Tischtennis und Ransomware in Bochum

Mit einem herzlichen "Mahlzeit!" eröffnet Andreas Lüning, Vorstand und Mitgründer von G Data Cyberdefense, kurz nach zwölf Uhr mittags den sechsten G Data Tech Day. Der Event findet erneut am Campus des Unternehmens in Bochum statt. Rund 200 Personen nehmen teil, knapp 40 davon sind per Livestream zugeschaltet. 

"Jeder ist ein potenzielles Einfallstor"

Lüning präsentiert zum Einstieg die aktuelle Ausgabe des Magazins "Cybersicherheit in Zahlen" von G Data. Die Publikation beinhaltet unter anderem eine Umfrage zur Selbsteinschätzung im Bereich IT-Sicherheit deutscher Arbeitnehmer und Angestellter. Allgemein sei die eigene Sicherheitswahrnehmung hoch, sagt Lüning - sowohl unter Führungskräften als auch unter ihren Mitarbeitenden. "Aber glauben Sie das, oder wissen Sie das?", fragt er in den Raum. 

Andreas Lüning, Gründer von G Data Cyberdefense. (Source: Netzmedien)

Zugleich gaben nämlich beispielsweise nur 48 Prozent der Befragten an, regelmässig ihren Bildschirm zu sperren, wenn sie den Arbeitsplatz kurz verlassen. Ebensoviele schützen gemäss dem Magazin sensible Daten. Nur knapp mehr als die Hälfte würde ein sicheres Passwort verwenden, weniger als ein Drittel setze auf Zwei-Faktor-Authentifizierung.

An Schulungen zur IT-Sicherheit nehmen gemäss der Umfrage immerhin knapp 65 Prozent der Führungskräfte teil, 84 Prozent der Bereichsleiter, aber nur etwa 44 Prozent der übrigen Mitarbeitenden. Warum sich nur Führungskräfte schulen lassen, sei für Lüning unverständlich, denn: "Jeder, der sich in irgendeiner Weise in das Netzwerk einloggt, ist ein potenzielles Einfallstor."

KI als Brandbeschleuniger

Im Jahr 2023 kommt kein Vortrag ohne das Thema künstliche Intelligenz aus - so auch jener von Lüning nicht. Zu präsent ist die Technologie mittlerweile auch schon in der Cybersecurity. G Data setze selbst auch auf Algorithmen und Machine Learning, erklärt Lüning. Besonders hebt er jedoch die Gefahren hervor, die mit KI einhergehen, etwa das Erstellen von Malware oder Phishing-Mails mit Hilfe von ChatGPT. Die KI wirke in vielen Dingen als "Brandbeschleuniger", sagt Lüning - daher gelte es, auch selbst schnell zu sein. Trotz aller Risiken sieht der G-Data-Gründer das Potenzial in der Technologie: "Auch bei der Entwicklung der Kutsche gab es damals viel Protest, trotzdem sind wir heute mit dem Auto unterwegs."

40'000 Alarme, 615 Meldungen

2022, am fünften Tech Day, hat G Data unter anderem eine Lösung für Managed Endpoint Detection and Response präsentiert. Die Lösung kam schliesslich im Frühling 2023 auf den Markt. Jetzt, ein paar Monate später, liegt das erste Fazit vor. Thomas Siebert, Manuel Beelen und Sascha Levölger präsentieren den Launch Report zur MEDR-Lösung. 

Seit dem Launch hätten die neun Analysten von G Data knapp 40'000 Sensoralarme erhalten. Nicht jeder Alarm weise auf einen neuen Sicherheitsvorfall hin. Manchmal gebe es mehr als einen Alarm pro Vorfall, etwa, wenn der selbe E-Mail-Anhang auf mehreren Rechnern ausgeführt werde. So seien rund 21'000 potenzielle Sicherheitsvorfälle übrig geblieben. 615 davon habe G Data an seine Kunden gemeldet. In diesen Fällen habe die Software tatsächlich eingegriffen. In allen anderen Fällen blieb es beim Potenzial. Als Beispiel dafür sei die Installation einer Software mit Dual Use, etwa Team Viewer. Das Tool kann völlig harmlos und auch nützlich sein, wird aber auch oft von Kriminellen missbraucht. Darum schlägt der Alarm automatisch an, wenn es installiert wird.

Momentan noch leer, doch bald waren die Stühle im G-Data-Campus besetzt. (Source: Netzmedien)

Im Schnitt habe es bisher etwa drei Minuten gedauert, bis die Analysten von G Data einen Alarm bearbeitet hätten. Bis zum Abschluss der Analyse seien rund 12 Minuten vergangen. Eine tiefere Analyse bei komplexen Fällen dauere etwa drei Stunden.

