Kevin Mitnick sieht Social Engineering weiter als größtes Sicherheitsproblem
Trotz immer mehr Software-Lücken bleibe der Mensch die größte Schwachstelle in der IT-Security, meint die Hacker-Legende.
Kevin Mitnick (44), der einstige "Most Wanted Hacker" im Cyberspace, sieht inzwischen fast selbst aus wie die Bankmanager, deren IT-Sicherheit er heute fürstlich honoriert auf Schwachstellen testet: Er tritt mit gut sitzendem Anzug, Krawatte und glänzenden Schuhen an. Im Interview mit dem Technologiemagazin Technology Review sprach der einst gefürchtete Star-Hacker der 80er- und 90er-Jahren, der bis ins Jahr 2000 eine Gefängnisstrafe wegen Computerverbrechen absitzen musste, nun über aktuelle Entwicklungen in der IT-Security.
Eine gewisse Nostalgie konnte er sich dabei im Gespräch nicht verkneifen. "Ich war gewissermaßen noch jemand aus der 'alten Schule' der Hacker. Damals ging's eigentlich mehr darum, Spaß zu haben, mit seinen Freunden zusammen weiterzukommen, die Technik auszuloten, an ihre Grenzen zu bringen. Heute geht es bei den bösen Hackern vor allem ums Geldmachen, um Profit." Er selbst habe schon des Öfteren Freunden helfen müssen, denen beispielsweise Domains entführt worden seien. Es gäbe viele Leute, die solche Internet-Gaunereien längst professionell betrieben. Das habe es früher nicht gegeben.
Als größtes Sicherheitsproblem sieht Mitnick trotz der tagtäglich auftauchenden Lücken in populären Anwendungen und Betriebssystemen noch immer das so genannte Social Engineering an, bei dem Angreifer versuchen, Menschen mit psychologischen und schauspielerischen Tricks dazu zu bewegen, ihre Systeme zu öffnen. "Denn der Mensch ist das schwächste Glied in der Kette. Wir müssen die 'menschliche Firewall' stärken, deswegen bin ich auch ständig unterwegs für die notwendige Aufklärungs- und Bildungsarbeit. Erstaunlicherweise kümmert sich ein Großteil der Unternehmen um den Punkt Social Engineering überhaupt nicht. Selbst große staatliche Organisationen nicht."
Eine Firma könne viel Geld ausgeben und alles Mögliche an IT-Security-Hard- und Software kaufen, aber wenn ein Angreifer nur eine Person in dieser Firma finde, die er täuschen könne, dann nützen die teuren Investitionen für Technologien überhaupt nichts. "Man muss Mitarbeiter nur dazu kriegen, auf eine präparierte Website zu klicken, dann kann es schon bedeuten, dass sich Schadcode auf ihren Rechnern einnistet. Das muss man akzeptieren und die Lücken in der Kette entsprechend schließen."
Das ganze Interview mit Kevin Mitnick in Technology Review online:
- "Es hat sich viel verändert"
(bsc)
