Mussten anfangs noch die PCs seiner LehrerInnen herhalten, hackt sich Avi Kravitz heute auf professioneller Ebene ein. Im Gegensatz zu den sogenannten Black-Hat-HackerInnen setzt sich der ausgebildete IT-Spezialist als White-Hat-Hacker für Sicherheit im World Wide Web ein. Als einer der Vorreiter in Sachen Cyber Security und CEO der Firma A-Team Rocks Consulting gibt er seine Expertise auch als Speaker und Berater weiter. Wir baten Avi Kravitz zum Interview – virtuell, versteht sich.
Das Thema Cyber Security ist für viele recht abstrakt. Kannst du als Experte kurz erklären, woraus deine tägliche Arbeit besteht?
Avi Kravitz: Cyber Security besteht im Wesentlichen aus zwei Säulen. Die eine Säule ist Prävention, also AngreiferInnen draußen halten. Stell es dir vor wie im echten Leben: Das eine Haus hat Überwachungskameras, Zäune etc. Das andere hat keine Alarmanlage und ein gekipptes Fenster. Wo wird am ehesten eingebrochen? Ich muss also unattraktiver sein als meine Nachbarschaft. Mit Prävention kann ich den allergrößten Teil an AngreiferInnen draußen halten, eine 100%ige Sicherheit gibt es aber nie. Die zweite Säule: Die, die es trotzdem geschafft haben und eingebrochen sind, so schnell es geht identifizieren und rausschmeißen.
Ein Bekannter von mir, der zu den besten White-Hat-Hackern Europas zählt, wurde gefragt: Von 100 Unternehmen, bei wie vielen kannst du einbrechen? Er sagte: Bei 100. Es gibt aber einen wichtigen Unterschied. Bei denen, die nicht vorbereitet sind, braucht er zwei Minuten, bleibt zwei Jahre lang unerkannt in der Infrastruktur und kann machen, was er will. Aber bei jenen, die vorbereitet sind, braucht er zwei Jahre, um einzubrechen, und hat nur zwei Minuten Zeit, bis er auffliegt. Nur weil jemand sich eingehackt hat, passiert also nicht automatisch ein Schaden. Der entsteht, wenn HackerInnen unbemerkt Zeit haben, ihre Arbeit zu beenden.
Die Begriffe White-Hat- und Black-Hat-HackerIn sind angelehnt an alte amerikanische Westernfilme. Die Guten trugen darin immer helle Hüte, die Bösen schwarze. Diese beiden Bezeichnungen unterscheiden sich im Wesentlichen darin, ob man als HackerIn Gesetze bricht oder nicht.
Und mit eurem Unternehmen A-Team Rocks nehmt ihr solchen HackerInnen diese Zeit?
Avi Kravitz: Genau. Wir holen Firmen erst einmal holistisch dort ab, wo sie sind, und helfen ihnen auf möglichst pragmatische Weise, sich vor akuten Bedrohungen zu schützen. Dazu simulieren wir zuerst Hacker-Angriffe („Penetrationstests“) und schauen, wo Möglichkeiten bestehen einzubrechen. Es ist ein Realitätscheck, bei dem wir uns Unternehmen auf organisatorischer Ebene anschauen. Wie handhabt man Sicherheitskopien? Wie geht man mit administrativen Privilegien um? Gibt es Multifaktor-Authentifizierungen? Danach arbeiten wir mit ihnen aus, wie sie in den nächsten ein bis drei Jahren ihr Niveau zum „State of the Art“-Security heben können und begleiten sie dabei. Wir bieten seit Kurzem neben dieser Prävention auch Detektion an, einen Managed Security Service. Wir überwachen also konstant, ob jemand eingebrochen ist, und kümmern uns um die rasche Beseitigung dieser Bedrohung.
Wann hast du beschlossen, mit A-Team Rocks dein eigenes Ding zu machen?
Avi Kravitz: Vor zwölf Jahren habe ich mich auf Wirtschafts- und Industriespionage spezialisiert. Damals ging es um andere Kaliber, sogenannte „Advanced Persistent Threats“. Das sind staatlich gesponserte, elitäre HackerInnen. Die brechen mit dem Ziel ein, möglichst lang drinnen zu bleiben, um Firmeninterna zu stehlen, um damit beispielweise geistiges Eigentum weiterzugeben. Oder mit den Informationen anderweitig zu handeln, z. B. Insidertrades im Kapitelmarkt.
