Suchen
      • Suchen
      Hacker helfen der Allianz, sensible Kundendaten vor Cyberangriffen zu schützen. (Quelle: Enno Kapitza)

      Cyberangriff 30. März 2015

      Unser Hacker vom Dienst

      Text: Katharina Fuhrin
      Sie tüfteln längst nicht nur an Firewalls: "Sicherheitsoffiziere" wie Stephan Gerhager helfen der Allianz, sensible Kundendaten vor Cyberangriffen zu schützen.

      Stephan Gerhager schaut Menschen öfter mal über die Schulter. Auch, wenn er zum Beispiel mit seiner Tochter im Krankenhaus sitzt. Menschen, die öffentlich an einem Computer arbeiten, sind für ihn stets ein Grund, mal einen kurzen Blick auf den Bildschirm zu werfen.

      Gerhager ist immer wieder fasziniert, was es da alles so einfach zu sehen gibt. Als vertraulich markierte Tabellen einer Unternehmensberatung. Log-in-Daten eines Firmenportals. Gerätenummern eines großen Technikkonzerns. Oder im Fall des Krankenhausrechners: Patientendaten.

      Dinge, mit denen sich einiges anstellen lassen würde – warum sind die Menschen nur so leichtfertig?

      Gerhager schlägt ein abgewetztes Buch auf – darin steckt sein Notebook. Eine Tarnung ist die Schutzhülle aber längst nicht mehr, "das Teil ist in der Allianz bekannter als ich selbst". Denn innerhalb oder außerhalb der Allianz, bei Vorträgen, an der Uni, wo auch immer – sein Book-Book ist ständig verfügbar.

      Auch seine Lieblingsbeispiele hat Gerhager so stets dabei. Denn sie helfen ihm bei den Vorträgen, die er als "Chief Information Security Officer" der Allianz hält, seinen Zuhörern ein paar Dinge klarzumachen.

      1. Datensicherheit betrifft nicht nur Computernerds, die Firewalls bauen.
      2. Sicherheit beginnt schon auf dem Weg zu Arbeit.
      3. Das größte Sicherheitsrisiko ist nicht unbedingt immer ein datensaugender Supervirus, sondern häufig der Mensch am Rechner, der User.

      Alles im Blick: Dank Cloud-Technologie hat Stephan Gerhager seinen Arbeitsplatz immer dabei.

      Foto: Enno Kapitza

      "Etwa jedes zweite Unternehmen war schon einmal Opfer eines Spionageangriffs." Michael George, Bayerischen Landesamt für Verfassungsschutz

      Mit virtuellen Mauern kann nicht jeder Angriff abgewehrt werden

      "Man muss davon abrücken zu glauben, dass mit einer Erhöhung der virtuellen Mauern um das Unternehmen jede Art von Angriff abgewehrt werden kann", sagt auch Michael George vom Bayerischen Landesamt für Verfassungsschutz. "Etwa jedes zweite Unternehmen in Deutschland ist schon einmal Ziel eines Spionageangriffs geworden. Das zeigt, wie wichtig ein ganzheitliches Sicherheitssystem ist."

      Genau darum kümmert sich Gerhager mit seinen "Sicherheitsoffizieren", die längst nicht nur beim Programmieren am Computer sitzen. "Wir sehen uns in erster Linie als Berater für Vorstände und andere Entscheider im Unternehmen", sagt Gerhager. "Als Sicherheitsstab analysieren wir Risiken und überlegen uns dann gezielt Regeln und Gegenmaßnahmen." An welche Daten könnte welche Interessengruppe mit welchem Aufwand herankommen? Und mit welchem Ziel könnten sie wie verkauft, veröffentlicht oder anderweitig genutzt werden? Um Gefahren durch potenzielle Hacker zu erkennen, müssen sich Gerhager und seine Leute in die Gedankenwelt der Hacker hineinversetzen.

      "Es ist ja auch nicht mehr so, dass nur die Nerds hacken, die das Ganze aus Leidenschaft und Neugier machen", sagt Gerhager. Immer gefährlicher: die sogenannten Hacker in Nadelstreifen, die Daten gezielt erbeuten und dann auf dem Markt verkaufen wollen.

      Datensicher: Gerhager ist auch für den Schutz der Daten auf dem Kundenportal Meine Allianz verantwortlich.

      Foto: Enno Kapitza

      Bei etwa 350 Allianz Projekten im Jahr ist der Sicherheitsstab mit einbezogen. Wenn es um neue Bezahlkarten für den Gang in die Kantine geht. Oder die Anschaffung von Mini-PCs. Oder den neuen Internetauftritt von allianz.de – zum Beispiel.

