Mark Semmler ist IT-Sicherheitsexperte. Früher ist er als Hacker in Netzwerke eingedrungen, heute berät er Unternehmen, damit dies nicht passiert. Am Ligital-Event 2019 wird er live vorführen, wie fahrlässig gerade KMU unterwegs sind.
Von: Patrik Schädler
Mark Semmler ist Diplom-Informatiker und arbeitet sei mehr als 25 Jahren europaweit für die Absicherung von Informationen und IT-Infrastrukturen. Er wird am Ligital-Event 2019 mit einem Workshop und einer Livehacking-Präsentation auch kleineren Unternehmen entscheidende Hinweise mit auf den Weg geben. «Die durchschnittliche Informationssicherheit bei KMU ist bestenfalls unterirdisch. In den letzten Jahren hat sich leider auch wenig verändert, obwohl das Thema fast tagtäglich durch die Presse geht und viel Aufklärungsarbeit geleistet wird», so Semmler im Interview mit «Wirtschaft Regional». Auch in Liechtenstein gibt es immer wieder Meldungen über Hackerangriffe – zuletzt auch bei Banken. Gemäss Mark Semmler sind derzeit Erpressungstrojaner ein häufig eingesetzte Masche: «Eine E-Mail mit bösartigem Anhang wird verschickt, ein Mitarbeiter klickt drauf und die ausgeführte Schadsoftware verschlüsselt die Daten des Unternehmens. Die Rückgabe erfolgt nur, nachdem die Opfer Lösegeld an die Erpresser zahlen.» Für den Sicherheitsberater ist klar, dass wenn dies bei einem Unternehmen passiert, «nicht einmal die grundlegenden Hausaufgaben» wie eine angemessene Datensicherung gemacht wurde.
Wer ist für die IT verantwortlich?
Für Mark Semmler ist klar, dass die Geschäftsführung für die IT verantwortlich ist. Ein Chef müsse zwar nicht im Detail verstehen, wie die Systeme funktionieren, dafür gebe es Spezialisten. Er sollte aber festlegen, welche Anforderungen die IT zu erfüllen hat. Ein sinnvolles Instrument ist ein Informations-Sicherheits-Management-System – kurz ISMS. Dieses sorgt dafür, dass die notwendige Informationssicherheit in einer Organisation definiert, umgesetzt und fortlaufend angepasst wird. In Wirklichkeit wird in KMU die IT zu oft stiefmüterlich behandelt. «Kein KMU der Baubranche würde zum Beispiel auf die Idee kommen, einen neu angeschafften Bagger einfach so allen Mitarbeitern zur Verfügung zu stellen nach dem Motto ‹Habt Spass!›. Stattdessen gibt es eine Einweisung und es wird genau spezifiziert, wer damit fahren darf. Bei der IT geht man davon aus, dass sie auf Anhieb effektiv und sicher eingesetzt wird. Einweisung, Schulung und verbindliche Regelungen? Fehlanzeige. Und so züchtet man sich Benutzer, die glauben, dass sie mit der Unternehmens-IT einfach alles machen dürfen, was ihnen einfällt», beschreibt Semmler. Dabei lasse sich mit etwas Engagement und einfachen Massnahmen das Risiko eines Unternehmens senken. Diese Massnahmen wird Mark Semmler in einem Workhop vor dem eigentlichen Ligital-Tag in Form eines «Definitiv-Mindestens-Kochrezepts» für Geschäftführungen präsentieren. Für Semmler sind die drei Schlüssel zu den digitalen Unternehmenswerten: Mitarbeiter, Zugänge und Zugriffsrechte. Dabei sind Mitarbeiter für den 46-Jährigen ein zentraler Punkt: «Mitarbeiter benötigen klare Regeln, was in der IT erlaubt und was verboten ist. Denn die grösste Sicherheitsschwachstelle sitzt etwa 50 Zentimeter vor dem Bildschirm.»
Auch Kleinstbetriebe betroffen
Bei den grossen und bekannten Fällen geht es meist um grosse Unternehmen. Dort geht es bei den Hacker-Angriffen meist um sensible Daten oder Wirtschaftsspionage. Doch nicht nur grössere Unternehmen können von Hackerangriffen betroffen sein, sondern auch der Bäcker oder die Baufirma um die Ecke. In diesen Fällen geht es zwar nicht um Wirtschaftsspionage oder sensible Kundendaten, sondern «nur» um Geld. «Um diese Unternehmen kümmert sich eine andere Art von Angreifern, die nach dem Giesskannenprinzip arbeiten. Ihre Devise lautet Masse statt Klasse. Sie greifen breitflächig Unternehmen an, versuchen, sie zu öffenen und mit ihnen Geld zu verdienen. Diese Angreifer übernehmen die Maschen und versenden Spam-E-Mails. Oder sie verschlüsseln die Daten und erpressen das Unternehmen», so Semmler. Einfach aufhören wird dieses Business nicht. Im Bereich der Cyberkriminialität wird mehr Geld verdient als mit dem internationalen Drogenhandel.
Wird am Event ein Unternehmen aus Liechtenstein gehackt?
Auf jeden Fall verspricht Mark Semmler den Besucherinnen und Besuchern des Ligital-Events 2019 einen «interaktiven Vortrag ohne Von-der Folie-Ablesen, aber dafür mit viel Klartext». Er wird live im Netz arbeiten und Unternehmen suchen, die komplett ungeschützt sind. Zielobjekte sind Unternehmensdaten, Webserver, Smart-Buildings und Produktionsanlagen. «Ich werde zeigen, wie einfach man verschiedene Sicherheitseinrichtungen umgehen kann. Es gibt nämlich viele Unternehmer, die glauben, ihnen könne nichts passieren, weil sie eine Firewall und einen Virenscanner besitzen. Fehlanzeige. Ich will den Leuten aber nicht nur Angst machen und dann wieder gehen, sondern ihnen eine Anleitung mit auf den Weg geben, was sie in ihren Unternehmen die nächsten Tage und Woche ändern sollten», so Semmler. Und zu Frage, ob er am 6. Juni live ein liechtensteinisches Unternehmen hacken wird, sagt er nur: «Ja, warum nicht. Mal sehen, was wir finden.»
