Tobias Schnorr ist selbständiger IT-Experte, Public Speaker und Problemlöser. Im Experten-Interview erzählt der Wirtschaftsinformatiker von alten Tricks und neuen Trends der Hackerszene und wie er unverhofft zum Unternehmer wurde.
Sie sind seit 13 Jahren selbständig mit diversen Projekten und Unternehmen im Bereich Webdesign und Online-Sicherheit. Wann haben Sie sich für den Weg in die Selbständigkeit entschlossen?
Bei mir hat das tatsächlich schon so mit 14 oder 15 Jahren angefangen. Ich habe in der Nachbarschaft ein bisschen Computer-Support gemacht. Mit 18, 19 Jahren kam der erste Kunde zu mir und fragte: „Kannst du mir mal eine Website machen?“. Dann ging alles ziemlich schnell: Ich habe mit den kleinen Projekten Geld verdient habe und war praktisch dazu gezwungen, mich zumindest nebenbei selbständig zu machen, damit das mit den Rechnungen alles korrekt läuft.
Wann kam der Wechsel zur Vollzeit-Selbständigkeit?
Ich hatte damals sehr viel Glück, denn ich bin in eine Marktlücke reingerutscht: Ich war einer der ersten Programmierer in Deutschland, der sich gut mit dem Content Management System Joomla auskannte. Früher mussten Webseiten-Betreiber spezielle Funktionen wie zum Beispiel ein Kursbuchungssystem für viel Geld programmieren und einbauen lassen. Ich war einer der ersten, der eine Open-Source Erweiterung genutzt hat, die nur noch an den Kunden angepasst werden musste. Diese Anpassung hat mich natürlich viel weniger Ressourcen gekostet. Dadurch habe ich eine Zeit lang sehr viel Geld verdient. Leider war ich damals noch ein bisschen naiv.
Wie hat sich das geäußert?
Ich habe mein Geld nicht in Marketing investiert, um mein Unternehmen ein bisschen größer aufzubauen. Ich war so mit meiner Selbständigkeit beschäftigt, dass ich im vierten Semester aus meinem Wirtschaftsstudium rausgeflogen bin, weil ich immer und immer mehr Aufträge angenommen habe. Nach einem Jahr war der Wettbewerbsvorteil wieder vorbei, als die Agenturen angefangen haben, die Open-Source ebenfalls zu nutzen.
Zur Sicherheit habe ich eine Ausbildung zum Fachinformatiker bei einem meiner Kunden begonnen, damit ich etwas in der Hand habe, falls alles schiefgeht. Direkt nach der Ausbildung war ich wieder selbständig – hauptsächlich mit Webdesign. Parallel habe ich IT-Support angeboten. Der Bereich IT-Sicherheit war schon immer ein Hobby von mir. Vor einem Jahr habe ich mich dazu entschlossen mich auf den Sicherheitsbereich zu spezialisieren.
Als Experte für CMS-Systeme beobachten Sie die Trends der Designer und Hacker gleichermaßen. Welche Sicherheitslücken werden Ihrer Meinung nach aktuell am häufigsten unterschätzt?
Die Hacker sind heutzutage Datensammler. Sie erstellen lange Listen mit Websites, die auf WordPress, Joomla oder anderen großen CMS basieren. Dann liegen sie auf der Lauer und warten darauf, dass eine große Sicherheitslücke bekannt wird. Im nächsten Schritt werden die Listen der Reihe nach abgearbeitet und attackiert. Wir beobachten, dass die jüngsten Sicherheitslücken am häufigsten angegriffen werden. Tatsächlich beginnen die Angriffe oftmals schon 24 Stunden nachdem die Sicherheitslücke öffentlich bekanntgegeben wird.
Zwischen dem Einbau einer so genannten Backdoor – einer Hintertür, die Hackern einen dauerhaften Zugang zum System ermöglicht – und der Nutzung einer aktuellen Sicherheitslücke vergehen meistens 30 Tage. Der Grund ist simpel: Wird eine Attacke bemerkt, wird das letzte System-Backup genutzt, um den ursprünglichen Zustand der Website herzustellen. Backups werden in regelmäßigen Abständen gesichert. Durch ihr Geduldspiel erreichen Hacker also, dass auch alle neueren Datensicherungen die Hintertür enthalten: Ein erneutes Aufspielen der Sicherheitskopie ist zwecklos.
Angenommen, ein neues Start-up hat wenig Kapital zur Verfügung, um sich auf den worst case vorzubereiten. Wie lautet Ihr Tipp für Gründer, die ihre Website bestmöglich schützen möchten – trotz knapper Ressourcen?