Die andere Seite ist Sabotage, wie beim „Stuxnet“-Vorfall, der vor ein paar Jahren durch die Medien ging. Israel hackte und zerstörte damals gemeinsam mit Amerika die Iranische Atomanlage bzw. einige Zentrifugen. In dieser Zeit habe ich auch eine Lösung miterfunden, die diese Art von Bedrohungen nicht nur erkennen kann, sondern auch wertvolle Aufklärung für Betroffene liefert. A-Team Rocks habe ich deshalb gegründet, weil ich gemerkt habe, dass viele Firmen im Bereich Cyber Security noch in den Kinderschuhen stecken. Die fanden diese High-End-Security, die ich da machte, zwar toll, waren aber selbst noch lange nicht so weit. Die meisten mussten zuerst noch Probleme lösen, die viel, viel früher begannen. Und genau da wollte ich ansetzen.
Werden Daten von HackerInnen-Gruppierungen gestohlen und am Schwarzmarkt verkauft, beunruhigt das vielen Menschen gar nicht, nach dem Motto: „Ich hab’ eh nichts zu verbergen“. Steckt die Gefahr denn noch woanders außer im Eingriff in die Privatsphäre?
Avi Kravitz: „Nichts zu verbergen“ ist relativ. Alles, was ich habe, kann irgendwann in irgendeiner Form gegen mich verwendet werden. Ich kann eine Aussage treffen, die heute total valide ist, und in fünf Jahren reißt sie jemand aus dem Kontext. Häufig kommen Menschen zu mir, die kompromittierende Daten auf ihren Festplatten hatten, die dann an GeschäftspartnerInnen usw. versendet wurden. Auch Stalking-Angriffe hatte ich, bei denen das Smartphone gehackt und die Person ständig überwacht wurde. Mein Rat an alle Menschen da draußen: Geht davon aus, dass alles, was ihr online teilt, mit einer Person oder der ganzen Welt, völlig transparent für alle sichtbar ist. Im Businessbereich ist Datenklau noch viel schlimmer. Denn was ist ein Unternehmen wert, wenn es keine Geheimnisse mehr hat?
Als White-Hat-HackerIn oder Ethical-HackerIn ist man zwar auf der guten Seite, muss aber die gleichen Techniken beherrschen. Ist man da vor allem als junger Mensch nicht versucht, mal zu schauen, wie weit man gehen kann?
Avi Kravitz: Na sicher! Ich habe meine Jugend damit verbracht, meine Fähigkeiten zu erproben. Man fängt halt irgendwo an. Zuerst war’s der PC meiner Schwester, dann die PCs meiner MitschülerInnen, der Lehrpersonen … Aber das heißt nicht, dass man gleich in die illegale Schiene abdriftet. Mit dem Hacken lernte ich auf spielerische Weise, wie man Sicherheitsbarrieren überwinden kann. Auch mit MitstreiterInnen in einschlägigen Online-Foren. Dann kamen immer mehr „offizielle“ Hacking-Plattformen, wo man Challenges löst und sich mit Gleichgesinnten messen kann. Eine wertvolle Austauschplattform!
Die Entscheidung zwischen White-Hat- und Black-Hat-HackerIn klingt wie die Entscheidung zwischen der hellen und der dunklen Seite der Macht. Hand aufs Herz: Auf welcher Seite verdient man mehr Geld?
Avi Kravitz: Auf der dunklen natürlich. Aber für mich geht es nicht primär um Geld! Sondern schlafe ich in der Nacht gut oder eben nicht? Das ist in der realen Welt genauso. Willst du in der Bank hinter dem Schalter stehen, sie gar besitzen, oder vor dem Schalter mit der Waffe in der Hand stehen? Ich habe den naiven Gedanken, dass wir alle soziale Wesen sind und es in uns verankert ist, dass wir lieber jemanden helfen statt schaden.
ExpertInnen warnen vor einer potenziell steigenden Gefahr von Cyberattacken aufgrund der Ukrainekrise. Wie hängen diese beiden Dinge zusammen?
