Klugen Köpfen kluge Fragen zu stellen, ist eine Kunst.
Mal provokant, aber stets charmant, fühlt Dr.-Ing. Katharina Knaisch mit viel Fingerspitzengefühl interessanten Persönlichkeiten auf den Zahn. Ein Interview über Erfolgsgeschichten, den Erfolgsfaktor Mensch und all das, was sich eben nicht googeln lässt.
Ihr aktueller Gesprächs-Gast: Diplom-Wirtschaftsingenieur Armin Harbrecht, Mitgründer und Geschäftsführer der IT-Sicherheitsberatung aramido GmbH. Ein sogenannter White-Hat-Hacker mit einem Faible für ferne Inseln.
Herr Harbrecht, wenn Sie morgens in Ihre IT-Firma kommen, mit wem – und jetzt mal Hand aufs Herz – arbeiten Sie lieber: mit Menschen oder mit Computern?
Ganz ehrlich, das ist abhängig von der Tagesform. Mal zieht es mich zu den Menschen, mal beschäftige ich mich in der Alltagshektik lieber mit der Technik. Aber eine Präferenz habe ich nicht, ich mache beides gerne. Und das ist auch der Erfolg unseres Unternehmens. Wir generieren Sicherheit durch das Zusammenspiel von Menschen, Technik und Prozessen. Das eine geht nicht ohne das andere.
Zumindest noch nicht. Inwieweit spielt künstliche Intelligenz (KI) bei Ihnen im Firmenalltag bereits eine Rolle? Welchen Einfluss hat KI auf die IT-Sicherheit?
Gerade die Entwicklung rund um ChatGPT verfolgen wir als Sicherheitsberater natürlich ganz genau. Wir experimentieren selbst mit diesem Chatbot, um Risiken und Gefahren für unsere Kunden abzuwägen. Durch KI kann Social Phishing noch realistischer, noch fokussierter eingesetzt werden. Beispielsweise zielen bestimmte Phishing-Mails inzwischen auf Stellenanzeigen ab, mit geklauten Fotos aus LinkedIn. Noch beinhalten diese gestreuten Mails nur einen automatisierten Standard-Text. Aber stellen Sie sich mal vor, wenn es mittels KI möglich wäre, die perfekte Bewerbung auf eine vakante Stelle zu verfassen, mit einem individuellen Text und einem Anhang, der an den Standard-Virenscannern vorbeikommt? Und wenn dann noch eine künstliche Stimme bei der Personalabteilung höflich nachfragt, ob die Bewerbung denn auch angekommen ist – welcher Personaler würde nicht auf den Anhang klicken, um diesen interessanten Bewerber kennenzulernen?!
Das heißt, dass hinter einer perfekten Bewerbung nichts anderes als ein perfider Viren-Angriff stecken kann?
Genau das soll es heißen. Und es gibt immer mehr Möglichkeiten, dieses Verfahren zu individualisieren. Nehmen wir den typischen Enkeltrick, der seit Längerem per WhatsApp kursiert, mit einem Text wie „Hallo Mama, hallo Papa, ich brauche Hilfe.” Mittels KI ist man in der Lage, aus einem Sprachschnipsel die Stimme des vermeintlichen Kindes nachzuahmen.
Und plötzlich bekommen Sie einen Anruf mit der weinenden Stimme Ihres Kindes, das erzählt, dass es einen Autounfall hatte und dringend Geld braucht … das ist noch mal eine ganze andere Hausnummer! In diese Richtung kann man sich leider sehr viel Böses vorstellen. Aber auch als Verteidiger kann man die KI-Werkzeuge nutzen: beispielsweise um bei der Netzwerk-Überwachung normales Verhalten zu lernen und Anomalien zu erkennen.
Das klingt, als hätten Sie auch das Zeug zum perfekten Bösewicht …
Wir machen tatsächlich manchmal Scherze darüber, wenn wir wieder mal einen simulierten Angriff bei einem Kunden erfolgreich gestartet haben. Würden wir uns Social Hacking bedienen, würden wir sicherlich sehr schnell sehr reich werden können. Aber wir machen dies ja nicht aus finanziellen Anreizen, sondern um die Menschen zu schützen. Wir als White-Hat-Hacker sind das Gegenteil von Black-Hat-Hackern. Und auf der guten Seite fühlen wir uns wohl.
Diese Ethik spricht für Ihre Professionalität. Welche ethischen Grundsätze verfolgt denn der Privatmann und der Papa in Ihnen?
Ich bin und war schon immer jemand, der Werte gelebt hat. Zum Ende meines Studiums habe ich sogar ein Buch über „Social Entrepreneurship“ veröffentlicht. Darüber, dass die Motivation des Unternehmers den Unterschied macht zwischen einem sozial orientierten und einem gewinnorientierten Unternehmen und, dass man mit unternehmerischen Mitteln positive Wirkung erzielen kann – und auch sollte. Gewinn ist Mittel, nicht Zweck. Ich möchte auch bei aramido nicht jede Aktion machen müssen, nur um den Gewinn zu maximieren. Genau diesen Werten, diesem Anspruch, möchte ich nicht nur beruflich gerecht werden, sondern ebenso privat. Und als Papa versuche ich, diese positiven Wertegefühle an meine Kinder weiterzugeben.
Sie haben vorhin erwähnt, als White-Hat-Hacker die Schwachstellen bei Unternehmen zu (er-)kennen. Wissen Sie denn auch im Umkehrschluss, wo die Stärken liegen? Wie motivieren Sie Ihre Mitarbeitenden und wie motivieren Sie sich selbst?
Ich benutze das Wort Motivation eher ungern in diesem Kontext. Denn Schwachstellen werden meist mit Angst und Druck assoziiert, das wirkt allein schon ziemlich motivierend. Allerdings nur kurzfristig. Für mich liegt eine nachhaltige Motivation darin, gemeinsam mit den Kunden positive Ziele zu bestimmen und zu entwickeln.