Mittlerweile existieren günstige Tools, die schon ab 10 Euro im Monat erhältlich sind. Die Software scannt kontinuierlich die Dateien, die auf dem Server liegen und prüft, ob es Veränderungen oder Auffälligkeiten gibt. So hat man ein Frühwarnsystem und kann zeitnah erkennen, ob ein Hacker im System ist. Im Fall des Falles können die Webseiten-Betreiber schnell reagieren und ein Backup nutzen, das erst wenige Tage zurückliegt. Der Datenverlust ist so meistens gering.
Der Schutz vor Hackern ist immer ein Spiel gegen die Zeit. Was sind die ersten Schritte, die Betroffene unternehmen sollte?
Der erste Schritt ist natürlich das Backup aufzuspielen. Wenn möglich, sollten die Betreiber die wiederhergestellte Version der Webseite so aktivieren, dass man die Seite zunächst nur über eine Sub-Domain erreicht, nicht über eine öffentliche Adresse. Als nächstes wird das aktuelle Update des CMS eingespielt. Dabei müssen alle Erweiterungen überprüft werden. Eventuell steckt die Sicherheitslücke in einer veralteten Version der Plug-Ins.
Hacking wird häufig mit hektischen Telefonanrufen und großen finanziellen Schäden assoziiert. Tatsächlich gibt es aber auch “gute” Hacker. Was genau bedeutet Ethical Hacking in diesem Zusammenhang?
Seit einigen Jahren entstehen völlig neue Geschäftsmodelle durch Ethical Hacking: Der Begriff bedeutet nichts anderes als ein geplanter Test-Angriff, der dann gemeldet wird. Firmen beauftragen Hacker gezielt, um die Sicherheit ihrer Sicherheitssysteme zu testen. Der Auftrag ist letztendlich ein Belastungstest. Häufig liest man von so genannten DDoS-Angriffen: Ein Distributed Denial of Service, also eine weitreichende Nichtverfügbarkeit des Dienstes, entsteht immer dann, wenn viele Tausende Hacker versuchen auf ein und dieselbe Website zuzugreifen. Die Anfragen überlasten das System und legen es lahm.
Beim Ethical Hacking entstehen immer mehr Geschäftsmodelle, bei denen nur nach Erfolg bezahlt wird. Wenn IT-Profis schaffen, das System zu knacken, sind Firmen in der Lage genau zu protokollieren, wo die Schwachstellen liegen. So können die Lücken ausgebessert werden, bevor ein „echter” Hacker sie entdeckt.
Gibt es prominente Beispiele für die Nutzung freundlicher Hacker?
Facebook nutzt Ethical Hackers zum Beispiel. In der Vergangenheit existierte eine zweite, identische Version von Facebook auf einem Testserver, wo sich auch jeder mit Erlaubnis austoben konnte. Aktuell gibt es das so genannte Bug Bounty-Programm. Jeder kann sich für einen Test-Account registrieren und Facebook so Sicherheitslücken aufzeigen. Das Programm umfasst auch andere Facebook-Marken wie Atlas, Instagram und WhatsApp. Die Vergütung hängt von vielen Faktoren ab. Viele große Unternehmen orientieren sich mittlerweile an dieser Methode.
Wo sehen Sie die größten Gefahren für Hacker-Angriffe für geschäftliche Webseiten?
Die größten Gefahren lauern häufig bei den installierten Plugins und Erweiterungen. Theoretisch müsste man immer ein Auge auf jede einzelne Erweiterung haben, aber das kann fast niemand leisten. Ein weiterer, häufiger Fehler ist eine unsaubere Programmierung. Das bedeutet, dass der Code eines Content-Management-Systems wie Joomla im Kern verändert wird. In diesem Fall kann man das System häufig nicht mehr richtig aktualisiert werden oder bestimmte Funktionen fallen einfach aus. Ein solches Problem lässt sich nicht ohne Weiteres lösen.
Manchmal treten Sicherheitslücken auf, für die es keine Lösungen oder Patches gibt. In einem solchen Fall hilft das so genannte Virtual Patching: Eine spezielle Firewall meldet, sobald jemand versucht die Sicherheitslücke auszunutzen und blockiert den User.
Der Wiesbadener bietet deutschlandweit Lösungen für IT-Probleme. Mit seinem Unternehmen webseitenritter.de liefert Tobias Schnorr schnelle Hilfe bei allen Problemen rund um Hacking und Serverausfälle. Sein Zweitprojekt HackerBuster.de ist Schulungen und Beratungen im Bereich IT-Sicherheit gewidmet und befindet sich derzeit noch im Aufbau.
