Daten- und Kommunikationssicherheit

So arbeiten Hacker und Datendiebe wirklich

| Autor / Redakteur: Björn Schwabe / Peter Schmitz

Wer sich erfolgreich gegen Hacker wehren möchte, der sollte IT-Sicherheit von Anfang an einplanen und seine gesamte IT-Landschaft dem Thema unterordnen.
Wer sich erfolgreich gegen Hacker wehren möchte, der sollte IT-Sicherheit von Anfang an einplanen und seine gesamte IT-Landschaft dem Thema unterordnen. (Bild: Pixabay / CC0)

IT-Sicherheit ist mitten unter uns. Wer diese Aussage für eine bloße Plattitüde hält, der sollte sich kurz die Zeit nehmen, das Vorgehen eines Hackers an einem konkreten Beispiel zu beobachten. Ein ehemaliger Berufs-Hacker zeigt, wie schnell Cyber­kriminelle oft erfolgreich sind, auch bei Unternehmen die glauben geschützt zu sein.

Ein Hacker hat ein Unternehmen ausgespäht, dessen Daten ihn interessieren würden. Gründe für dieses Interesse gibt es viele. Sie reichen von dem simplen Spaß an der kriminellen Handlung bis hin zu wirtschaftlicher Motivation. Damit der Datendieb die gewünschten Informationen erhält, muss er das IT-System kennen, mit dem er es im speziellen Fall zu tun hat. Dazu informiert er sich auf gängigen sozialen Netzwerken über Mitarbeiter der Ziel-Institution und wird schnell fündig: Bereitwillig werden online Interessen aufgelistet und Fortbildungen erwähnt, unter anderem in diversen Programmiersprachen. Durch bloße Beobachtung öffentlich einsehbarer Informationen hat unser Hacker die Informationen erhalten, die er braucht, um das Ziel-System zu identifizieren. Mit diesem Wissen kann er, eine Phishing-E-Mail erstellen, die interne Zugangsdaten von Mitarbeitern abfragt.

Solche Phishing-Mails sind so nah am Original, dass auch IT-Experten oft Schwierigkeiten haben, sie zu erkennen. Ein Beispiel der Möglichkeiten über die ein Angreifer hierbei verfügt ist der so genannte „Homographische Angriff“. Bei dieser Methode des so genannten „Spoofing“ wird das ähnliche Aussehen verschiedener Schriftzeichen dazu benutzt, eine falsche Web-Identität vorzutäuschen. Durch die frappierende Ähnlichkeit der jeweiligen Web-Adressen wird der Nutzer beispielsweise auf eine Phishing-Website gelockt. Genutzt werden Ähnlichkeiten von l (kleines L) oder I (großes I). Phishing-Domains können aber natürlich auch homographische kyrillische Zeichen für ihre Zwecke verwenden – sobald beispielsweise in russischem cyrilliac unicode „raural“ geschrieben wird, wird daraus „paypal“ und damit ein lohnenswertes Phishing-Ziel.

Phishing-Risiko Punycode-Domains

Gefälschte Domainnamen mittels Unicode

Phishing-Risiko Punycode-Domains

02.02.18 - Phishing ist alt, funktioniert für Cyberkriminelle aber immer noch blendend. Ein guter Schutz gegen Phishing sind aufmerksame Anwender, die bemerken wenn ein angeblicher Paypal-Link nicht zur Paypal-Webseite zeigt. Was aber, wenn Angreifer den User mit einer gefälschten Domain austricksen könnten, die sich augenscheinlich genauso schreibt wie die echte? Genau das schaffen Angreifer mit Punycode-Domains und längst nicht jeder Browser schützt Anwender davor. lesen

Sicherheit macht man nicht nebenbei

Schon dieses eine kleine Beispiel zeigt: „Security is not a feature. It is a process.“ Vielen Unternehmen ist das allerdings nicht bewusst. Sie feilen an komplexen IT-Systemen und beginnen dann später, meist viel zu spät, an die Sicherung dieser verzweigten, brüchigen Gebilde zu denken. Wer sich allerdings erfolgreich gegen Hacker zur Wehr setzen möchte, der sollte Sicherheit von Anfang an einplanen und seine gesamte IT-Landschaft dem Thema unterordnen. Ähnlich dem Mission Statement einer Firma, auf dem von Marketing über Mitarbeiterauswahl und Unternehmenskultur bis hin zum Personalmanagement alles aufbaut, so muss es auch eine Pyramide für das Thema Sicherheit geben, die fest verankert in einer unternehmensinternen Sicherheitskultur steht.

Die Folgen einer missachteten Sicherung können verheerende Ausmaße annehmen: Ein Beispiel für eine zu spät implementierte Sicherung gibt das elektronische Anwaltspostfach beA des Deutschen Anwaltvereins für die Kommunikation zwischen Anwalt und Gericht. Gravierende Sicherheitsmängel sorgten für einen Fehlstart, das beA wurde abgeschaltet. Besonders brisant: Es wurde festgestellt, dass beim beA bisher noch überhaupt nicht an die EU-DSGVO gedacht wurde.

