good news in English!

Das Nachrichten-Portal für eine bessere Welt.

Ethical Hacker: Es gibt immer auch die gute Seite

Alle sind im Netz. Für Hacker paradiesische Zustände. Es gibt aber nicht nur die „böse Seite“, sondern auch Ethical Hacker wie Christine Deger.
Gefällt dir? Vielen Dank fürs Teilen!

 

Interview: Isolde Hilt

Die ganze Welt ist online, in diesen Zeiten mehr denn je. Das dürfte einer Goldgräberstimmung für Hacker gleichkommen. Wie kann man sich in diesen Zeiten besser schützen, wenn man ins Internet muss, weil man an Videokonferenzen teilnehmen soll oder nicht anders einkaufen kann? Weil man mit Menschen, die wichtig für einen sind, nur diese Möglichkeit zu kommunizieren hat?

Glücklicherweise gibt es Profis wie Christine Deger, die als Ethical Hacker zertifiziert ist. Sie erklärt, worauf man besonders achten sollte, um seine Daten zu schützen.

 

Du bist als Ethical Hacker zertifiziert. Was machst du da?

Die Zertifizierung zum Ethical Hacker umfasst mehrere Aspekte: Du lernst zu denken wie ein Hacker, also wie ein Angreifer und nutzt zum Teil dieselben Tools. Das umfasst auch das tiefe Eintauchen in die Technik.

Der „ethische“ Teil des Hackens ist, dass du dich verpflichtest, für die „Guten“ zu arbeiten. Ich nutze mein Wissen, um Sicherheitslücken aufzudecken und unterstütze Unternehmen dabei, sich zu schützen. Bei uns in der Branche sprechen wir auch von „White Hat Hackern“ – im Gegensatz zu den „Black Hat Hackern“ –, die das Wissen nutzen, um Unternehmen und Personen zu schaden und damit Geld zu verdienen.

Wie versetzt man sich in die Denke eines „bösen Hackers“?

Ich versetze mich gedanklich in seine Lage und analysiere unter anderem die technischen Systeme. Ein anderer Teil ist die Kombination von unterschiedlichen Informationen und das Nutzen von Erfahrungen aus meiner langjährigen Berufspraxis.

Wie bleibt man auf dem Laufenden, was Hacker so treiben?

Du musst dich regelmäßig weiterbilden und laufend recherchieren, was so alles passiert.

Aufgrund des Ausnahmezustands weltweit läuft der Großteil aller Aktivitäten – geschäftlich wie privat – online. Menschen müssen verstärkt ins Netz. Vermutlich sind nicht alle so versiert, um zu erfassen, worauf man achten muss oder was einem alles widerfahren kann. Was waren in den letzten Wochen die gängigsten Betrugsdelikte?

Zu den gängigen Betrugsdelikten gehören zum Beispiel gefälschte Mails, sogenannte Phishing Mails. Da gab es welche, die so aussahen, als kämen sie von der WHO – der Weltgesundheitsorganisation. So etwas muss man sofort löschen. Wenn ich den Absender nicht kenne oder die Mail einen Absender hat, mit dem ich normalerweise nichts zu tun habe – löschen.

Ein weiterer wichtiger Tipp ist: keine Links in Mails anklicken. Es sei denn, ich kenne den Absender und weiß über den Link Bescheid. Wenn ich unsicher bin, lieber den Absender anrufen und nachfragen. Im Zweifel aber LÖSCHEN! Das ist deshalb auch wichtig, weil Anhänge oder Links oft sogenannte Ransomware enthalten. Das ist Malware, die den Rechner verschlüsselt. Wenn das passiert, ist der Rechner nicht mehr nutzbar und die Daten sind verschlüsselt. Black Hat Hacker verwenden diese Methode, um zu erpressen. Das heißt, sie wollen dann Geld für das Entschlüsseln der Daten.

Wo wird auch noch gerne betrogen?