In den nächsten Monaten wolle G Data die Lösung um Zusatzfeatures erweitern. Dazu zählt etwa Device Control als Lizenzlösung sowie die Unterstützung von Linux. Derzeit ist G Data MEDR nur für Windows verfügbar. Die Experten kündigten ausserdem G Data 365 Mail Protection an, eine umfassende Lösung zum Schutz von 365 Exchange vor Phishing, Malware oder Spam. Die Cloud-basierte Lösung könne in MEDR integriert sowie alleinstehend verwendet werden.

Warum Awareness-Trainings?

Matthias Koll von G Data greift dann ein Thema auf, das Andreas Lüning schon zu Beginn angeschnitten hat: Awareness-Trainings im Bereich der IT-Sicherheit, eines der Steckenpferde von G Data. "Was spricht dagegen?", fragt er das Publikum und liefert sogleich selbst Antworten. G Data habe 100 IT-Verantwortlichen dieselbe Frage gestellt. Unter den häufigsten Argumenten waren laut Koll "Einer klickt ja immer", "Antivirus und EDR reichen doch aus" sowie der "Skandal um ROSI", also der Return of Security Investment. "Werden wir es mit Awareness-Trainings schaffen, dass niemand mehr einen Phishing-Link anklickt?", fragt Koll weiter. Das glaube wohl niemand, sagt er. "Ich glaube es auch nicht." Mit einer kleinen schauspielerischen Einlage stürmt Koll entgeistert von der Bühne, um im Pressebereich einen Schokoriegel zu konsumieren, der sich medial vor allem durch seine stressreduzierende Wirkung einen Namen gemacht hat (Name des Riegels der Redaktion bekannt). 

Matthias Koll von G Data wenige Minuten vor seinem vorgetäuschten Nervenzusammenbruch (Source: Netzmedien)

Ein Traum für Social Engineers

Christian Laber von G Data springt ein, um Gegenargumente zu den genannten Punkten zu liefern. Endpoint Security reiche eben nicht aus, erklärt Laber. Ab 2025 soll mehr als die Hälfte aller schwerwiegenden Sicherheitsvorfälle auf ungeschultes Personal zurückzuführen sein, sagt er unter Berufung auf eine Studie von Gartner. Prognosen von Forbes würden ähnliches zeigen. "Wenn Menschen angegriffen werden, reicht Endpoint einfach nicht aus", betont Laber. Weiter nennt er Daten aus dem eingangs erwähnten Heft "Cybersicherheit in Zahlen". Mehr als zwei Drittel der Befragten würden ihre Kompetenz in Sachen Security als gering einschätzen, gleichzeitig finde der Grossteil den eigenen Schutz ausreichend. Dies sorge für ein trügerisches Sicherheitsgefühl, fasst Laber zusammen - und sei "ein Traum für Social Engineers". Vor solchen Attacken gebe es nämlich wenig bis gar keinen technischen Schutz.

Was Social Engineering ist und wie Sie sich schützen können, erfahren Sie übrigens hier.

Wie Fussball ohne Abwehr

Zum Thema der Finanzierung sagt Laber, betriebliche Bildung koste immer Geld, egal ob Awareness oder nicht. Er unterstreicht aber den Return on Investment solcher Schulungen für das Unternehmen, den Studien belegen sollen: "Es kostet Geld, aber spart Kohle."

Bleibt noch das Argument, irgendjemand klicke ja immer auf bösartige Links. Das stimme, sagt Laber - einen hundertprozentigen Schutz gebe es nie, so wie EDR auch nicht zu 100 Prozent schütze. "Im Fussball kassiert man ja auch immer ein Tor", scherzt der Experte, während auf der grossen Leinwand ein Bild der Fussballmannschaft des VfL Bochum zu sehen ist. Da aber doch 91 Prozent aller Angriffe auf den Menschen abzielen, sei der Verzicht auf entsprechende Schulungen wie das Spielen ohne Abwehr.

Gestärkt vom Schokoriegel und Labers Argumenten kehrt nun auch Matthias Koll zurück auf die Bühne, um sein "Nein" von vorhin zu revidieren. Awareness-Trainings hätten Pros und Cons, fügt er hinzu. G Data habe gar nicht den Ansatz, "den Any-Klicker zum Never-Klicker zu machen". IT-Sicherheit sei immer ein Prozess, sagt Koll. Und Teamwork.

Mit was? Mit VaaS.

Leonardo Rodriguez von Ionos und Thomas Siebert von G Data stellen im Anschluss die gemeinsame Cloud-Security-Lösung Verdict-as-a-Service vor, kurz VaaS. Ionos ist Anbieter von Cloud-Plattformen und wohl vor allem als Mail-Hosting-Website bekannt.

