Was haben Quietscheentchen und Angeln mit IT-Sicherheit zu tun?
Die Firmen-Webseite wird angegriffen und lahmgelegt, durch Schadsoftware ist der Zugriff auf die eigenen Daten ohne „Lösegeldzahlung“ nicht mehr möglich oder der eine Klick auf den Link in dieser einen Email blockiert den Rechner. Alles sehr realistische Szenarien, die Mitarbeiter oder ganze Firmen lahmlegen können.
Am ersten Freitag im November stellte Arwid Zang von greenhats® beim Unternehmerfrühstück des BVMW im WERKraum56 in Marburg vor, welche Angriffe möglich sind und was man tun kann, um sich davor zu schützen. Denn eins ist klar, der Stoßseufzer: „Mir wird schon nichts passieren!“ ist keine ausreichende Strategie zur Risikoabwehr.
Im Vortrag stellte Herr Zang viele Beispiele für mögliche Angriffe vor und hat einiges auch sehr eindrucksvoll live vorgeführt. – An einigen Stellen hätte man mich auch noch „kriegen“ können. Es ist unglaublich, was alles möglich ist. Und gerade deshalb ist es so enorm wichtig, den Kopf nicht in den Sand zu stecken und zu resignieren, sondern sich schlau zu machen, um das, was abgewehrt werden kann (und das ist eine ganze Menge!), dann auch wirklich zu vermeiden.
Ich lasse ja auch nicht meine Haustür offen stehen, bloß weil Einbrechen prinzipiell immer möglich ist, wenn die Einbrecher nur genug Gewalt anwenden. Ich will es ihnen dann wenigstens so schwer wie möglich machen.
Darum geht es
Drei Angriffstypen
Zunächst stellte Herr Zang die drei möglichen Angriffstypen vor:
- physische Angriffe
- technische Angriffe
- „Social Engineering“
Diese drei Angriffstypen erfordern jeweils unterschiedliche Gegenmaßnahmen zur Risikoabwehr.
Physische Angriffe
Physische Angriffe umfassen alle Angriffe, die auf direktem Kontakt mit der Hardware oder der IT-Infrastruktur beruhen. Sobald ein Zugang zum Firmengelände möglich ist, ist auch ein physischer Angriff möglich. (Und selbst wenn Einschränkungen bestehen, ist immer noch ein Angriff durch bestochene Mitarbeiter möglich.)
Das klassische Beispiel ist der auf dem Firmengelände „verlorene“ USB-Stick mit Schadsoftware. Unsere Neugier oder auch der Antrieb jemandem zu helfen, seinen verlorenen Gegenstand wiederzubekommen, lässt uns sehr leicht unvorsichtig werden.
Deshalb gilt:
Niemals einen unbekannten USB-Stick in den Rechner stecken.
Nein, auch nicht um herauszufinden, wer ihn verloren hat. – Nein, auch nicht,
wenn „Masterarbeit“ drauf steht oder noch ein Schlüssel dranhängt. – Nein, auch nicht, wenn das eigene Firmenlogo aufgedruckt ist. – Nein, wirklich niemals!
Daneben ist unzureichende Sicherung von Räumlichkeiten und Rechnern ein weiterer wichtiger Punkt. Fragen Sie sich einmal selbst: Ist der Serverraum wirklich immer abgeschlossen? Stehen ungesicherte Rechner in den Büros? Und was ist am „Tag der offenen Tür“?
Die wichtigste Abwehrstrategie ist hier „Security by Design“: Denken Sie an Büromöbel mit Abschließmöglichkeiten, architektonische Barrieren und Zugangsregelungen. Und daran, dass der Schlüssel zu verschlossenen Räumen nicht „einfach“ oben auf dem Türrahmen liegt.
Technische Angriffe
Alles was über des Internet erreichbar ist, ist potenziell angreifbar.
Technische Angriffe sind direkte Angriffe auf das IT-System über das Netz. Diese können als gezielte (Sabotage-) Angriffe auf eine bestimmte Firma oder als breite Attacke gegen viele Firmen mit z.B. gleicher Software gestartet werden.
Herr Zang führte ein eindrucksvolles Live-Hacking durch, an dessen Ende ganze Passwortlisten zu sehen waren. Das Ganze war geradezu bestürzend einfach und mit sehr schmalen Computerkennnissen durchführbar: Nutzung von frei zugänglichen Datenbanken, die Schwachstellen in Computerprogrammen auflisten und dann per Google-Suche nach bestimmten Code-Zeilen suchen. Voilá – hier ist die Passwortliste! Aber es hätten natürlich auch ganz andere Daten sein können.