      Weil Gerhager und sein Team das nicht allein schaffen, bilden sie intern Projektleiter zu "Project Security Officers" aus, die sich um die Umsetzung der Vorgaben kümmern. Außerdem helfen extern angeheuerte Hacker, die ganz legal ein System auf seine Schwachstellen hin überprüfen. "Hacker sind einfach nur Leute, die Zugangssysteme umgehen, sie sind aber nicht per se böse", sagt Gerhager. "Es kommt nur darauf an, für wen sie arbeiten."

      Allerdings werden sie immer professioneller. Auf seinem Notebook öffnet Gerhager eine Mail, auf die er vor einigen Monaten selbst fast hereingefallen wäre. Cyberkriminelle hatten sich als Mitarbeiter des Bezahldienstes PayPal ausgegeben und ihn in einer Mail aufgefordert, die Daten seiner neuen Kreditkarte einzugeben. Dafür hatten sie einen Link eingebaut, der auf eine nachgebaute, aber täuschend echte PayPal-Website führte. "Dass meine Kreditkarte tatsächlich gerade abgelaufen war, wussten sie wahrscheinlich, weil sie vorher in einen Onlineshop eingebrochen waren."

      Physische und digitale Updates gehören zur Datenhygiene

      Ähnlich funktionierte 2011 der Angriff auf die Firma RSA Security. Sie stellt Zufallsgeneratoren in Form von Schlüsselanhängern her. Mit den Codes dieser "Tokens" müssen sich Benutzer zusätzlich zu einem Passwort ausweisen, wenn sie sich in bestimmte Systeme einloggen wollen. Das funktioniert so bei Firmen und Institutionen auf der ganzen Welt – auch bei der Allianz. Um an den dahinterliegenden Algorithmus zu kommen, schickten Hacker eine Mail an RSA und gaben sich dabei als der externe Personaldienstleister der Firma aus. Im Anhang wartete eine Spähsoftware, die unbemerkt in das Firmensystem eindringen konnte.

      "Die Angreifer wussten dann ziemlich schnell, wie die Codes erzeugt werden", erklärt Gerhager. "Damit konnten sie bei anderen Firmen einsteigen, die diese Technik nutzten – und so haben sie wahrscheinlich auch den Waffenkonzern Lockheed Martin gehackt." Die problematischen RSA-Tokens sind bei der Allianz längst ersetzt, eine etwaige Sicherheitslücke wurde geschlossen. So wie eben auch bei Computernutzern das Updaten der Systemsoftware zur Datenhygiene gehört.

      Gerhager sitzt in der Allianz Cafeteria, hat sein Notebook aufgeklappt und ruft Firmendaten auf. Sein privates MacBook ist jetzt zu seinem Arbeitsrechner geworden, fernab des Bürorechners. Das Prinzip dahinter heißt "Virtual Client Computing", das Gerhager mit einem Bienenstock vergleicht: "Im Rechenzentrum der Allianz hat jeder Mitarbeiter seine Wabe, die er sich auf jedes beliebige Gerät abbilden lassen und dann bearbeiten kann. Sein Arbeitsplatz existiert nur noch virtuell – dafür hat er immer und überall Zugriff." Praktisch, wenn man wie Gerhager einen Teil der Woche von unterwegs aus arbeitet.

      Die sensiblen Kundendaten verlassen den sicheren Abwehrring des Allianz Systems gar nicht, nur das Monitorbild wird auf den jeweiligen Rechner übertragen. Außerdem hat nach dem "Minimalprinzip" jeder Mitarbeiter immer nur Zugriff auf die Daten, die er wirklich braucht. Im Arbeitsmodus sind Speicherschnittstellen gesperrt, sodass Mitarbeiter keine Daten herunterladen können. Außerdem sind so nicht länger 30.000 Computer zu warten – Mitarbeiter nutzen Minirechner in ihren Büros oder gleich ihre privaten Geräte, wenn gewünscht. "Der einzige Nachteil ist die Verfügbarkeit, theoretisch", sagt Gerhager. Sollte das zentrale Allianz Rechenzentrum aber tatsächlich einmal ausfallen, gibt es noch Back-ups in Notfallrechenzentren, auf die automatisch umgeleitet werden würde.

      Mobil in jeder Hinsicht: Am eigenen Schreibtisch findet man Stephan Gerhager selten.