Bei Webseiten beispielsweise. Da wird es aber schon schwieriger: Im Fall der gefälschten Seite in Nordrhein-Westfalen wurde die komplette Seite des Ministeriums kopiert. Die URL (der Eintrag oben im Browser) verwies auf eine andere Zielseite. Dort haben die Unternehmen dann ihre Daten eingegeben. Diese Daten sind jetzt leider in den Händen von Hackern, die diese dann nutzen, um andere Cyber-Attacken durchzuführen.

Um sicher zu sein, dass eine Seite „echt“ ist, gibt es einige Anhaltspunkte: Zuerst die Verschlüsselung, also das Schloss-Symbol prüfen. Das bedeutet, dass ein Zertifikat hinterlegt ist. Weiter genau hinschauen, wie die Adresse des Zielsystems lautet. Im Fall der gefälschten Seite gab es eine geringe Abweichung, anhand derer das sichtbar war. Auch hier gilt – wenn ich unsicher bin – im Zweifel beim Ministerium nachfragen, wie die korrekte Seite lautet.

Und ein wichtiger Tipp ist auch, direkt auf die Seite des Ministeriums zu gehen und nicht über die Google-Suche.

Videokonferenzen sind in diesen Zeiten besonders wichtig. Das gern genutzte Videokonferenz-Tool Zoom ist vor einigen Tagen auch in die Schlagzeilen gekommen. Hundertausende Passwörter und damit andere Kundendaten sind im Dark Net aufgetaucht. Was bedeutet das in der Konsequenz?

Das ist leider der Fall. Wobei man sagen muss, dass das kein direkter Hack bei ZOOM war, sondern ein Fall von Kumulation unterschiedlicher Informationen. Es gibt große Datenbanken, in denen viele Benutzerkennungen aus unterschiedlichen Vorfällen der vergangenen Jahre liegen. Die Hacker haben diese genutzt und einfach geprüft, ob die Daten für einen ZOOM-Zugang funktionieren. Und leider gab es viele Benutzerkennungen, bei denen das der Fall war. Das bedeutet, dass Nutzer einfach dieselben Informationen für mehrere Systeme verwenden.

Kann man Zoom noch verwenden? Gibt es andere Plattformen, die vertrauenswürdiger sind?

Das ist ein schwieriges Thema. ZOOM ist gut nutzbar. Es funktioniert sehr stabil und ist leicht zu bedienen. Das hat dazu geführt, dass viele Menschen darauf zugreifen. Dadurch steigt der Wert des Unternehmens und das wiederum führt dazu, dass es für Hacker attraktiv wird. Das Management von ZOOM hat sehr rasch reagiert und technisch nachgebessert. In den letzten Wochen hat das Unternehmen einige Updates durchgeführt.

Es gibt einige europäische Tools, die derzeit in der Entwicklung sind. Wichtig ist, die Nutzungsbedingungen durchzulesen, bevor ich ein Tool nutze. Und zu schauen, an wen ich mich wenden kann, falls ich den Eindruck habe, meine Daten sind nicht geschützt.

Ein anderes wichtiges Thema sind Passwörter, mit dem man sich nicht immer so gerne befasst. Wozu neigt man als normale*r Internet-Nutzer*in? Was sollte man besser nicht tun?

Ein guter und wichtiger Schutz ist, unterschiedliche Benutzerkennungen und Passwörter für die verschiedenen Systeme zu verwenden.

Wie kreiert man das ideale Passwort?

Die aktuelle Empfehlung ist, ein möglichst langes Passwort mit mindestens 12 Zeichen zu definieren. Eine gute Idee ist, sich einen Satz zu suchen, den man sich gut merken kann und daraus Teile zu verwenden oder die Anfangsbuchstaben jedes Wortes zu nutzen. Wichtig ist die Länge – je länger desto besser!

Da kommen ja viele Passwörter zusammen. Wie soll man sich das merken?

