben. Jeder kann auf der Website seine E-Mail-Adresse prüfen und anschließend mehr über die möglichen gestohlenen Daten erfahren und die nötigen Gegenmaßnahmen ergreifen. Sie können sich hier sogar als Firma überprüfen lassen, wodurch Sie benachrichtigt werden, wenn einer Ihrer Mitarbeiter sich für einen Online-Dienst angemeldet hat, welcher später gehackt wurde.
Eine weitere empfehlenswerte Webseite, um sich zu informieren, wird von dem Cyber-Security-Blogger Brian Krebs betrieben. Die Website heißt krebsonsecurity.com und Brian, ein großartiger investigativer Journalist, veröffentlicht dort häufig brandneue Erkenntnisse über Datenlecks und Sicherheitslücken. Natürlich empfehle ich euch seine Seite – er ist ein Blogger, genau wie ich. Man hilft sich halt gerne.
Auch mein eigenes Fähnchen würde ich gerne etwas schwenken: Wenn ihr ein etwas anderes Format bevorzugt, ich mache einen wöchentlichen Podcast namens „Smashing Security“. Wir versuchen in Smashing Security nicht im Sumpf hochtechnischer Diskussionen über Computersicherheit zu versinken, sondern die Thematik für jeden zugänglich zu gestalten. Denn ich bin der Überzeugung, wir können nicht nur Experten sein, die mit Experten reden, wir können nicht nur IT-Sicherheitsexperten sein, die mit IT-Sicherheitsexperten reden, sondern wir müssen diese Themen mit jedem kommentieren.
Denn heutzutage hat jeder einen Computer in seiner Hosentasche. Und auch einen Computer auf dem Schreibtisch und sie wollen ihre Daten beschützen. Also müssen wir eine einfach zu verstehende und unterhaltsame Sprache verwenden um unsere Botschaft von Datensicherheit an den Mann oder die Frau zu bringen.
Zum Schluss möchte ich mich bei Graham im Namen des gesamten Boxcryptor Teams bedanken, dass er zugestimmt hat dieses spannende Gespräch mit mir zu führen.
