Sobald ein Rechner mit dem Internet verbunden ist, besteht die Gefahr, dass er gehackt wird. In den letzten Jahren wurde häufig über internationale Konzerne berichtet, die gehackt wurden, um geistiges Eigentum, sensible Informationen und vieles mehr zu stehlen. Einige dieser äußerst schädlichen Zwischenfälle richteten sich auch gegen namhafte deutsche Unternehmen.
Das zeigt, dass Deutschland sich nicht länger in Sicherheit wiegen kann und alle Unternehmen, vom Großkonzern bis hin zum innovativen, mittelständischen Weltmarktführer dem Risiko ausgesetzt sind, das nächste Opfer zu sein.
Wie schaffen es Hacker trotz all der am Markt erhältlichen Sicherheitslösungen dennoch, ins Netzwerk zu gelangen? Die Standardprogramme zur Verteidigung, wie Antiviren-Software, Firewalls, Spam-Filter und Lösungen zur Intrusion Detection können einige der zielgerichteten Attacken verhindern – egal ob gegen eine Person, ein Computer oder eine Datenbank.
Aber was ist mit den hochentwickelten Angriffen, die sich immer mehr häufen? Angriffe, bei denen Hacker ihre Opfer sehr viel klüger täuschen. Hacker schicken Nachrichten, die aussehen, als kämen sie von einem Kollegen oder Kunden oder nutzen Namen und Vorfälle, die eigentlich nur Insider kennen können. Darüber hinaus gibt es Attacken, die bekannte Sicherheitslücken häufig eingesetzter Software nutzen, um an Identitäten zu gelangen und sich damit Zugriff auf das Unternehmensnetzwerk zu verschaffen.
Wie können sich Unternehmen auf derartige Angriffe vorbereiten? Hier können Penetration Tester oder sogenannte Ethical Hacker helfen. Diese Sicherheitstester werden engagiert, um die Sicherheitsvorkehrungen in Unternehmen zu umgehen und so zu testen, wie gut diese Maßnahmen hochentwickelte Angriffe abwehren. „Wir werden von Unternehmen beauftragt, diejenigen Angriffsarten durchzuführen, die auch die Cyber-Kriminellen, einsetzen“, erklärt John Yeo, EMEA Director bei Trustwave. Trustwave ist im Bereich Ethical Hacking mit mehr als 10 Jahren Erfahrung einer der Vorreiter und führt jährlich tausende dieser Tests durch. Das Ziel der Penetration Tests ist dabei, potentielle Eintrittspunkte in das Unternehmensnetzwerk aufzudecken und die Mitarbeiter gegen die raffinierten Tricks der Hacker zu sensibilisieren.
Viele Ethical Hacker recherchieren auf Social Media Seiten oder rufen Mitarbeiter im Unternehmen an, in der Hoffnung, nützliche Informationen zu ergattern. Bei einem Angriff reicht häufig eine Nachricht an eine Handvoll Senior Executives, um eine enorme Menge an Informationen zu gewinnen. Trustwave hat darüber hinaus ein eigens ein Tool entwickelt, um die große Menge an Informationen, die aus Quellen wie Sozialen Netzwerken, Foren, Blocks, elektronischen Mailinglisten oder ähnlichem stammen, für Social Engineering Zwecke zu nutzen und so an gewünschten sensiblen Informationen ihrer Opfer zu gelangen. Durch die Kombination von Data Mining und Natural Language Processing (linguistische Datenverarbeitung) kann mit Hilfe dieser Daten ein Nutzerprofil für zielgerichtete, individuelle Attacken erstellt werden, was es noch einfacher macht, die Mitarbeiter zu überlisten.
Das Ziel der Ethical Hacker ist es, jemanden innerhalb des Unternehmens dazu zu bewegen, einen Fehler zu begehen, der die Tür für weitere Angriffe öffnet. Inzwischen wissen die meisten Nutzer natürlich, dass Phishing-E-Mails und deren Anhänge nicht geöffnet werden sollen und es auch nicht ratsam ist, die in diesen E-Mails enthaltenen Links zu klicken. Sehen die Nachrichten aber den Mails eines Kollegen, Kunden oder Freundes täuschend ähnlich, bieten sie eine einfache Möglichkeit, um an Login-Daten zu gelangen. Darüber hinaus hilft es den Angreifer enorm, über die Hobbies der anvisierten Opfer Bescheid zu wissen und wo sie sich online darüber informieren. Webseiten und Foren, auf denen über Hobbies und Sport diskutiert wird, sind nicht hinreichend geschützt. Sie bieten sich daher an, um dort bösartige Links für das Opfer zu hinterlassen, mehr über den Computer des Opfers zu erfahren, seine Schwachstellen herauszufinden, die Login-Details zu erhalten oder sogar um den PC per Fernzugriff zu kontrollieren. Diese Fallen funktionieren am besten, wenn Anwender die Software auf ihrem Rechner nicht regelmäßig updaten.
