:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Daten- und Kommunikationssicherheit So arbeiten Hacker und Datendiebe wirklich
IT-Sicherheit ist mitten unter uns. Wer diese Aussage für eine bloße Plattitüde hält, der sollte sich kurz die Zeit nehmen, das Vorgehen eines Hackers an einem konkreten Beispiel zu beobachten. Ein ehemaliger Berufs-Hacker zeigt, wie schnell Cyberkriminelle oft erfolgreich sind, auch bei Unternehmen die glauben geschützt zu sein.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ein Hacker hat ein Unternehmen ausgespäht, dessen Daten ihn interessieren würden. Gründe für dieses Interesse gibt es viele. Sie reichen von dem simplen Spaß an der kriminellen Handlung bis hin zu wirtschaftlicher Motivation. Damit der Datendieb die gewünschten Informationen erhält, muss er das IT-System kennen, mit dem er es im speziellen Fall zu tun hat. Dazu informiert er sich auf gängigen sozialen Netzwerken über Mitarbeiter der Ziel-Institution und wird schnell fündig: Bereitwillig werden online Interessen aufgelistet und Fortbildungen erwähnt, unter anderem in diversen Programmiersprachen. Durch bloße Beobachtung öffentlich einsehbarer Informationen hat unser Hacker die Informationen erhalten, die er braucht, um das Ziel-System zu identifizieren. Mit diesem Wissen kann er, eine Phishing-E-Mail erstellen, die interne Zugangsdaten von Mitarbeitern abfragt.
Solche Phishing-Mails sind so nah am Original, dass auch IT-Experten oft Schwierigkeiten haben, sie zu erkennen. Ein Beispiel der Möglichkeiten über die ein Angreifer hierbei verfügt ist der so genannte „Homographische Angriff“. Bei dieser Methode des so genannten „Spoofing“ wird das ähnliche Aussehen verschiedener Schriftzeichen dazu benutzt, eine falsche Web-Identität vorzutäuschen. Durch die frappierende Ähnlichkeit der jeweiligen Web-Adressen wird der Nutzer beispielsweise auf eine Phishing-Website gelockt. Genutzt werden Ähnlichkeiten von l (kleines L) oder I (großes I). Phishing-Domains können aber natürlich auch homographische kyrillische Zeichen für ihre Zwecke verwenden – sobald beispielsweise in russischem cyrilliac unicode „raural“ geschrieben wird, wird daraus „paypal“ und damit ein lohnenswertes Phishing-Ziel.
:quality(80)/images.vogel.de/vogelonline/bdb/1346900/1346908/original.jpg "Auch aufmerksame Anwender haben schlechte Karten gegen Phishing, wenn sich im Browser die gefälschte URL nicht mehr vom Original unterscheiden lässt. (carlos_bcn - stock.adobe.com)")
Gefälschte Domainnamen mittels Unicode
Phishing-Risiko Punycode-Domains
Sicherheit macht man nicht nebenbei
Schon dieses eine kleine Beispiel zeigt: „Security is not a feature. It is a process.“ Vielen Unternehmen ist das allerdings nicht bewusst. Sie feilen an komplexen IT-Systemen und beginnen dann später, meist viel zu spät, an die Sicherung dieser verzweigten, brüchigen Gebilde zu denken. Wer sich allerdings erfolgreich gegen Hacker zur Wehr setzen möchte, der sollte Sicherheit von Anfang an einplanen und seine gesamte IT-Landschaft dem Thema unterordnen. Ähnlich dem Mission Statement einer Firma, auf dem von Marketing über Mitarbeiterauswahl und Unternehmenskultur bis hin zum Personalmanagement alles aufbaut, so muss es auch eine Pyramide für das Thema Sicherheit geben, die fest verankert in einer unternehmensinternen Sicherheitskultur steht.
Die Folgen einer missachteten Sicherung können verheerende Ausmaße annehmen: Ein Beispiel für eine zu spät implementierte Sicherung gibt das elektronische Anwaltspostfach beA des Deutschen Anwaltvereins für die Kommunikation zwischen Anwalt und Gericht. Gravierende Sicherheitsmängel sorgten für einen Fehlstart, das beA wurde abgeschaltet. Besonders brisant: Es wurde festgestellt, dass beim beA bisher noch überhaupt nicht an die EU-DSGVO gedacht wurde.
:quality(80)/images.vogel.de/vogelonline/bdb/1375500/1375525/original.jpg "Metasploit bringt alles mit, um eigene Angriffstools zu basteln. (gemeinfrei)")
Überblick zu Metasploit
Metasploit macht jeden zum Hacker
Für den Angreifer stehen viele Türen offen
Die beliebtesten Angriffsvarianten zu kennen, schafft zumindest das nötige Hintergrundwissen um drohendem Schaden vorzubeugen. Den ersten Platz der am häufigsten genutzten Angriffsvarianten (laut OWASP) belegt die so genannte „SQL Injection“. Hierbei wird ein bösartiger Code eingeführt. Dieser bewirkt, dass eine Datenbankabfrage geändert wird, da die Werte, die eingegeben werden, nicht überprüft, sondern direkt an die Datenbank weitergegeben werden. Auf diese Art kann eine Benutzername-/Passwort-Abfrage so verändert werden, dass der Angreifer plötzlich als berechtigter Benutzer gilt und sich so Zugang zu Bereichen verschafft, die eigentlich nur einer begrenzten Personenanzahl zugänglich sein sollten.
