Hacking Teil 4: Wie erkennt man Sicherheitslücken und schützt sich am besten?

Aus unserer Expertenreihe: Interview mit einem Hacker

Tobias Madl ist IT-Sicherheitsanalyst und als Europas bester Hacker ausgezeichnet. Im Interview erklärt er, wie ein möglicher Angriff auf ein Unternehmen aussehen kann, was es für Angriffsarten gibt und wie man sie entdeckt. Außerdem gibt er eine Empfehlung, wie man sich am besten schützen sollte.

Zur Vorstellung von Tobias Madl und der Themenübersicht dieser Expertenreihe kommen Sie über diesen Link.

Nehmen wir an, ein großes Unternehmen wird gehackt, das eigentlich hohe Sicherheitsanforderungen hat. Wie könnte ein Angriff ablaufen?

Tobias Madl: Das ist natürlich höchst illegal, aber wir können das gerne einmal in der Theorie durchgehen. Sagen wir, man möchte das eigene Logo auf der Seite eines Konkurrenzkonzerns einblenden lassen und dadurch einen Imageschaden verursachen.

Dann würde es damit losgehen, die Seite zu scannen und Informationen herauszufinden: Was für eine Technologie wird hier verwendet, was ist auf dem Server abgelegt, gibt es offene Verbindungen, wie zum Beispiel Ports. Man findet heraus, was für Informationen man von der Website bekommt und ob man schon irgendwelche versteckten Dateien entdecken kann.

Wenn man beispielsweise eine Versionsnummer der dort installierten Software gefunden hat, kann man online recherchieren, ob es hierzu bereits Sicherheitslücken gibt, die schon einmal entdeckt wurden. Man kann natürlich auch selber versuchen Lücken zu finden, indem man die jeweilige Software herunterlädt und dann daran testet und analysiert.

„Das heißt, alleine mit der Softwareversionsnummer entsteht eine potenzielle Gefahr.“

Wenn eine Seite sicher konfiguriert ist, sollte diese überhaupt nicht nach außen hin sichtbar sein. In einem solchen Fall würde man mehr über die Software im Allgemeinen herausfinden und diese ebenfalls analysieren und auf Lücken testen. Wenn man etwas gefunden hat, kann das dann am Server ausgenutzt werden.

Was für Angriffsarten gibt es und wie entdeckt man sie?

Tobias Madl: Hier gibt es Unterschiede. Wenn man über den Server angreift, werden beispielsweise die Logs gezählt, wie viele Fehlversuche es bei der Anmeldung gab von welcher IP. Das sind dann auch die Kennzahlen, die das BSI nimmt, um Grafiken zu Angriffszahlen zu erstellen. Normalerweise testet ein Hacker 50 oder 100 Tausend Passwörter durch oder sogar 1 Million, um in einen Account zu kommen.

Dann gibt es natürlich noch eine relativ große Grau Ziffer. Wenn man beispielsweise Daten abgreift, indem man einen USB-Stick anschließt. Dazu gibt es keinen Log. Man bräuchte Spezialsoftware, die USB-Stick Anschlüsse überwacht oder direkt Videoüberwachungen. So etwas ist sehr schwer nachzuweisen.

Schadsoftware, die sich auf dem Server verteilt, ohne zunächst anzugreifen, ist ebenfalls sehr schwer zu erkennen. Wenn sie allerdings aktiv etwas macht, das heißt die Kryptotrojaner fangen beispielsweise an Daten zu verschlüsseln, dann gibt es Virensysteme, die das erkennen. Sie entdecken, dass ein bestimmtes Programm ungewöhnlich viele Schreibzugriffe in den letzten zwei Sekunden hatte und entweder stoppt das Programm und warnt den Nutzer oder löscht es direkt.

„Schließlich gibt es noch Spezial Forensiker, die Angriffe analysieren. Ein infiziertes System wird ‚eingefroren‘ und an einen Spezialisten gegeben.“

Er versucht daraufhin verschiedene Informationen zu extrahieren:

  1. Was wurde entwendet, welche Daten wurden gestohlen?
  2. Wie wurde der Server angegriffen, wo war das Einfallstor?
  3. Wer könnte es gewesen sein?
  4. Wie kann ich das System wieder sicher machen?
  5. Wie können Daten noch gerettet werden?

