Suchen

Ubiquitous Security – ganz gewöhnliche Angriffsvektoren Gefahren für die IT- und Datensicherheit realistisch einschätzen

| Redakteur: Stephan Augsten

Das anhaltende Rätselraten um die Verbreitung des Conficker-Wurms verdeutlicht vor allem eines: Die Nachlässigkeit vieler Unternehmen, ihre Sicherheitsmaßnahmen und -richtlinien in der Praxis konsequent umzusetzen und einzuhalten. Schließlich hätte ein Patch oder zumindest der optionale Workaround die entsprechende Sicherheitlücke außer Kraft gesetzt.

Firmen zum Thema

Realitätsfremd: Es müssen nicht grundsätzlich Hacking-Attacken sein, bei denen Daten in fremde Hände fallen.
Realitätsfremd: Es müssen nicht grundsätzlich Hacking-Attacken sein, bei denen Daten in fremde Hände fallen.
( Archiv: Vogel Business Media )

Die häufigste Ursache für die eine oder andere kleine Security-Katastrophe im Unternehmen sehen Experten weniger in einer bewussten Verletzung von Regeln begründet, sondern vielmehr in einem mangelhaften Überblick. Und zwar über die Gesamtheit der IT-Systeme und aller daran angedockten Applikationen.

Indizien dafür gibt es laut Raimund Genes, CTO Anti-Malware bei Trend Micro, zuhauf: „Warum betreiben Unternehmen kein systematisches Patch-Management, verwenden schwache Passwörter oder verfügen über keine ausgeprägte Kontrolle der USB-Schnittstellen und -geräte?“

Dass es den Unternehmen oftmals an der notwendigen Übersicht fehlt, bestätigt auch Sebastian Schreiber von der Syss GmbH, ein IT-Spezialist, der sich im Auftrag von Unternehmen auf das Penetrationstesten konzentriert. „Wenn man von außen auf die Applikationen schaut, entdeckt man häufig schon beim ersten Testen der relevanten Schwachstellen eine Art Betriebsblindheit.“

Dies sei jedoch meist keine bewusste Absicht, sondern eher organisatorisches Unvermögen. Hinzu kommt aber noch ein weiteres Element: „Wer die Mechanismen der Angreifer nicht kennt, kann auch keine wirksame Verteidigungslinie aufbauen“, so Schreiber weiter.

Welche hohe oder manchmal auch ganz triviale Kunst die Eindringlinge anwenden, erläutert Jens Liebchen von RedTeam Pentesting in Aachen, ein ausschließlich auf die Durchführung von Penetrationstests spezialisiertes Unternehmen. „Die Angreifer handeln grundsätzlich zielorientiert“, betont der Experte.

Es geht auch einfach

Dies bedeute, dass sich die Angriffsarten in der Praxis stark unterschieden. „Solange vertrauliche Dokumente nicht sicher vernichtet werden, besteht für einen Angreifer gar keine Notwendigkeit, einzelne Computer über technische Hürden hinweg zu infiltrieren“, weiß Liebchen. Denn eine effektive Form des klassischen Social Engineering besteht darin, an den Papiermüll und damit an die Dokumente zu gelangen (Dumpster Diving).

In der Praxis sind die Unternehmen demzufolge mit allen Arten von Angriffen konfrontiert: Vom einfachen Diebstahl bis hin zu technisch sehr komplexen Angriffen über das Netzwerk. „Teilweise machen es Unternehmen Angreifern heute zu leicht, ihre Ziele zu erreichen. So finden sich immer noch ungeschützte Funknetze oder andere trivial auszunutzende Sicherheitslücken in Firmennetzen“, gibt Jens Liebchen zu bedenken.

Seite 2: Risiko-Bewertung fällt Unternehmen schwer

(ID:2041882)