Avi Kravitz: Auch vonseiten der Cyber Security ist diese Sache eine Katastrophe. Es stellte sich kürzlich heraus, dass Russland bereits ein Jahr vor dem Krieg begann, die Ukraine online zu infiltrieren. Es hilft, wenn man versteht, was eine Ransomware ist. Nämlich eine Art Virus, der sich bei dir einschleust, alles verschlüsselt, bis du Lösegeld bezahlst. Noch schlimmer ist die Destructionware. Da werden Dinge nicht verschlüsselt, sondern unwiderruflich vernichtet. Es geht darum, Unternehmen und Organisationen nachhaltig zu ruinieren. Und ich kann’s nicht anders sagen: Das Internet ist derzeit der Wilde Westen. Die Leute machen, was sie wollen. Du hast Pro-Ukrainer, die die Russen hacken, und Russen, die die Ukraine plus die westliche Welt hacken. Zum anderen ist der Krieg für verdeckte Organisationen ein guter Vorwand, unter diesem Deckmantel ihren fragwürdigen Zielen nachzugehen. Vieles wird erst in einigen Monaten sichtbar werden.
2021 gab es 46.179 Cybercrime-Anzeigen, fast ein Drittel mehr als 2020. Cyber Security ist also ein großer Wachstumsmarkt für Arbeitsplätze. Kann jeder und jede einsteigen oder ist dieser Beruf nur etwas für Digital Natives?
Avi Kravitz: Es gibt dieses statische Weltbild – wenn Menschen etwas gelernt haben, es dann 30 Jahre lang genauso machen und nicht offen für Neuerungen sind. Solche Leute werden nicht gut zurechtkommen mit der Digitalisierung. Wenn mich die Materie aber interessiert und ich weiß, dass ich mir jederzeit neue Dinge aneignen kann, finde ich meinen Platz in der Cyber Security. Nur weil ich am Wochenende eine Schulung besuche, heißt das aber noch lange nicht, das ich ExpertIn bin. Cyber Security ist ein Handwerk. Je länger ich mich damit beschäftige, desto besser werde ich. Wir betreuen bisher ca. 150 KundInnen, und beinahe alle klagen darüber, dass sie keine Fachkräfte finden. Ich empfehle jeder und jedem, der sich damit beschäftigen möchte, noch heute anzufangen.
Gibt es Dinge, die wir vielleicht alle machen, bei denen du als Sicherheitsexperte die Hände über dem Kopf zusammenschlägst?
Avi Kravitz: Passwort-Management. Ich sehe ziemlich oft, dass Benutzer überall das gleiche Passwort verwenden. Das ist extrem gefährlich und leichtsinnig! Wird eine Website gehackt, wird dein gestohlenes Passwort nämlich auf ganz vielen anderen Seiten ausprobiert. Neue „smarte“ Geräte werden meistens mit Standard-Passwörter ausgeliefert. Das wissen auch die Hacker! Daher müssen diese rasch geändert werden.
Auch ganz wichtig: Multifaktor-Authentifizierungen überall aktivieren. Das betrifft private Personen und auch Unternehmen. Denn sollte ein Passwort trotzdem von jemanden entwendet worden sein, benötigt dieser noch immer den zweiten Faktor (z. B. PIN am Handy), um sich erfolgreich einzuloggen. Ansonsten die Systeme immer aktuell halten und Updates regelmäßig und zeitnah einspielen. Updates beheben nämlich auch bekannte Sicherheitsprobleme.
Und das Allerwichtigste?
Avi Kravitz: Wenn es um E-Mails geht, auf Instinkte zu hören. Aus Erfahrung weiß ich, dass Menschen da meistens „eh ein komisches Bauchgefühl“ hatten, bevor sie auf eine Phishing-Mail geklickt haben. Im Zweifel immer über einen anderen Kommunikationskanal nachfragen!
Zum Schluss eine Frage, die sich seit dem Gerichtsverfahren von Mark Zuckerberg viele stellen. Damals sah man, dass er Webcam und Mikrofon zugeklebt hatte. Machst du das auch, wenn du sie gerade nicht brauchst?
Jein. Prinzipiell ist diese Art von Bedrohung eher zielgerichtet, unabhängig der Motivation wie Spionage und/oder Erpressung, und kommt daher noch nicht so oft vor wie Angriffe nach dem Gießkannenprinzip. Ich deaktiviere meine Kamera und Mikrofon aber auf andere Art und Weise – und das empfehle ich auch allen anderen.
Über Avi Kravitz
Der Wiener Avi Kravitz ist Absolvent des Departments Informatik und Security der Fachhochschule St. Pölten. 2020 gründete er das Cyber-Security-Unternehmen A-Team Rocks Consulting mit Sitz in Wien. Er ist außerdem Mitglied des Expertenrates des Linzer Unternehmens Blue Shield Security, dessen präventive Lösungen bereits Krankenhäuser, Behörden, Ministerien und große Energieversorger nutzen.