Buchrezension „Network Hacking“

Hacker-Werkzeuge und mögliche Sicherheitsmaßnahmen

Seite: 2/2

Firmen zum Thema

Manchmal an der Realität vorbeigeschrieben

Weiter geht es mit verschiedenen Angriffsszenarien in Teil drei. Zunächst werden die Motive der Angreifer erklärt und verschiedene Typen (Hacker, Skriptkiddie, IT-Professional oder Normalanwender) klassifiziert. Motive wie Industriespionage werden nur gestreift, tatsächlich liegt der Schwerpunkt auf persönlichen Interessen (wie Neugier, Gier, Rache). Das entspricht, so krass es klingt, nicht mehr mit den heutigen Bedrohungsszenarien.

Materielle Vorteile, professionelle Datendiebe und Industriespione sind Realität, was gerade auch der erste Teil des Buchs unterstreicht. Die Autoren folgen mit verschiedenen Szenarien, etwa dem Datenklau vor Ort, Attacken auf Web-Server oder aufs WLAN. Diese Bereiche sind gut geschrieben und handeln jeweils ein Szenario verständlich und nachvollziehbar ab.

Was aber der Meinung des Autors nach zu kurz kommt, ist das Thema Social Engineering. Das hat zwar nicht direkt mit Angriffen auf Netzwerke zu tun, allerdings war Social Engineering bei den Attacken auf Google, RSA oder Forbes einer der zentralen Angriffspunkte. Kraft und Weyert reißen die Thematik mehrfach kurz an (etwa im Szenario „Malware-Attacken aus dem Internet“).

Einen dedizierten Unterbereich dazu, etwa bei der Tool-Vorstellung (mit dem Social Engineer Toolkit steht das passende Werkzeug ja bereit), vermisst man aber. Gerade in Unternehmen ist es wichtig, dass die IT-Verantwortlichen den Mitarbeitern das Thema Social Engineering nahe bringen und die Verhaltensweisen bei verdächtigen Anrufen oder Anschreiben trainieren.

Der letzte Teil beschäftigt sich mit Prävention und Prophylaxe. Hier greifen die Autoren tief in die Werkzeugkiste der Verteidiger, stellen praktische Tools wie den Microsoft Baseline Security Analyzer oder verschiedene Anti-Malware-Lösungen vor. Besonders interessant – und leider viel zu kurz - ist das Kapitel Company Networking. Dort werden konkrete Tipps und Hilfestellungen zum Aufbau einer IT-Sicherheitsstrategie gegeben und zwar so, dass sie sich auch von kleineren Unternehmen oder 1-Mann-IT-Teams umsetzen lässt.

Fazit: Wer braucht’s?

Diese Frage habe ich mir beim Lesen tatsächlich mehrfach gestellt. Es wird nicht ganz klar, wen die Autoren ansprechen wollen. Absolute Einsteiger fühlen sich schnell überfahren, kryptische Kapitelüberschriften wie „Rootkits – Malware stealthen“ helfen dabei wenig. IT- und Sicherheits-Profis lernen aus dem Buch wenig Neues, dazu sind die Kapitel zum Aufbau der IT-Strategie zu kurz. Auch die vorgestellten Tools sind meist die Endkunden- statt Unternehmensversion (vor allem bei den Anti-Viren-Produkten).

Das Buch dürfte daher ideal für Leser sein, die sich für IT-Sicherheit interessieren, das Thema aber bislang eher aus den Augenwinkeln betrachtet haben. Praktische Beispiele wären die IT-Verantwortliche oder Entwickler in kleinen und mittleren Unternehmen ohne dedizierten Sicherheitsverantwortlichen, die mehr über IT-Sicherheit, vorhandene Tools oder Strategien von Angreifern und Verteidigung lernen möchten.

(ID:42642515)