Ubiquitous Security – ganz gewöhnliche Angriffsvektoren

Gefahren für die IT- und Datensicherheit realistisch einschätzen

Seite: 2/3

Firma zum Thema

Risiko-Bewertung fällt Unternehmen schwer

Die Verantwortlichen in Unternehmen stehen heute vor einem Dilemma: Die Vernetzung in und unter Unternehmen wird jeden Tag komplexer, dennoch sind den Verantwortlichen immer nur einzelne Sicherheitsrisiken bekannt. Oft fehlt demnach ein Gesamtbild des Risikos. Problematisch wird dies insbesondere dann, wenn Geräte, die eigentlich für harmlos gehalten werden, auf einmal ein großes Problem darstellen.

Um sich ein möglichst umfassendes Bild von Sicherheitsrisiken machen zu können, führen viele Unternehmen Penetrationstests durch. Im Rahmen von diesen Tests werden Schwachstellen identifiziert, die auch ein Angreifer finden und ausnutzen würde. Sinnvollerweise führen externe Dienstleister solche Pentests durch. Auf diese Weise wird vermieden, dass sich eine bestehende Betriebsblindheit im Rahmen des Tests fortsetzt und entscheidende Schwachstellen übersehen werden.

Viele Firmen setzen jedoch immer noch auf das Prinzip, „Da schützt uns doch unsere Firewall“. So verwundert es nicht, wenn ein Kunde bei einem Pentests beauftragen will, die Firewall zu prüfen. Dagegen spricht aber die Praxis: Nur sehr selten wird die Firewall selber zum Sicherheitsproblem.

Kaum verwunderlich, denn dieses System ist speziell gehärtet. „Problematischer sind eher andere Systeme, klassischerweise Webserver“, argumentiert Penetrationstester Jens Liebchen. Denn der Trend, unzählige Applikationen heute webbasiert zu gestalten, hält weiter an. Dadurch vergrößert sich aber auch die potentielle Angriffsoberfläche.

Besonders leicht übersehen werden dadurch Schwachstellen, die so überhaupt nicht vermutet werden. Sei es ein Netzwerkkabel an einer Überwachungskamera, das direkten Zugriff ins interne Netz ermöglicht, ein Archivserver, der die vertraulichen Faxe archiviert und somit leider auch per Webserver bereitstellt. „Oder auch die neue VoIP-Telefonanlage mit der ein Angreifer von jedem Telefon aus andere Räume abhören kann“, sagt Liebchen.

Gefahren realistisch einschätzen

Spätestens seit Dezember 2008 ist öffentlich bekannt, dass eine Vielzahl von DECT-Telefonen sehr einfach abgehört werden können. Wichtig zur realistischen Einschätzung von Gefahren ist der Grundsatz, dass ein Angreifer normalerweise immer die einfachste Möglichkeit wählt, mit der er sein Ziel erreichen kann.

„Die Gefahr der Industriespionage per DECT muss in der Praxis als hoch eingeschätzt werden“, stellt Jens Liebchen fest. Immerhin sei das Abhören von DECT-Telefonen in der Praxis sehr einfach durchzuführen, die hierfür benötigten finanziellen Mittel vergleichsweise gering und die Verbreitung von DECT-Telefonen gleichzeitig sehr hoch.

Seite 3: Sicherheitsmaßnahmen schlichtweg vergessen

(ID:2041882)