Jürgen Schmidt - aka ju - ist Chefredakteur von heise Security und verantwortlich für den Bereich Sicherheit bei c't. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Wenn man zurückschaut, kann man durchaus bilanzieren: Wir haben bei der Sicherheit der IT tatsächlich Fortschritte gemacht. Doch die konzentrieren sich auf wenige Bereiche wie kritische Infrastruktur, Finanzdienstleister und Großkonzerne, die sich Sicherheit leisten können. Die Frage, die sich derzeit mit Macht in den Vordergrund drängt, lautet aber: "Wie bekommen wir die IT des Mietwagenverleihs, des Bäckers und Apothekers oder der Stadtverwaltung vernünftig sicher?" Diese Auswahl ist kein Zufall. Sie beruht auf ganz konkreten Infektionen durch Emotet in den jüngsten Tagen. Auf dessen Einsatz von Hightech-Angriffs-Techniken ist deren IT schlicht nicht vorbereitet. In all diesen Bereichen berichten Praktiker, die einen Blick hinter die Kulissen werfen konnten, von wirklich grauslichen Zuständen: Komplette Festplatten für das ganze Netz exportiert. Alle arbeiten als Admin, die Passwörter liegen in einer Doc-Datei auf dem Desktop des Arbeitsplatzrechners. Security-Update-Warnungen sind abgeschaltet, weil sie nerven. Vom Spear-Phishing zum Dynamit-Phishing Was klingt wie ein absurdes Security-Horror-Kabinett, ist ganz konkreter Alltag in vielen Firmen, Vereinen und Institutionen, die damit bisher ganz gut über die Runden gekommen sind. Doch die Zeit ist vorbei. Möchtegern-Experten mögen noch so verächtlich "Ist doch nur Phishing" schnauben. Wenn sie sich mal mit realen Sicherheitsvorfällen befassen würden, stellten sie schnell fest: Spear-Phishing ist eine der schärfsten Waffen der staatlich geförderten Elite-Hacker. Mit der durchdringen sie selbst die Sicherheitsvorkehrungen von Banken und Rüstungskonzernen. Und das Dynamit-Phishing von Emotet hat eine ähnliche Durchschlagskraft – geht dabei aber auch in die Breite. Es trifft nicht mehr nur das (hoffentlich) gut geschulte Personal wichtiger Regierungsorganisationen und Betreiber kritischer Infrastruktur, sondern den Bäcker, den Apotheker, den Mietwagenverleih und die Stadtverwaltung. Und da mangelt es ganz oft an elementaren Basics. Schluss mit "Wir müssten mal..." Die Frage ist also: Wie kommen wir da zu mehr Sicherheit? Mit einem vagen "Wir müssten mal ..." ist es nicht getan. Und die ITler dort als Idioten abzustempeln, geht völlig am Problem vorbei. Die könnten das besser, wenn man ihnen die Zeit, die Leute und das Budget gäbe. Ganz ehrlich? Ich habe da auch kein Patentrezept in der Schublade. Nur eine vage Idee kann ich anbieten: Man müsste es schaffen, dass Sicherheit nicht nur als Verursacher von Kosten und Unbequemlichkeit wahrgenommen wird, sondern als positiver Wert. Am besten als einer, der auf der richtigen Seite einer Buchhaltungsbilanz auftaucht. Der Rest passiert dann (fast) von allein. Anmerkung: Kennen Sie auch Security-Beispiele aus dem Gruselkabinett? Dann schreiben Sie doch im Forum, was Sie erlebt haben. Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript So funktioniert das Dynamit-Phishing des Emotet-Trojaners (axk) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Jürgen Schmidt - aka ju - ist Chefredakteur von heise Security und verantwortlich für den Bereich Sicherheit bei c't. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Wenn man zurückschaut, kann man durchaus bilanzieren: Wir haben bei der Sicherheit der IT tatsächlich Fortschritte gemacht. Doch die konzentrieren sich auf wenige Bereiche wie kritische Infrastruktur, Finanzdienstleister und Großkonzerne, die sich Sicherheit leisten können. Die Frage, die sich derzeit mit Macht in den Vordergrund drängt, lautet aber: "Wie bekommen wir die IT des Mietwagenverleihs, des Bäckers und Apothekers oder der Stadtverwaltung vernünftig sicher?" Diese Auswahl ist kein Zufall. Sie beruht auf ganz konkreten Infektionen durch Emotet in den jüngsten Tagen. Auf dessen Einsatz von Hightech-Angriffs-Techniken ist deren IT schlicht nicht vorbereitet. In all diesen Bereichen berichten Praktiker, die einen Blick hinter die Kulissen werfen konnten, von wirklich grauslichen Zuständen: Komplette Festplatten für das ganze Netz exportiert. Alle arbeiten als Admin, die Passwörter liegen in einer Doc-Datei auf dem Desktop des Arbeitsplatzrechners. Security-Update-Warnungen sind abgeschaltet, weil sie nerven. Vom Spear-Phishing zum Dynamit-Phishing Was klingt wie ein absurdes Security-Horror-Kabinett, ist ganz konkreter Alltag in vielen Firmen, Vereinen und Institutionen, die damit bisher ganz gut über die Runden gekommen sind. Doch die Zeit ist vorbei. Möchtegern-Experten mögen noch so verächtlich "Ist doch nur Phishing" schnauben. Wenn sie sich mal mit realen Sicherheitsvorfällen befassen würden, stellten sie schnell fest: Spear-Phishing ist eine der schärfsten Waffen der staatlich geförderten Elite-Hacker. Mit der durchdringen sie selbst die Sicherheitsvorkehrungen von Banken und Rüstungskonzernen. Und das Dynamit-Phishing von Emotet hat eine ähnliche Durchschlagskraft – geht dabei aber auch in die Breite. Es trifft nicht mehr nur das (hoffentlich) gut geschulte Personal wichtiger Regierungsorganisationen und Betreiber kritischer Infrastruktur, sondern den Bäcker, den Apotheker, den Mietwagenverleih und die Stadtverwaltung. Und da mangelt es ganz oft an elementaren Basics. Schluss mit "Wir müssten mal..." Die Frage ist also: Wie kommen wir da zu mehr Sicherheit? Mit einem vagen "Wir müssten mal ..." ist es nicht getan. Und die ITler dort als Idioten abzustempeln, geht völlig am Problem vorbei. Die könnten das besser, wenn man ihnen die Zeit, die Leute und das Budget gäbe. Ganz ehrlich? Ich habe da auch kein Patentrezept in der Schublade. Nur eine vage Idee kann ich anbieten: Man müsste es schaffen, dass Sicherheit nicht nur als Verursacher von Kosten und Unbequemlichkeit wahrgenommen wird, sondern als positiver Wert. Am besten als einer, der auf der richtigen Seite einer Buchhaltungsbilanz auftaucht. Der Rest passiert dann (fast) von allein. Anmerkung: Kennen Sie auch Security-Beispiele aus dem Gruselkabinett? Dann schreiben Sie doch im Forum, was Sie erlebt haben. Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript So funktioniert das Dynamit-Phishing des Emotet-Trojaners (axk) Zur Startseite