Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Bild: Shutterstock

Interview mit Sicherheitsexperte 

«Herr Friedli, nehmen auch Geheimdienstler an der Area41 teil?»

In Zürich startet am Montag die zweitägige Sicherheitskonferenz Area41. Ein Organisator spricht über gute Hacker und sogenannte Red Teams und verrät, warum ein Wikinger die Keynote hält. 



Herr Friedli, in Filmen konsumieren Hacker tonnenweise Koffein und Fast Food. Mit welchem anderen Vorurteil können Sie bei dieser Gelegenheit aufräumen?
Stefan Friedli: Der Ehrlichkeit halber müssen wir die Sache mit dem Koffein wohl bestätigen. Spass beiseite: Die meisten Klischees haben einen Funken Wahrheit in sich. Aber man muss schon sehen, dass die Industrie mittlerweile so gross ist, dass der stereotypische Nerd immer weniger repräsentativ ist. Viele unserer Teilnehmer sind zwar mit viel Enthusiasmus im Themenfeld der Sicherheit aktiv, aber die meisten von ihnen leben ein ziemlich normales Leben.

Stefan Friedli, Scip AG

Stefan Friedli ist Mitorganisator der Sicherheitskonferenz Area41 in Zürich. Bild: zvg

Von «War Games» zum Penetration Testing

Der Schweizer Computer-Sicherheitsexperte Stefan Friedli dringt beruflich in fremde Netzwerke ein, um Schwachstellen zu finden. Als Kind sah er den Hackerfilm War Games – und war sofort von dem Thema fasziniert.

Warum heisst die Konferenz Area41? Hat das etwas mit UFOs zu tun?
Der Name hat tatsächlich eine gewisse Ähnlichkeit mit der Area 51 in Nevada, die stört uns auch nicht im Hinblick auf die vielen Verschwörungstheorien, die sich darum ranken. Der Ursprung des Namens ist aber ein anderer: Der Verein, der Area41 ausrichtet, ist eine sogenannte DEFCON Group, die Gleichgesinnte sammelt und ihnen den Erfahrungsaustausch ermöglicht. In den USA tragen diese Gruppen den Prefix DC und anschliessend die Vorwahl des Gebietes, das sie abdecken. Internationale Gruppen, wie wir eine sind, nutzen bevorzugt den Ländercode und die Vorwahl der Landeshauptstadt, also DC4131. Der Name Area41 leitet sich davon ab, dass wir eine Sicherheitskonferenz in der Schweiz für die Schweiz machen.

«Für die einen sind es die Guten, für die anderen die Bösen, für nochmals andere sind Hacker einfach Menschen, die sich auf neugierige Art und Weise mit Technik auseinandersetzen.»

Täuscht der Eindruck, oder sind Sicherheitsexperten wie Ärzte, was die häufige Teilnahme an Fachkongressen betrifft?  
(lacht) Ich weiss nicht, ob es dazu statistische Erhebungen gibt und ob die Ärzte damit einverstanden wären. Aber es ist schon so, dass es mittlerweile enorm viele Konferenzen zum Thema Informationssicherheit gibt, die auch rege genutzt werden.

Warum sind solche Treffen im Always-Online-Zeitalter wichtig?
Ich denke, dass der persönliche Kontakt sehr geschätzt wird. Area41 zum Beispiel hat eine Kapazität von knapp 500 Besuchern, die Vortragenden bewegen sich frei als Teilnehmer durch die Konferenz. Wenn ich in einer Präsentation eine interessante Technik sehe, die ich aber nicht ganz verstehe, kann ich den Referenten ansprechen und bei einem Bier darüber diskutieren. Via Skype ist das deutlich witzloser.

Soll man die Teilnehmer als Hacker bezeichnen?
Über das Wort «Hacker» streitet man sich immer mal wieder. Für die einen sind es die Guten, für die anderen die Bösen, für nochmals andere sind Hacker einfach Menschen, die sich auf neugierige Art und Weise mit Technik auseinandersetzen. Wir erheben keine genauen Statistiken zu unseren Teilnehmern, aber unsere Inhalte richten sich primär an Leute, die verstehen wollen, wie Angriffe funktionieren, aber auch wie man eine Umgebung dagegen verteidigen kann.

Die Keynote wird von Halvar Flake gehalten. Ein Wikinger in Zürich?
Halvar Flake ist in dem Falle ein Online-Handle, Halvar ist aber auch unter seinem zivilen Namen Thomas Dullien bekannt und respektiert. Er wird in seiner Keynote über ein unglaublich wichtiges Thema referieren: Wie kann man überhaupt mit absoluter Sicherheit feststellen, ob man gehackt wurde, in einer Zeit, wo man nur noch einen Teil seiner eigenen Infrastruktur wirklich auch selber besitzt. Eine Keynote soll ja ein Denkanstoss für den Rest der Konferenz geben – ich bin sicher, dass wir hier eine gute Wahl dafür getroffen haben.

