Hacking Teil 3: Wo liegen die größten Sicherheitslücken in Unternehmen?

Aus unserer Expertenreihe: Interview mit einem Hacker

Tobias Madl ist IT-Sicherheitsanalyst und als Europas bester Hacker ausgezeichnet. Im Interview erklärt er, wo die größten Sicherheitslücken für Unternehmen lauern und illustriert Industrieangriffe anhand von praktischen Beispielen.

Zur Vorstellung von Tobias Madl und der Themenübersicht dieser Expertenreihe kommen Sie über diesen Link.

Nach einer Cybercrime Studie von Accenture haben sich Security Breaches in den letzten 5 Jahren mehr als verdoppelt (+67%). Dadurch ergab sich ein Anstieg von 72% der dadurch entstandenen Kosten auf 13 Millionen US$ für jedes Unternehmen im Jahr 2018.

Was sind Ihrer Meinung nach im Moment die größten Sicherheitslücken für deutsche Unternehmen?

Tobias Madl: Auf Platz 1 ist oft immer der Mensch. Er öffnet Email-Anhänge, lässt andere Leute ins Büro, sperrt Zimmer auf, weil z.B. eine Putzkraft in einen Raum muss, die eigentlich keine Putzkraft ist. Viele gezielte Angriffe, die wirklich enormen Schaden verursachen, sind oft durch den Menschen verursacht.

Das zweite Einfallstor ist dann häufig ein schlecht konfigurierter Webserver, also alles, was direkt ins Internet exponiert ist, auf das jeder, von überall aus, zugreifen kann. Wenn zum Beispiel ein Content-Management-System (sogenanntes CMS) selbst auf einer alten Website nicht geupdated wird, können Sicherheitslücken, die innerhalb der Jahre gefunden wurden, hier ganz einfach durch automatisierte Scripte ausgenutzt werden. Diese laufen im Hintergrund und hinterlegen dort ihre Malware. Es muss nicht mal ein gezielter Hackerangriff dahinterstehen. Aber sobald ein Server von einer Malware übernommen worden ist, ist für den Hacker alles möglich.

Das dritte wäre gezielte Industriespionage. Besonders Automobilhersteller in Deutschland schreiben hier die größten Verluste ein. Daten wie Skizzen, 3D Baupläne etc. werden entwendet, irgendwo auf der Welt nachgebaut und schließlich für günstiger verkauft.

„Hier ist der Mensch auch wieder ein einflussreicher Faktor. Er fährt beispielsweise mit der S-Bahn nach Hause und nimmt geschäftliche Telefonate wahr. Es ist schon unfassbar, was man da alles mitbekommt, wenn man ein bisschen mitlauscht.“

 

Abhören von Telefonaten in der S-Bahn als Hacking – eine doch etwas altmodische Methode?

Tobias Madl: Die Leute wollen natürlich Zeit sparen, aber wenn das jemand absichtlich ausnutzen möchte und sich einfach mit reinsetzt und mithört, dann kann man sehr viel herausfinden. So etwas nennt man Social Engineering, also das menschliche Hacking und ist eine ganz eigene, effiziente Schiene.

Besonders wenn man gezielt einen Angriff auf ein Unternehmen oder eine Person vorhat, besteht die komplette erste Phase aus Informationssammlung. Das ist nicht wie in Filmen, zack geht man auf die Website und man ist drinnen, sondern man versucht über alle möglichen Quellen, die einem zur Verfügung stehen Informationen über das System, das man übernehmen möchte, zu erhalten.

Was für Schutzmaßnahmen liegen vor, wie kommen Mitarbeiter in die Systeme, was gibt es für Beschränkungen, kann ich mich irgendwie einschleusen, kann ich einige Schutzmaßnahmen bereits umgehen von außen…? Solche Vorbereitungen dauern manchmal monate- manchmal sogar jahrelang

 

Gibt es für einen so gezielten Angriff ein Beispiel?

Tobias Madl: Eines der bekanntesten Beispiele ist der Computervirus Stuxnet. Er hat sich zunächst vollkommen unerkannt global verbreitet, bis man festgestellt hat, es wird irgendetwas verteilt, aber es tut nichts. Erst im Nachhinein hat es sich herausgestellt, dass Stuxnet hauptsächlich eine Schadsoftware war, um Zentrifugen für die Urananreicherung im Iran zu manipulieren.

