Interview mit ComedyHacker Tobias Schrödel
Sicher im Netz unterwegs?
Er versetzt Menschen in Erstaunen und bringt sie zum Lachen: So vermittelt Tobias Schrödel Wissen zur IT-Sicherheit. Als ComedyHacker hat er auch Gäste auf den Kommunalen Dialogen von Avacon begeistert. Im Interview gibt er Tipps – zum Teil auch augenzwinkernd.
Herr Schrödel, Tokio, Berlin, Paris: Sie sind bekannt für Ihre Live-H@cking-Events. Worauf reagiert Ihr Publikum besonders überrascht?
Der Aufhänger für meinen Lieblings-Aha-Effekt ist ein digitales Hundefoto. An ihm erkläre ich, warum Daten heute so wertvoll sind. Innerhalb von fünf Minuten finde ich live heraus, wem der Hund gehört, wo der Besitzer wohnt und arbeitet, was er verdient, welchen Mobilfunkanbieter er nutzt und so weiter. Ich zeige auf der Bühne, wie ich an die Informationen herankomme. Wenn ich viele Daten über jemanden habe, kann ich sehr genau Werbung schalten. Das bedeutet nicht, dass man auf soziale Medien verzichten muss, man sollte sich nur bewusst machen, dass man nicht der Nutzer, sondern die Ware ist.
Stichwort Hacker – was ist das überhaupt?
Das ist meist jemand, der ein technisches Gerät anders nutzt, als es vorgesehen war. Hersteller lassen ihre Geräte testen, etwa von einem „White-Hat-Hacker“. Das sind Spezialisten, die von Unternehmen beauftragt werden, ein System auf Sicherheit zu prüfen. Und dann gibt es auch die „Black-Hat-Hacker“: Sie knacken Systeme, um Unternehmen oder Personen zu erpressen oder Daten zu stehlen. Dabei geht es eigentlich immer um Geld. Denn: Auch jeder Verbrecher hat einen Businessplan.
Wie gelangt Schadsoftware in ein System?
Sie kommt meist als harmlose E-Mail getarnt – beispielsweise als Bewerbung in der Personalabteilung. Jeder Bewerber könnte also ein potenzieller Erpresser sein. Das Klicken auf den Lebenslauf im Anhang setzt dann beispielsweise eine Schadsoftware in Gang, die anfängt, im Hintergrund alles zu verschlüsseln. Wenn einem an einer E-Mail irgendetwas komisch vorkommt, sollte man Anhänge darum nicht öffnen, sondern sich an die IT-Abteilung wenden.
Sollte man aus Sicherheitsgründen nichts mehr öffnen?
Das wird nicht funktionieren. Wie soll die Personalabteilung dann noch vernünftig arbeiten? Aber es hilft, wenn gefährdete Abteilungen sichere Prozesse zum Umgang mit Anhängen haben und diese nicht einfach per Doppelklick aus Outlook heraus öffnen. Das ist zwar ein nerviger Mehraufwand, kann aber Unternehmensdaten schützen. Es gilt, Sicherheit gegen Komfort abzuwägen. Jedes Unternehmen muss für sich definieren, welches Risiko es in Kauf nehmen will.
Was mache ich, wenn ich einen USB-Stick finde?
Perfide ist, zehn infizierte USB-Sticks auf einem Firmengelände zu drapieren: auf dem Parkplatz, im Empfangsbereich, auf der Toilette. Nimmt ein Mitarbeiter den Stick mit und steckt ihn am Rechner an, startet der Trojaner – das ist der Jackpot. Ich rate darum dazu, gefundene USB-Sticks in der IT-Abteilung abzugeben.
Wie steht es um die Sicherheit von Passwörtern?
Das Schwierigste ist, dass Menschen immer wieder das gleiche Passwort nutzen: bei Amazon, Ebay, für den E-Mail-Account und um sich bei einem Dackel-Forum einzuloggen. Amazon und Ebay haben natürlich Profis, die ihre Datenbanken überwachen. Der Server des Dackelvereins wird aber vielleicht von jemandem in der Freizeit betrieben und das Aufspielen von Sicherheits- und Systemupdates läuft nicht optimal. An diese Daten kommt man also einfacher heran. Wenn ich das Passwort mit zugehöriger E-Mail-Adresse kenne, probiere ich diese Kombination bei Amazon und so weiter aus. Am besten, man holt sich eine Passwort-App auf das Handy. Dort speichert man alle Passwörter ab und hat am Ende nur ein Masterpasswort.
Was sollte man im Umgang mit der geschäftlichen E-Mail-Adresse beachten?
Vor einigen Jahren wurde eine Online-Dating-Plattform für Verheiratete gehackt. 33 Millionen E-Mail-Adressen waren verfügbar. Ich wurde im Rahmen einer technischen Beratung eines Dax-Konzern gefragt, ob bei den Adressen auch Mitarbeiter des Unternehmens mit ihrer Firmen-E-Mail-Adresse registriert waren. Das war tatsächlich der Fall. Durch solches Wissen werden Mitarbeiter erpressbar und geben unter Umständen Informationen heraus, an die man sonst nicht so leicht kommt. Deswegen rate ich zu mindestens drei E-Mail-Adressen: eine private, eine dienstliche und eine, in der nicht der eigene Name vorkommt. Taucht letztere irgendwo auf, ist das egal.
Welches ist derzeit Ihr Lieblingsthema?
Das Internet der Dinge. Damit lassen wir etwa per App vom Strand aus zu Hause die Rolläden hoch- und runterfahren. Hier muss ich sagen: die wenigsten Geräte sind hackbar. Aber es gibt immer ein paar, die eine Lücke aufweisen. Ein Beispiel: Wenn ein Hacker eine Glühbirne ausschaltet und bei der Oma das Leselicht ausgeht, passiert vermutlich nicht viel. Aber dieses Leuchtmittel könnte auch als Rotlicht in einer Ampel an einer großen Kreuzung eingesetzt sein. Dann könnte es lebensgefährlich werden. Und das müssen wir als Nutzer im Kopf haben. Auch Hersteller müssen verstehen: Dinge, die wir als gefahrlos kennen, sind es vielleicht nicht mehr, sobald sie smart werden.