Die Risikoabwehr solcher Hacking-Angriffe startet mit Penetrationstests, bei denen geprüft wird, wie leicht man in das Netzw
erk einer Firma eindringen kann. Nach eingehender Analyse werden die identifizierten Schwachstellen dann bearbeitet. Wichtig ist auch, bei IT-Wartungsverträgen auf ein gutes Patchmanagement zu achten. Neuversionen von Programmen mit bekannten Schwachstellen sollten schnellstmöglich aufgespielt werden!
Social Engineering
Im Grunde ist „Social Engineering“ nichts anderes als gezielte Manipulation von Menschen, um sie dazu zu bringen,
etwas zu tun, was sie eigentlich gar nicht tun wollten. Zum Beispiel Firmengeheimnisse preis geben oder Schadsoftware auf ihren Rechner laden. Wer „Social Engineering“ nutzt, weiß wie Menschen ticken, kennt ihre Schwachstellen und nutzt sie dann gnadenlos aus.
Beispielsweise werden öffentlich bekannte Informationen genutzt, um gezielt Mitarbeiter zu kontaktieren. Aus diesem vorbereitenden Kontakt werden weitere Informationen generiert, die dann für den eigentlichen Angriff genutzt werden. Ist beispielsweise das Platzieren einer Phishing-Mail das Ziel, ist es nützlich zu wissen, wie die Struktur der Email-Adressen in diesem Unternehmen oder wie der Name eines IT-Mitarbeiters ist. Im nächsten Schritt würde dann eine E-Mail gefälscht, so dass es aussieht, als ob sie aus der hauseigene IT- stammt. In dieser Mail wäre dann ein Link enthalten, der auf eine gefälschte Seite führt, die zum Beispiel Passwörter abfragt („phishing“ von „fishing“, engl. für ‚Angeln‘).
Achten Sie beim Besuch von Webseiten einmal auf die URL-Adresse. Beispielsweise haben amazon, netflix oder auch XING sicher nicht ALLE möglichen abstrusen Webseiten mit ihrem Namen gekauft. amazon-service.com.de könnten Sie sich zum Beispiel noch zulegen und zu einer Phishing-Seite umbauen.
Die beste Abwehrstrategie gegenüber „Social Engineering“ ist regelmäßige Mitarbeiter-Schulung und eine angemessene, offene Fehlerkultur. Beides zusammen erlaubt es ihrem Unternehmen, Fehler zu vermeiden oder aus gemachten Fehlern zu lernen.
Mitarbeiter, die sich trauen „zuzugeben“, dass sie durch Klicken auf einen Link in einer Email auf einer verdächtigen Seite gelangt sind, wenden aktiv Schaden ab und sind für das Unternehmen geradezu unbezahlbar.
(Weitere Beispiele zum Thema „Social Engineering“ finden Sie hier.)
Maßnahmen, die dabei helfen, ihre IT-Sicherheit zu erhöhen
- Mehrwert aus dem Maßnahmen zur IT-Sicherheit sichtbar machen.
Denken Sie nicht zuletzt an den Imagegewinn eines „sicheren“ Unternehmens bei Kunden und Geschäftspartnern. - „Security by Design“ bei Gebäude, Hardware aber beispielsweise auch, wenn Sie eigene Apps entwickeln möchten.
- Von innen nach außen absichern. Die beste Firewall nützt Ihnen nichts, wenn ihre Mitarbeiter grundlegende Verhaltensregeln der IT-Security nicht kennen.
- Maßgeschneiderte Lösungen: IT-Sicherheit erreicht ein Unternehmen nicht durch das Gießkannen-Prinzip oder „Viel hilft viel“.
Maßgeschneiderte Lösungen berücksichtigen die individuelle Risikoabschätzung und das angestrebte Sicherheitslevel.
Grundvoraussetzung für die Risikoanalyse: Ehrlichkeit sich selbst gegenüber
Herr Zang betonte, dass bei der Analyse möglicher Sicherheitsrisiken vor allem Ehrlichkeit sich selbst gegenüber wichtig ist. Die Beantwortung der Frage: „Was könnte mich am ehesten erwischen?“ liefert nur dadurch eine belastbare Antwort und hilft dabei, die relevanten Risiken zu erkennen, angemessen zu bewerten und zu beseitigen.
Arwid Zang ist Geschäftsführer der greenhats® GmbH in Marburg.
greenhats® ist eine Plattform für IT-Sicherheit. Hier finden Sie alles, was Sie für Ihr Unternehmen brauchen: Security Checks, Bug Bounty, Datenschutz und Compliance.
greenhats® überprüft, bewertet und bestätigt regelmäßig das Sicherheitsniveau digitaler Firmen-Systeme und über ein Partnernetzwerk arbeitet greenhats® mit weiteren IT-Sicherheits-Experten zusammen.