Wenn größere Firmen, die sensitive Daten haben, auch nur einen Verdacht haben, das etwas Auffälliges im System ist, wird der Server sofort vom Netz genommen und genauestens analysiert. Man braucht sehr viel Erfahrung und Zeit für diesen Job und muss sehr vorsichtig agieren. Wenn man das neu starten würde, wären viele Spuren wie Logs und temporäre Daten einfach gelöscht. Hier muss Spezialsoftware und Hardware verwendet werden, um solche Angriffe zu identifizieren.

Das kostet natürlich auch sehr viel und Firmen wollen häufig das Ganze erst einmal versuchen unter den Tisch zu kehren und setzen den Server einfach neu auf.

Aber eine Investition in einen Spezial Forensiker wäre sinnvoll?

Tobias Madl: Wenn man einen Angriff festgestellt hat, definitiv. Man muss nur erst einmal einen Angriff erkennen. Dafür gibt es dann auch wieder Spezialsoftware und Spezialisten mit einem Softwareüberwachungssystem, das alle Server an einem zentralen Punkt überwacht. Und wenn das rote Lämpchen angeht, schaut er auf den Server. So etwas müsste man sich auch einkaufen als Unternehmen.

„Das ist also alles eine Kette von Sicherheitsmechanismen, um sich vor Angriffen zu schützen, die natürlich Alle Geld kosten. Der Grund, warum in den letzten Jahrzehnten die Erfolgsquote von Hackangriffen gestiegen ist, liegt daran, dass viele gesagt haben das spar‘ ich mir.“

Unternehmen merken aber dadurch nun endlich auch, dass Kosten, die durch solche Angriffe entstehen, weitaus die Präventionskosten übersteigen. Viele realisieren nun, dass man viel früher mit Security hätte anfangen sollen und dass man das nicht mehr ignorieren kann.

Security ist im ersten Sinne immer Prävention. Das ist natürlich schwer zu argumentieren in einem Verkaufsgespräch, da man meint, man ist doch sicher, weil bisher noch nichts passiert ist. Aber wenn man es aufwiegt und zwei Jahre später angegriffen wird, hat sich vom Sicherheitsexperten bis hin zur Spezialsoftware alles wieder rentiert.

Wie könnten Unternehmen sich also am besten schützen?

Tobias Madl: Auf jeden Fall präventiv vorsorgen und in gute Sicherheitsexperten investieren, die auch direkt selber Systeme testen, sobald etwas neu eingeführt wird. Das ist es definitiv wert, wenn man von Großkonzernen ausgeht. Wenn man intern keine Person oder Know-how hat, sollte man alternativ in externe Anbieter investieren.

Wenn ein neuer Server/Service eingeführt wird, sollte dieser im Vorfeld und nicht erst im Nachhinein getestet werden; idealerweise auch schon bei der Einkaufsentscheidung/Entwicklung den Experten mit einbeziehen.

„Je früher man mit Security anfängt und je mehr Geld man da im Moment effektiv in die Hand nimmt, desto besser ist man am Ende geschützt und desto mehr spart man.“

Auch bei der Benutzung von Hardware sollte man präventiv arbeiten. Das heißt Arbeits- und Privathandy trennen, einen Reiselaptop verwenden, vorsichtig sein bei USB-Sticks und auf seine Umgebung achten, wenn man firmeninterne Security Themen bespricht.

Unternehmen sind hier auch zuständig dafür, die Mitarbeiter zu schulen. Awareness ist ein wichtiger Faktor und der Arbeitgeber muss hier unterstützen. Eine firmeninterne Passwort Policy kann auch schon helfen, über die man aufgeklärt werden soll.

Lesen Sie ab nächster Woche den 5.Teil unserer Expertenreihe: Interview mit einem Hacker – Was passiert mit geklauten Daten und wie schütze ich mich präventiv?

Haben Sie Fragen zu dem Interview, wollen mehr über Cyber-Security erfahren oder suchen direkt nach einer Lösung für ein Security-Projekt, dann schreiben Sie uns gerne eine Nachricht!