Metasploit macht jeden zum Hacker

Überblick zu Metasploit

Metasploit macht jeden zum Hacker

03.04.18 - Wie bauen Angreifer eigentlich ihre Attacken? Das Metasploit-Framework liefert eine Antwort. Das vielseitige Werkzeug erlaubt das Erstellen von Angriffspaketen, samt passender Payloads zur Attacke auf unterschiedlichste Ziele. lesen

Für den Angreifer stehen viele Türen offen

Die beliebtesten Angriffsvarianten zu kennen, schafft zumindest das nötige Hintergrundwissen um drohendem Schaden vorzubeugen. Den ersten Platz der am häufigsten genutzten Angriffsvarianten (laut OWASP) belegt die so genannte „SQL Injection“. Hierbei wird ein bösartiger Code eingeführt. Dieser bewirkt, dass eine Datenbankabfrage geändert wird, da die Werte, die eingegeben werden, nicht überprüft, sondern direkt an die Datenbank weitergegeben werden. Auf diese Art kann eine Benutzername-/Passwort-Abfrage so verändert werden, dass der Angreifer plötzlich als berechtigter Benutzer gilt und sich so Zugang zu Bereichen verschafft, die eigentlich nur einer begrenzten Personenanzahl zugänglich sein sollten.

Broken Authentication wird außerdem gerne als Form der IT-Attacke genutzt. Am besten lässt sich der Sachverhalt am Beispiel eines Online-Shops erklären, der spontan vergebene Passwörter zulässt. Die Technik verlangt also nicht etwa nach Vorgaben wie 10 Buchstaben, 3 Zahlen und zwei Sonderzeichen oder ähnlichem. Das heißt, dass viele Benutzer die am häufigsten genutzten Passwörter haben können. Nun beginnt die Wahrscheinlichkeitsrechnung: Denn um Zugang zu einem Konto zu bekommen, bräuchte es jetzt nur noch die korrekte E-Mail für am häufigsten genutzte Passwörter.

Sicherheitslücke Mensch

Auf Unternehmensseite ist es der Mensch selbst, der Hackern in vielen Fällen die Türen öffnet. Das beginnt schon auf dem Weg zur Arbeit, auf dem Arbeitnehmer unbedacht Geheimnisse ausplaudern oder in sozialen Netzwerken von der letzten Betriebsfeier aufgrund einer Firmenübernahme berichten. Auch sicherheitsbewusste Menschen manchen manchmal Fehler, wie ein Beispiel aus dem Penetration-Umfeld zeigt: Hier wurde aktiv nach PGP-Verschlüsselung während der Kommunikation gefragt. Nachdem das Projekt aber aufgesetzt war und alles verschlüsselt kommuniziert wurde, hat der Projekt Manager die Blaupausen des Produktes unverschlüsselt per E-Mail gesendet.

Wer dieses weit offene „Angriffstor Mensch“ schließen möchten, für den sind Schulungen kaum genug. Nur eine schlüssige Sicherheitskultur sorgt schließlich dafür, dass auch sichere Kommunikation bald zum Alltag gehört, wie der morgendliche Kaffee in der Betriebsküche. Diese Selbstverständlichkeit greift allerdings nur, wenn der Arbeitnehmer einfach und schnell verschlüsselt und damit sicher agieren kann. Sicherheit muss einfach sein – sonst wird sie schlicht nicht genutzt, oder sogar noch weiter vereinfacht. Viele komplizierten Passwörter finden sich heute unter Laptops und Schreibtischunterlagen und sind damit öffentlich zugänglich. Zielgerichtete Investition für mehr Sicherheit tut also dringend Not.

Vertrauen ist gut, Testen ist besser.

Ist Sicherheit zum Bestandteil der IT geworden, sollten regelmäßige Tests im unternehmerischen Alltag selbstverständlich sein. Eine Firewall Lösung kann ihre Arbeit beispielsweise nicht verrichten, wenn sie nicht konfiguriert ist. Und diese Konfiguration hat einen so hohen Stellenwert, dass es die Arbeit eines erfahrenen Firewall-Spezialisten sein sollte. An dieser Stelle nicht genügend Budget zur Verfügung zu stellen könnte dazu führen, dass die Firewall nicht funktioniert. Im schlimmsten Fall kostet diese Tatsache dank eines Hacker-Angriffs dem Unternehmen die Existenz.

Unternehmen tun also gut daran, ihr Sicherheitskonzept nochmals zu überdenken, oder zumindest nochmals zu testen. Nur wer die hohe Relevanz einer ganzheitlichen IT-Sicherheit verinnerlicht hat und erste Angebote, wie beispielsweise regelmäßige Updates auch nutzt, wird keiner trügerischen Sicherheit aufsitzen und ist einem Hacker einen kleinen Schritt voraus.

Über den Autor: Björn Schwabe ist Gründer und Geschäftsführer der Oculd Solutions. 2014 erhielt die Berufung als Web-Entwickler weiteren Schub durch die Graduierung als MSc. Information Security an der Royal Holloway University of London. Bis 2016 arbeitete Schwabe als Penetration Tester beim britischen Computersicherheitsdienst Jumpsec. Zu den Aufgaben gehörten Penetration Testing, Consulting, Schulungen für Firmen in den Bereichen OWASP und Secure Development Lifecycle.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45371553 / Hacker und Insider)