Für die Aufbewahrung der Passwörter empfiehlt sich, auf ein Passwort-Tool zurückzugreifen. Die Stiftung Warentest hat Anfang 2020 verschiedenen Passwortmanager getestet: https://www.test.de/Passwort-Manager-im-Test-5231532-0/

Was sollte man gerade besonders beachten, wenn man sich soviel im Netz bewegen muss? Was sind deine wichtigsten Tipps als Ethical Hacker?

Wenn Daten ausgespäht wurden wie aktuell im Fall von ZOOM, dann auf jeden Fall das Passwort ändern.

Regelmäßig eine Datensicherung machen, damit ich sicher sein kann, dass meine Daten noch vorhanden sind, wenn mein Rechner angegriffen oder durch Ransomware verschlüsselt wurde.

Noch etwas, das wichtig ist?

Gerade in diesen Zeiten, in denen wir mit viel unbekannten Dingen konfrontiert sind, ist es wichtig, aufmerksam zu bleiben. Gerade wenn wir im Internet einkaufen, unsere Daten hinterlassen und Dinge online tun, die wir bisher nicht getan haben.

Bitte beschäftigt euch vor der Nutzung von Tools und Software mit den Nutzungsbedingungen. Ein Tipp ist, sich eine Liste mit Notfall-Nummern anzulegen. So kann ich, falls etwas passiert, zum Beispiel schnell die Hotline anrufen und zum Beispiel gegebenenfalls Zahlungen rückgängig machen.

Und ich kann es nicht oft genug dringend empfehlen: Bitte in unterschiedlichen Systemen unterschiedliche Passwörter benutzen und diese in regelmäßigen Abständen immer wieder auch ändern!

 

 

Christine Deger

Cyber-Security-Expertin, Ethical Hacker

Foto: Thomas Zoerlein

Arbeitet seit knapp 20 Jahren in der IT-Branche und befasst sich seit 17 Jahren intensiv mit dem Thema IT-Sicherheit. Sie begann als Quereinsteigerin im Bereich Netzwerküberwachung und Identity Management. Dabei verantwortete sie erfolgreich die operativen und technischen Security Systeme für 30.000 Endanwender*innen von 33 Versicherungsunternehmen.

Seit 2017 ist sie mit ihrem eigenen Unternehmen selbstständig: https://www.changeboxx.de/

Mitte Mai geht ein weiteres Unternehmen von ihr – https://www.cyberluchs.de/ – online, das Basisinformationen liefert, wie man seine elektronischen und persönlichen Werte schützt!

Von good news for you wird es dazu eine erfreuliche Überraschung geben!

 

Dieser Beitrag ist urheberrechtlich geschützt.

 

 

 

 

Passend zum Thema!

Daten-Hack! Invasion auf meinem Rechner

Schreibe einen Kommentar

Deine Daten werden verschlüsselt übertragen. Deine IP-Adresse wird nicht erhoben.
Infos zum Datenschutz

Herzlichen Dank, dass du unsere Arbeit für good news for you unterstützen willst.
Es gibt dafür folgende Möglichkeiten:

Einmalspende

Triodos Bank
IBAN: DE31 5003 1000 1039 6430 10

oder via PayPal:

Abonnement

Ein Abonnement, um unsere Arbeit regelmäßig zu unterstützen, kann man über Steady abschließen. Steady ist ein Portal, das unabhängigen, freien Medien hilft, ihre Arbeit fortzuführen:

Bitte in diesem Fall die Cookies zulassen, damit ihr unser Video, in dem wir unsere Arbeit vorstellen, auch sehen könnt.

Geschenk

Verschenke ein Abonnement über Steady.

Jeden Sonntag neu!

Das good news telegram

mit Nachrichten, die gut tun!

In diesem Monat kannst du 2 tolle Bücher im Doppelpack aus dem Knesebeck Verlag gewinnen!

Jetzt kostenlos erhalten!