      Foto: Enno Kapitza

      Auch das neue Kundenportal ist vor Missbrauch geschützt

      Ähnlich wie der „Virtual Client“ funktioniert das Kundenportal Meine Allianz. Im Zuge der Digitalisierung haben sich neue Herausforderungen bei der Kommunikation mit Kunden ergeben. Nun können Kunden sich mit Nutzernamen, Passwort und bald auch optional über eine per SMS gesendete PIN in das Portal einloggen, wo nicht nur ihr Versicherungsordner in digitaler Form gespeichert ist. Dort warten auch Nachrichten mit Vertragsinformationen oder -änderungen. Per Mail kommt nur ein Hinweis, wenn etwas in diesem Postfach eingegangen ist.

      Vorsorglich wird beim Kunden vor Änderungen zurückgefragt

      Sollte es ein Hacker – rein theoretisch, trotz der Sicherheitshürden – einmal schaffen, sich anstelle des Nutzers in Meine Allianz einzuloggen, greifen Vorsorgemaßnahmen. "Wir fragen uns da: Was könnte jemand vorhaben? Wenn er zum Beispiel den Begünstigten bei einer Lebensversicherung ändert, geht automatisch ein Brief mit der Info an den Kunden." Bei allen sensiblen Datenänderungen wird der Kunde benachrichtigt. "Er hat so die Möglichkeit zu reagieren, wenn ihm irgendetwas komisch vorkommt." Die Rückfrage beim Kunden dient als zusätzliches Sicherheitsnetz.

      An Meine Allianz hat Gerhager selbst viel getüftelt, auch als Abteilungsleiter will und muss er beim Aufdecken und Beseitigen potenzieller Sicherheitslücken selbst Hand anlegen. "Ab und zu gönne ich mir das, dafür macht es mir zu viel Spaß. Auch wenn ich zu Hause surfe und eine schlecht programmierte Website sehe, muss ich einfach den Fehler finden." Die richtig guten Security-Leute seien "Spielkinder", sagt Gerhager. Und eigentlich redet er damit auch über sich: Mit seinen schwarzen stacheligen Haaren wirkt er jugendlich, die Statur eines Profibasketballers hat er auch nach seiner aktiven Zeit nicht verloren, und mit seinen beiden Töchtern fährt er in der Freizeit gern Skateboard. Gerhager entspricht eigentlich nicht dem Bild, das man von einem IT- und Sicherheitsexperten so hat. "In meinem Team sind schon ziemlich schräge Vögel", berichtet er amüsiert. "Das sind kreative Leute, die um die Ecke denken können und von denen es in Deutschland einfach viel zu wenige gibt."

      Sucht den Fehler: Bei jeder schlecht programmierten Webseite will Gerhager die Ursache dafür finden.

      Foto: Enno Kapitza

      Neue Mitarbeiter zu finden sei extrem schwierig. Dabei hilft ihm sein Hochschulengagement. Um auf dem neuesten Stand der Forschung zu bleiben, tauscht sich Gerhager nicht nur regelmäßig mit seinen Kollegen der anderen Dax-Unternehmen aus, sondern auch mit Studenten der Hochschulen München, Ingolstadt und Landshut. Dort hat Gerhager Informationstechnik studiert und damals mit Kommilitonen dem Systemadministrator manchmal das Leben schwer gemacht: Als dieser die Hinweise von Gerhager und seinen Kumpels auf die mangelnde IT-Sicherheit als Studentengewäsch abtat, fischten sie sein Passwort aus dem System und hängten es ans Schwarze Brett. Er änderte es, sie veröffentlichten es wieder. Sportlicher Studentenehrgeiz eben ...

      Gerhagers wissenschaftlicher Karriere hat die Sache nicht geschadet. Bis heute forscht er mit international renommierten Sicherheitsexperten an Datenschutzprojekten. Und vermittelt so den Studenten auch immer wieder Projekte, die frisch aus der Unternehmensrealität kommen.

      "IT-Sicherheit wird zukünftig in immer mehr Bereichen wichtig, zum Beispiel beim vernetzten Fahren", betont Gerhager. Auch auf dieser Baustelle wird Gerhager unterwegs sein, er will an den möglichen Risiken forschen, die durch die vernetzten Automobile der Zukunft entstehen können. Mit Studenten wird er – so der Plan – Hackerangriffe auf Airbags und Fahrassistenzsysteme simulieren. Denn nur wenn ein System oft genug angegriffen wurde, kennt man seine Schwachstellen – und das macht man am besten selbst.

      Jetzt informieren

      Schutz im Falle von Phishing-Schäden und Datenrettung:Allianz Hausratversicherung