MÜNCHEN (IT BOLTWISE) – Ein ungewöhnlicher Cyberangriff zeigt eindrücklich, wie Angreifer trotz bestehender IT-Sicherheitsmaßnahmen Kontrolle über ein Unternehmensnetzwerk erlangen können. Durch den Einsatz von Social Engineering und physischen Zugang erlangt ein White-Hat-Hackerteam nahezu unbemerkt Zugang zur IT-Infrastruktur und zeigt die Schwächen im Sicherheitssystem auf.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Mit einem lässigen „Servus“ betritt Immanuel Bär, White-Hat-Hacker der deutschen Cyber-Security-Firma Prosec, das Firmengelände eines österreichischen Unternehmens. Dank eines vom IT-Leiter geheim arrangierten Tests zur Ermittlung von Sicherheitslücken kann Bär ungestört die IT-Infrastruktur prüfen – und offenbart dabei dramatische Schwachstellen. Kaum jemand hinterfragt seine Präsenz im Unternehmen, auch als er unvermittelt Daten von mehreren Firmenrechnern sammelt und Druckerwartungen vortäuscht. Mit versteckter Dreistigkeit verschafft er sich Zugang zu internen Netzwerken und Unternehmensdaten.
Ein entspannter Gang zur Teeküche liefert ihm Informationen, die er durch nicht entsorgte Dokumente und gesammelte Druckaufträge erhält. „Es ist erschreckend, wie leicht Informationen zugänglich sind, wenn man nur genau hinschaut“, erklärt Bär. Die Mitarbeitenden merken nicht, dass er kein interner Kollege ist und lassen ihn oft unbehelligt arbeiten – ein Verhalten, das später für ernste Diskussionen sorgen wird. „Wir setzen seit Jahren auf Awareness-Training und modernste IT-Sicherheit, doch der fehlende Misstrauensmoment bei physischen Sicherheitsmaßnahmen war ein großes Versäumnis,“ reflektiert der IT-Leiter nach dem Test.
### Schwachstellen im Vertrauen und in der Infrastruktur
Laut Prosec waren virtuelle Schutzmechanismen des Unternehmens weit fortgeschritten, doch das offene Werksgelände und die ungeprüfte Zutrittsbereitschaft zum Firmennetzwerk sorgten für ein leichtes Spiel. Ein penibel vorbereiteter Plan und sorgsam erstellte Social-Media-Analysen halfen dem Hacker-Team, Schwachstellen im Vorfeld zu identifizieren. „Social Engineering liefert oftmals Zugangspunkte, die sich von außen niemand vorstellen würde,“ sagt Bär. Fotos und Videos aus Social Media lieferten wertvolle Hinweise auf vorhandene Drucker und Sicherheitslücken im Gelände. Ein fehlender Zaun, offene Türen und nicht geschützte Außeneingänge ermöglichten schließlich den Zugang für das Hacker-Team.
### Mit einer frechen Strategie zur vollständigen Kontrolle
Selbstbewusst marschiert das Prosec-Team in den Produktionsbereich des Unternehmens, wo es sich mit den dort arbeitenden Menschen anfreundet. Ein unauffälliger Holzkeil in einer Nebentür stellt sicher, dass das Team später ohne Hindernisse zurückkehren kann. Das Team nutzt dabei gezielt das Vertrauen, das ihm von Mitarbeitenden entgegengebracht wird. In einem Fall stößt ein Hacker in einem Büro auf ein ungeschütztes SAP-System und aufgeschriebene Zugangsdaten. „Ein gefundenes Fressen,“ kommentiert Bär. Am Ende des Tages hat das Team mehrere Zugangspunkte und damit die totale Kontrolle über das Firmensystem erreicht.
### Verantwortung und notwendige Wachsamkeit
Der erfolgreiche „Angriff“ durch Prosec zeigt, dass IT-Sicherheit nicht nur durch digitale Barrieren gewährleistet werden kann. Mitarbeitende müssen stärker in Sicherheitskonzepte integriert und auf mögliche Bedrohungen geschult werden. Gustav Schneider, IT-Verantwortlicher des Unternehmens, erkennt die Schwächen seines bisherigen Sicherheitskonzepts. „Dass wir so viele Schwachstellen haben, war ein Weckruf,“ so Schneider. Einfache Maßnahmen wie das Abmelden von Rechnern und der bewusste Umgang mit Passwörtern hätten den White-Hat-Hackern vieles erschwert.
Im Abschlussgespräch rät Prosec zu einem ausgewogenen Maß an Misstrauen und zur Stärkung der physischen Sicherheitsbarrieren. Unternehmen sollten Mitarbeitende dazu anregen, ungewöhnliche Vorfälle zu melden und interne Prozesse zur Überprüfung externer Dienstleister zu etablieren. Bärs Team wird nun dazu beitragen, die Sicherheitsmaßnahmen im Unternehmen zu verbessern – eine Aufgabe, die nicht allein der IT-Abteilung obliegt. „Sicherheit betrifft alle,“ fasst Bär die Lehre des Penetration-Tests zusammen.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.