Fast jeder verwende heute Cloud-Dienste, erklärt Siebert. Ob in Form einer Chatsoftware, für das Personalmanagement oder als Teilen von Präsentationen, der Datenaustausch über die Cloud sei bereits Alltag. Mit der Sicherheit sehe es dabei aber "eher mau" aus, sagt der Experte von G Data.

Leonardo Rodríguez von Ionos (Source: Netzmedien)

Mit VaaS wollen die beiden Unternehmen genau hier ansetzen. Immer, wenn eine Datei in eine Anwendung hochgeladen wird, geht sie per API an G Data, wie Siebert schildert. Als Beispiel nennt er eine Krankenkasse, deren Mitarbeiter Belege hochladen will. Unter den Dokumente befindet sich dabei auch die Anwendung "malware.exe". Auf einem ungeschützten Endpoint würde diese das System sofort infizieren, sagt Siebert. Mit VaaS erscheine hingegen ein Hinweis auf die Schadsoftware und die Datei könne nicht hochgeladen werden.  

Die Daten werden in Deutschland gehostet, wie Rodriguez dann betont. Damit seien Kunden nicht von US-Firmen abhängig, wie das bei vergleichbaren Lösungen der Fall ist. Kostenloser, deutschsprachiger Support sei "auch eine geile Geschichte", meint der gebürtige Spanier, um sich sogleich für seine Ausdrucksweise zu entschuldigen. Die Lösung kommt auch in die Schweiz.

Am frühen Nachmittag gibt es dann eine Verschnaufpause von etwa 90 Minuten. Referenten und Teilnehmende können sich im Café des G-Data-Hauptquartiers und dank des schönen Wetters auch im Freien stärken. Wie schon im Vorjahr gibt es die Möglichkeit, das Museum und das Cybersecurity-Lab von G-Data zu besichtigen. Wer sich nach dem ausgiebigen Schmaus ein wenig auflockern will, kann Kunden und Partner an der Tischtennis-Platte herausfordern. 

In der Networking-Pause wurde es sportlich (Source: Netzmedien)

Eine Uni wird zum Angriffsziel

"Es war der 7. Mai 2020", erinnert sich Christina Reinhardt zurück - zurück an jenen Tag, an dem die Ruhr Universität Bochum (RUB) Opfer einer Ransomware-Attacke wurde. Jetzt einen Vortrag darüber zu halten, sei für sie eine Art Re-Traumatisierung, sagt die Kanzlerin der mitteldeutschen Hochschule. 

Sie sei gerade auf dem Weg zu einer Sitzung gewesen, als sie den Anruf aus der IT der Universität erhielt, führt Reinhardt aus. "Wir glauben, wir sind angegriffen worden", habe man ihr am Telefon mit bleischwerer Stimme berichtet. Der Verdacht sollte sich bestätigen, wie Analysen später zeigten: Etwa 60 Serversysteme wurden verschlüsselt, darunter essenzielle Systeme wie das Active Directory, SharePoint und zentrale Datenbanken. Der Uni lag ein Erpresserbrief vor, in dem die kriminellen Hacker eine Lösegeldzahlung in Form von Bitcoin forderten. "Selbst, wenn wir dürften - wie geht das?", habe sich Reinhardt damals gedacht. Sie selbst habe nämlich so gar keinen IT-Background, was den Vorfall umso mehr zur Herausforderung machte. 

Alles wieder gut?

Zusammen mit der "schnellen Eingreiftruppe" von G Data, wie Reinhardt es formuliert, habe man die Systeme schliesslich wieder herstellen können. Ob jetzt alles wieder gut ist? "Ich glaube nicht", sagt die RUB-Kanzlerin. Bei jedem IT-Problem sei nun ihr erster Gedanke, es könnte sich wieder um einen Angriff handeln. Christina Reinhardt und die RUB hätten aufgrund des Vorfalls aber immerhin Promistatus erreicht, sagt die Uni-Kanzlerin. Sie habe bereits einige Vorträge darüber gehalten und anderen Unis, die selbst ins Visier von Kriminellen geraten waren, ihre Erfahrungen geschildert. "Zum Glück trifft es die und nicht uns", habe sie sich dabei stets gedacht. Wer hinter dem Angriff steckte, wurde laut der Kanzlerin übrigens nie geklärt.

Im Anschluss an die Vorträge lädt G Data zum gemeinsamen Abendessen in die Mensa des Hauptquartiers. Es gibt Schnitzel mit Kartoffelsalat, den Vegetarierinnen und Vegetarier wird Gemüse in Reispanade serviert. Bis spät in die Nacht werden an der Hausbar neue und alte Kontakte gepflegt, im Innenhof packende (wenngleich bereits etwas unkoordinierte) Tischtennis-Partien gefochten und an der Fotobox die Eindrücke des Abends festgehalten.