Was sind aus Ihrer Sicht die weiteren Höhepunkte der zweitägigen Veranstaltung?
Das ist natürlich subjektiv, aber ich freue mich sehr auf die Vorträge von Dave Kennedy und Chris Nickerson. Beides sind alte Freunde, die ich aus professioneller Sicht enorm schätze. Dave Kennedy hatte vor einigen Monaten noch das Privileg, vor dem US-Kongress zum Thema healthcare.gov auszusagen. Gleichzeitig freue ich mich auch wahnsinnig darüber, dass wir auch dieses Jahr wieder einige Schweizer Referenten haben, die Arbeiten präsentieren, die sich im internationalen Wettbewerb ganz und gar nicht zu verstecken brauchen.

Stefan Frei von der ETH Zürich referiert über ein internationales Programm zum Kauf von Informationen über Sicherheitslücken, kurz IVPP.

Die Referate sind das eine, die informellen Gespräche das andere. Nehmen auch Geheimdienstler und Polizisten an der Konferenz teil?
Davon ist auszugehen, aber auch dazu erheben wir keine genaueren Daten. Wir haben auch keinen «Spot the Fed»-Contest, wie das zum Beispiel an der DEFCON in Las Vegas jeweils der Fall ist. Und grundsätzlich stehen unsere Tore so oder so allen offen. Wir haben auch Nationalrat Balthasar Glättli eingeladen, nachdem er in einem kontrollierten Experiment der «SonntagsZeitung» gehackt wurde.

Zu den wertvollsten Informationen der Branche gehören Sicherheitslücken, die noch niemand kennt. Werden an der Area41 sogenannte Zero Day Exploits gehandelt?
Tendenziell denke ich eher nicht. Es kann sein, dass eine solche Lücke «disclosed» wird, sprich, dass sie in einem Vortrag zum ersten Mal gezeigt und demonstriert wird. Das passiert oft an Konferenzen. Das ist aber ein normaler Prozess, der dann meistens direkt zur Information des Herstellers und der Entwicklung eines Patches führt. Der Markt, wo Schwachstellen gegen Bares gehandelt und getauscht werden, ist woanders.

Zu den Sponsoren von Area41 gehört Google. Das Unternehmen finanziert auch die Teilnahme von drei Computer-Forscherinnen. Warum ist das weibliche Geschlecht massiv untervertreten?
Da gibt es viele Faktoren, die für viele technische Felder gleich sind: Gender Bias, Stereotypen, das Klima an technisch orientierten Hochschulen und anderen Institutionen. Es gibt auch umfassende Studien zu dem Thema, deren Zusammenfassung auf ein paar Zeilen ich mir hier nicht zutraue. Dass Google gezielt Frauen fördert, ist aus meiner Sicht eine gute Sache. Generell hat sich die Frauenquote in den letzten Jahren erhöht, sowohl auf Seiten der Teilnehmer wie auch auf Seiten der Referenten.

Kürzlich wurde berichtet, dass die ETH sogenannte Penetration Tester ausbildet, also «gute» Hacker, die nach Schwachstellen in Computersystemen suchen. Wie beurteilen Sie dies?
Als unsere Firma 2002 gegründet wurde, gab es noch kaum bis gar keine strukturierten Ausbildungen in dem Bereich. Gute Penetration Tester sind in der Schweiz auch heute noch schwer zu finden. Wenn die ETH hier einen Ausbildungsauftrag verfolgt, um die Situation zu verbessern, dann ist das keine schlechte Sache. «Penetration Tester» ist aber ein Berufsprofil, bei dem die Ausbildung der Erfahrung deutlich unterzuordnen ist. Dementsprechend gilt es abzuwarten, wie sich die Absolventen im freien Markt schlagen. Ich bin aber zuversichtlich.

«Es reicht nicht, eine Software herunterzuladen, zu installieren und auf ein Ziel zu richten.»

Sie gehören selber zum Red Team der Firma Scip AG und dringen im Auftrag von Firmen und staatlichen Stellen in Computersysteme ein. Warum heisst es Red Team?
Ich muss klarstellen, dass wir im Auftrag des Kunden in seine eigenen Systeme eindringen, nicht etwa in die von Dritten. Der Name Red Team stammt aus dem Militärumfeld, wo es eine Einheit beschreibt, die den Auftrag hat, die eigenen Truppen aus den Augen des Feindes zu betrachten. Und das ist ziemlich genau, was wir tun: Wir simulieren den Angreifer, modellieren Bedrohungen und Angriffsszenarien. Dann sitzen wir mit den Kunden zusammen und empfehlen Gegenmassnahmen.

Sie setzen sich für Qualitätsstandards beim Penetration Testing ein. Was sind dabei die Knackpunkte?
Penetration Testing ist relativ komplex. Man muss ein technisches Verständnis mitbringen, aber auch fähig sein, Risiken einzuschätzen und den Bezug zu den geschäftlichen Prozessen des Kunden herzustellen. Es reicht nicht, eine Software herunterzuladen, zu installieren und auf ein Ziel zu richten. Sie haben vorher einen Vergleich zu Ärzten gemacht: Nur weil ein Laie zwei Stunden lang mit einem Stethoskop an Ihrem Arm herumdrückt, heisst das noch lange nicht, dass Sie gesund sind. Darum sind Qualitätsstandards, wie wir sie mit dem PTES verfolgen, ein wichtiger Schritt zur weiteren Professionalisierung der Branche.