Bei uns und unseren Mitarbeiterinnen und Mitarbeitern steht die gute Sache im Vordergrund, das ist ein wichtiger Bestandteil unserer Motivation. Und obendrein macht die Arbeit bei uns Spaß. Es ist eine wunderbare Herausforderung, sich täglich mit komplexen Problemen auseinanderzusetzen, um die digitale Gesellschaft sicherer zu machen.
Die gute Sache allein bezahlt allerdings keine Rechnungen. Was muss aus Ihrer Sicht ein Firmengründer als Eigenschaften mitbringen, um erfolgreich zu sein?
Ich glaube, so etwas wie das perfekte Gründer-Gen gibt es nicht. Ich bin noch heute viel im Austausch mit anderen Gründern und da sind schon sehr unterschiedliche Charaktere dabei. Was uns aber alle verbindet, ist, eine Idee zu verfolgen. Eine Vision für die Zukunft zu haben und eben den unbedingten Wunsch, diese Vision tatsächlich umzusetzen. Du musst anpacken können und du brauchst Durchhaltevermögen. Damit sind schon die besten Voraussetzungen geschaffen.
Viel Freizeit bleibt da sicherlich nicht. Wie finden Sie Ihren Ausgleich?
Ich habe gar nicht so das Bedürfnis nach einem Ausgleich, weil sich meine Arbeit nicht wie Arbeit anfühlt. Ich liebe das, was ich tue. Ich habe Spaß daran und gehe wirklich mit einer Freude in die Firma. Nichtsdestotrotz besteht das Leben aus vielen Facetten. Ich habe meine Familie, mache Sport, liebe das Reisen. Die größte Herausforderung besteht für mich darin, all das, was mir wichtig ist, unter einen Hut zu bekommen. Mich irgendwie aufzuteilen und meinen Tag flexibel zu gestalten.
Sie bezeichnen sich selbst als „Reisender “. Haben Sie einen Lieblingsort?
Ich habe eine Sammelleidenschaft für Inseln. Polynesien steht noch auf meiner Liste der Orte, die ich noch besuchen will. Meine Lieblingsplätze bisher sind die Seychellen, die Azoren und Culebra vor Puerto Rico.
Und wenn Sie auf der Insel sind, herrscht dann Funkstille oder wird am Strand fleißig weitergearbeitet?
Eher Letzteres muss ich gestehen. Ich kann am besten abschalten, wenn ich nicht abschalten muss und weiß, dass ich irgendwie im Notfall erreichbar bin. Ich gehöre auch zu denen, die lieber im Urlaub zwischendurch ihre Mails checken als zu Hause dann einen riesigen Berg von digitaler Post abzuarbeiten. So etwas stresst mich mehr.
Wie oft wechselt der IT-Profi seine Passwörter?
Die Empfehlung von früher, alle 90 Tage die Passwörter zu wechseln, ist längst überholt. Wissenschaftliche Untersuchungen zeigen sogar, dass es eher schädlich ist, häufig das Passwort zu wechseln, weil man so dazu tendiert, eher einfache Passwörter zu verwenden. Das wiederum macht es für einen Hacker sehr leicht. Meine Passwörter werden darum zu 98 Prozent von meinem Passwort-Manager generiert und gespeichert. Diese Passwörter kenne ich nicht. Und dann gibt es eben eine ganz kleine Anzahl an Passwörtern wie für meinen Rechner oder eben für den Passwort-Manager, die ich mir merken muss. Und diese Passwörter tausche ich darum nie aus. Es sei denn natürlich, ich hätte den Verdacht, dass diese Passwörter in falsche Hände gekommen wären.
Apropos falsche Hände: Was ist denn abschließend Ihr wichtigster Tipp in Sachen IT-Sicherheit für alle, die dieses Interview lesen?
Die größte Gefahr derzeit sind Schadprogramme, sogenannte Ransomware, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Das kann jeden treffen. Daher ist mein Tipp: ein solides Backup! Am besten sogar ein mehrstufiges Backup. Das wird immer noch vernachlässigt. Viele Angreifer hacken übrigens den Admin-Account, um zuerst im Hintergrund sämtliche Backups zu löschen und schicken dann erst die Erpresser-Mail ab. Daher sollten Backups so gesichert sein, um das Löschen möglichst kompliziert zu gestalten. Das schreckt Angreifer ab.
Auch die vermehrte Verwendung von Cloud-Diensten birgt neben vieler Vorteile einige Risiken. Wer keine Zwei-Faktor-Lösung hat, bei dem ist es nur eine Frage der Zeit, bis der Account über Phishing oder Brute-Force, also das systematische Ausprobieren von Passwörtern, gehackt wird. Meine Empfehlung: unbedingt eine Zwei-Faktor-Sicherung einsetzen. Und sich bei einem White-Hat-Hacker zu melden, der die eigenen Sicherheitsvorkehrungen auf die Probe stellt.
Herr Harbrecht, wir danken Ihnen für dieses Gespräch.
Vita:
Armin Harbrecht hat sein Studium des Diplom-Wirtschaftsingenieurwesens in Karlsruhe absolviert, dazu seinen Master of Business Administration (MBA) in den USA. Er arbeitete in England und China, gründete 2003 mit HOLZundEISEN sein erstes internetbasiertes Unternehmen für die Trendsportart Crossgolf. 2007 folgte der Aufbau der Privatunterkunftsplattform gloveler, Vorreiter der Sharing Economy. 2015 gründete der Familienvater gemeinsam mit Andreas Sperber die Sicherheitsberatung aramido GmbH mit Sitz in Karlsruhe.