Allerdings sind nicht immer fortschrittliche Tools oder technisches Wissen nötig, um an die gewünschten Informationen zu gelangen. Manchmal sind es einfache Fehler, wie die Wahl eines schwachen Passworts, z.B. Passwort01. Es kann einfach erraten oder noch einfacher von einem Computer ermittelt werden, der tausende von Möglichkeiten innerhalb einer Sekunde prüfen kann.
Darüber hinaus setzen Ethical Hacker auch physische Methoden zum Test von Sicherheitssystemen. Die Ethical Hacker bei Trustwave machen sich dabei die Neugier der Angestellten als Türöffner zu Nutze und hinterlassen USB-Sticks und CDs in Waschräumen, Einfahrten oder in Cafés in der Nähe derjenigen Unternehmen zurück, von dem sie engagiert wurden. Versehen mit dem Unternehmenslogo oder dem Logo eines Mitbewerbers und dem Verweis „vertraulich“ werden die von Mitarbeitern gefundenen Datenträger in den Computer gesteckt. Da diese Datenträger Malware enthalten, ist es einfach, damit auf den Computer des Opfers zuzugreifen.
Ein anderer Weg, um Schwachstellen bei der Sicherheit herauszufinden, sind „persönliche Sicherheitsverletzungen“ – Ethical Hacker erschleichen sich den Weg in das Büro und erhalten so Zugang zu sensiblen Systemen. Sei es verkleidet als Postbote, als Brandschutzbeauftragter oder einfach mit Hilfe von Krücken – Ethical Hacker nutzen verschiedenste Tricks, um die Angestellten dazu zu bewegen, ihnen Türen zu öffnen. Sind sie erst einmal im Unternehmen, können sie einfach in Rechenzentren, Lagerräume und auch in die Vorstandsetage vordringen.
Unter dem Vorwand, ein Netzwerktechniker zu sein, der VoIP-Telefone repariert, ist es ebenfalls ein Leichtes, Zugang zu den Technikräumen für Telekommunikation zu erhalten und die Telefone anzuzapfen. Geben sich ein Angreifer als Gebäudeinspektor und ein zweiter als Gebäudemanager aus, erhalten sie leichter als gedacht uneingeschränkten Zugriff zu nahezu allen Räumen – dem Serverraum, zu allen Arbeitsplätzen, usw.
All diese Beispiele zeigen, dass es nicht länger die Frage ist, ob Angreifer in ein Unternehmen oder Netzwerk gelangen können. Es ist möglich. Umso wichtiger ist es zu bewerten, welchen Risiken ein Unternehmen ausgesetzt ist. Um die Sicherheit einer Netzwerkinfrastruktur bewerten zu können, muss klar sein, was geschützt wird und wie. Penetration Tests liefern Belege dafür, wie Angreifer die Mitarbeiter hinters Licht führen können und wie Abwehrmechanismen umgangen werden können. Zudem zeigen diese Tests auf, was ein Unternehmen im Falle eines solchen Angriffes alles verlieren kann. Ohne diese Überprüfung geben Unternehmen möglicherweise viel Geld für Sicherheits-Tools und Trainings aus, ohne dabei zu verstehen, wo wirklich ihre Schwachstellen liegen. Ethical Hacker hingegen können eine sehr genaue Vorstellung davon vermitteln, wie Angreifer aller Wahrscheinlichkeit nach vorgehen werden. Zudem helfen sie Unternehmen dabei, die richtigen Maßnahmen gegen solche Angriffe zu definieren. „Opfer“ eines solchen Penetration Tests zu sein ist für die Mitarbeiter eine unvergessliche Erfahrung. Das Gefühl, ausgetrickst worden zu sein, ist eine lehrreiche Lektion. Künftig werden sie genauer darauf achten, nicht überlistet zu werden. Ethical Hacking steigert letztendlich das Sicherheitsbewusstsein der Angestellten, macht das Unternehmen sicherer und hilft dabei, sensible Daten und geistiges Eigentum zu schützen.
Bild: John Yeo, Director Trustwave SpiderLabs
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“
Dateianlagen:
Mit Ethical Hacking die Sicherheit des Unternehmens testen