Broken Authentication wird außerdem gerne als Form der IT-Attacke genutzt. Am besten lässt sich der Sachverhalt am Beispiel eines Online-Shops erklären, der spontan vergebene Passwörter zulässt. Die Technik verlangt also nicht etwa nach Vorgaben wie 10 Buchstaben, 3 Zahlen und zwei Sonderzeichen oder ähnlichem. Das heißt, dass viele Benutzer die am häufigsten genutzten Passwörter haben können. Nun beginnt die Wahrscheinlichkeitsrechnung: Denn um Zugang zu einem Konto zu bekommen, bräuchte es jetzt nur noch die korrekte E-Mail für am häufigsten genutzte Passwörter.
Sicherheitslücke Mensch
Auf Unternehmensseite ist es der Mensch selbst, der Hackern in vielen Fällen die Türen öffnet. Das beginnt schon auf dem Weg zur Arbeit, auf dem Arbeitnehmer unbedacht Geheimnisse ausplaudern oder in sozialen Netzwerken von der letzten Betriebsfeier aufgrund einer Firmenübernahme berichten. Auch sicherheitsbewusste Menschen manchen manchmal Fehler, wie ein Beispiel aus dem Penetration-Umfeld zeigt: Hier wurde aktiv nach PGP-Verschlüsselung während der Kommunikation gefragt. Nachdem das Projekt aber aufgesetzt war und alles verschlüsselt kommuniziert wurde, hat der Projekt Manager die Blaupausen des Produktes unverschlüsselt per E-Mail gesendet.
Wer dieses weit offene „Angriffstor Mensch“ schließen möchten, für den sind Schulungen kaum genug. Nur eine schlüssige Sicherheitskultur sorgt schließlich dafür, dass auch sichere Kommunikation bald zum Alltag gehört, wie der morgendliche Kaffee in der Betriebsküche. Diese Selbstverständlichkeit greift allerdings nur, wenn der Arbeitnehmer einfach und schnell verschlüsselt und damit sicher agieren kann. Sicherheit muss einfach sein – sonst wird sie schlicht nicht genutzt, oder sogar noch weiter vereinfacht. Viele komplizierten Passwörter finden sich heute unter Laptops und Schreibtischunterlagen und sind damit öffentlich zugänglich. Zielgerichtete Investition für mehr Sicherheit tut also dringend Not.
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400474/original.jpg "Kali Linux ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. In dem vierteiligen Workshop zeigen wir, welche Möglichkeiten Kali bietet. Mit den Pfeiltasten (← / →) oder den Schaltflächen oben können Sie durch die Sammlung navigieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400475/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 1</big><br> <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Kali Linux installieren und Hacking-Lab aufsetzen</strong></big></big></a><br> Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil dieses Workshops stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400476/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 2</big><br> <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Informationen sammeln mit Kali Linux</strong></big></big></a><br> Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil des Workshops dreht sich alles um das Thema Informationen übers Netzwerk sammeln. <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400477/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 3</big><br> <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Schwachstellenanalyse mit Kali Linux</strong></big></big></a><br> Kali Linux eignet sich ideal, um Server auf Schwachstellen zu überprüfen. Die Linux-Distribution bringt alle notwendigen Applikationen mit, um eigene Server auf potentielle Angriffsmöglichkeiten hin zu checken. Im dritten Teil des Workshops stellen wir einige Tools vor, die einfach zu nutzen sind und relevante Informationen liefern. <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
Vertrauen ist gut, Testen ist besser.
Ist Sicherheit zum Bestandteil der IT geworden, sollten regelmäßige Tests im unternehmerischen Alltag selbstverständlich sein. Eine Firewall Lösung kann ihre Arbeit beispielsweise nicht verrichten, wenn sie nicht konfiguriert ist. Und diese Konfiguration hat einen so hohen Stellenwert, dass es die Arbeit eines erfahrenen Firewall-Spezialisten sein sollte. An dieser Stelle nicht genügend Budget zur Verfügung zu stellen könnte dazu führen, dass die Firewall nicht funktioniert. Im schlimmsten Fall kostet diese Tatsache dank eines Hacker-Angriffs dem Unternehmen die Existenz.
Unternehmen tun also gut daran, ihr Sicherheitskonzept nochmals zu überdenken, oder zumindest nochmals zu testen. Nur wer die hohe Relevanz einer ganzheitlichen IT-Sicherheit verinnerlicht hat und erste Angebote, wie beispielsweise regelmäßige Updates auch nutzt, wird keiner trügerischen Sicherheit aufsitzen und ist einem Hacker einen kleinen Schritt voraus.
Über den Autor: Björn Schwabe ist Gründer und Geschäftsführer der Oculd Solutions. 2014 erhielt die Berufung als Web-Entwickler weiteren Schub durch die Graduierung als MSc. Information Security an der Royal Holloway University of London. Bis 2016 arbeitete Schwabe als Penetration Tester beim britischen Computersicherheitsdienst Jumpsec. Zu den Aufgaben gehörten Penetration Testing, Consulting, Schulungen für Firmen in den Bereichen OWASP und Secure Development Lifecycle.
(ID:45371553)
:quality(80)/images.vogel.de/vogelonline/bdb/1928900/1928950/original.jpg "IT-Security muss einen deutlich höheren Stellenwert einnehmen und Basis aller Digitalisierungsprojekte werden. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904519/original.jpg "Laut Sailpoint stellen vor allem hybride Arbeitsweisen die IT-Sicherheit von Unternehmen auf die Probe. Deshalb sollten diese ihre Mitarbeiter schulen. (NDABCREATIVITY - stock.adobe.com)")