Grossbanken und andere Finanzkonzerne setzen seit Jahren auf unabhängige Experten, um die eigenen Sicherheitsmassnahmen zu prüfen. Bei welchen Branchen besteht Nachholbedarf?
Meine Firma arbeitet international und allgemein kann man sagen, dass unsere Schweizer Kunden ein ziemlich gutes Gespür für die Risiken im Technologiebereich besitzen. Aber es ist schon so, dass Firmen, die nicht so exponiert sind wie etwa Banken, eher nachlässiger sind. Vor allem bei KMUs fehlt oft das Bewusstsein und vor allem die Manpower.

Könnten Sie mit der geballten Kraft der in Zürich versammelten Sicherheitsexperten jedes System knacken?
Ich bin sicher, dass an der Area41 enorm viel an Erfahrung und technischer Fähigkeit auf engem Raum zusammenkommt. In der Regel sind unsere Teilnehmer aber darauf bedacht, in Vorträgen dazuzulernen und abends gemütlich bei einem Bier mit alten und neuen Freunden aus aller Welt zusammenzusitzen und vielleicht ein paar Geschichten auszutauschen. Gehackt wird dann vermutlich am Mittwoch wieder, zurück am Arbeitsplatz oder zuhause.

Das könnte dich auch interessieren:

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel

Biden, Warren oder Sanders? Das Rennen der Demokraten wird zum Dreikampf

Link zum Artikel

Jack Ma tritt als Alibabas Vorsitzender offiziell zurück, aber ...

Link zum Artikel

Das sind die 50 besten Spieler in «FIFA 20» – Piemonte Calcio zweimal in den Top 15

Link zum Artikel

12 neue Serien, auf die du dich im Herbst freuen kannst

Link zum Artikel

In China sind gerade 100 Millionen Schweine gestorben – das musst du wissen

Link zum Artikel

Hat Bill Gates ein schmutziges Geheimnis?

Link zum Artikel

In Jerusalem verschwinden hunderte Katzen auf mysteriöse Weise – was ist bloss los?

Link zum Artikel

«... dann laufen sie hier 3 Tage besoffen mit geklauten Stadion-Dingen rum»

Link zum Artikel

Mit 16 der jüngste Torschütze in Barças Klub-Geschichte – 8 Fakten zu Ansu Fati

Link zum Artikel

Boris Johnson verliert wegen eines Überläufers die Mehrheit und ist jetzt in argen Nöten

Link zum Artikel

Ausschreitungen bei Demo in Zürich

Link zum Artikel

Xherdan Shaqiris Alleingang ist ein fatales Zeichen

Link zum Artikel

Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen

Link zum Artikel

«Diese Wahlen widerlegen eine oft genannte These über die AfD»

Link zum Artikel

Wawrinka über Djokovic: «Dass er den Platz so verlassen muss, ist natürlich nicht schön»

Link zum Artikel

«Soll ich die offene Beziehung mit dem 10 Jahre Älteren beenden?»

Link zum Artikel

Messi darf Barça ablösefrei verlassen +++ Pa Modou wieder beim FC Zürich

Link zum Artikel

Kim Tschopp zeigt den grossen Unterschied zwischen Realität und Instagram

Link zum Artikel

Wie viel Schweizer Parteien auf Facebook ausgeben – und warum wir das wissen

Link zum Artikel

Der Roadie, der mich Backstage liebte (und mir biz Haare ausriss)

Link zum Artikel

Für Huawei kommts knüppeldick – neue Handys müssen auf Google-Apps verzichten, sagt Google

Link zum Artikel

Die Hockey-WM lehnt den «Eisenbahn-Deal» ab – und das ist schlicht lächerlich

Link zum Artikel

Netflix bringt 10 Filme in die Kinos – und die hören sich grossartig an

Link zum Artikel

Verrückt, aber wahr – Stuckis Sieg, der keiner war

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

0
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

Das Fairphone 3 ist da – und es ist das erste faire Handy, das wirklich gut ist

Die niederländische Initiative Fairphone hat die dritte Generation ihres fair produzierten Smartphones enhüllt. Der Hersteller verspricht, das Smartphone fünf Jahre lang mit Updates zu versorgen.

«Das Fairphone 3 beweist, dass Fairness und ein schonender Umgang mit Ressourcen mit Komfort und technischen Möglichkeiten vereinbar sind», sagte Firmenchefin Eva Gouwens am Dienstag in Berlin.

Fairphone hat sich vorgenommen, möglichst viele Bauteile seiner Smartphones nachhaltig und unter menschenwürdigen Bedingungen produzieren zu lassen. Das betrifft zum einen die Fertigung des Smartphones. Weiterhin versucht das Unternehmen, die Rohstoffe für das Smartphone aus «fairen» Quellen zu …

Artikel lesen
Link zum Artikel