Das Problem für die Malware war, dass dieser Bereich dieser Computersysteme immens gut geschützt war und man keine direkte Verbindung dorthin hatte. Das heißt, man konnten den Virus nicht so einfach einschleusen. Also hat man ihn einfach auf der Welt verteilt und gehofft, dass irgendwann einmal ein infiziertes Gerät an die Anlagen angesteckt wird.

Schließlich ist dies durch das Anschließen eines USBs-Sticks eines Mitarbeiters auch passiert. Erst dann ist der Virus eingefallen und hat die Zentrifugen angegriffen. Diese globale Verbreitung ging über Monate hinweg und es hat sonst nirgends auf anderen Systemen einen besonderen Schaden verursacht, sondern war tatsächlich nur darauf ausgerichtet, genau an dieser gezielten Stelle aktiv anzugreifen.

Das ist auch bei Regierungsangriffen so. Die Hacker bereiten sich dafür jahrelang vor, entwickeln Programme, und warten dann noch einmal ein paar Monate-Jahre bis diese vielleicht irgendwo angreifen. Ein solcher Virus ist einfach sehr schwierig zu finden, weil er als Erstes nichts tut, außer sich zu verteilen. Kein Antivirus System, kein Entwickler und kein IT Spezialist würde darauf aufmerksam werden, wenn einfach nichts passiert. Stuxnet wurde mehr oder weniger auch nur durch Zufall entdeckt.

 

Wie kann man sich gegen solche Malware-Angriffe am besten schützen?

Tobias Madl: In vielen Firmen gibt es spezielle Richtlinien, dass man keine eigenen Geräte anstecken darf, dass privates und dienstliches Handy getrennt sein müssen oder auch, dass man im Ausland einen Reiselaptop mitnimmt ohne wichtige Firmendaten. Unternehmen, die Sicherheit großschreiben, haben genau solche Regeln, weil sie wissen, der Mensch ist einer der größten Faktoren für Angriffe.

 

Einen Menschen zu hacken, kann sehr Zeit intensiv sein. Gibt es Applikationen oder Schnittstellen in Systemen, die relativ einfach und schnell auch online zu hacken sind?

Tobias Madl: Es wird einfach, wenn die Person, die das System erstellt und konfiguriert hat nur wenig Ahnung von Technologie hat. Ein User beispielsweise, der seine eigene Homepage hosten möchte, aber nicht besonders informiert ist, wie man das sicher macht, wird oft Probleme haben, z.B. wenn er eingesetzte Software falsch konfiguriert hat oder veraltete Versionen verwendet, für die es schon Sicherheitslücken gibt. Hier ist es natürlich viel einfacher durchzukommen, weil man nicht vor Ort sein muss, um dort anzugreifen.

Das Interesse für gezielte Hackangriffe ist hier natürlich auch etwas geringer.

Stattdessen besteht bei der Privatperson eher das Interesse Kreditkartendaten oder Social Media Accounts abzugreifen. Das heißt, man sucht nach Datenbreaches von Firmen, die erfolgreich gehackt worden sind und deren Datenbank mit allen Nutzerdaten wie Username, Passwörter usw. online gegangen ist.

Diese werden dann verwendet, um herauszufinden, ob man sich mit ihnen auch auf anderen Plattformen einloggen kann.

„Hat also jemand die gleichen Login-Daten mehrfach verwendet, kann man sich dort einhacken und alle diese Accounts weiterverkaufen, Daten extrahieren und so weiter. Es wird immer wieder versucht, einen neuen Weg zu finden, damit Geld zu machen.“

 

Lesen Sie ab nächster Woche den 4.Teil unserer Expertenreihe: Interview mit einem Hacker – Wie erkennt man Sicherheitslücken und schützt sich am besten?

Haben Sie Fragen zu dem Interview, wollen mehr über Cyber-Security erfahren oder suchen direkt nach einer Lösung für ein Security-Projekt, dann schreiben Sie uns gerne eine Nachricht!