Wir haben unsere beiden Kollegen Carsten und Martin ihre Koffer packen lassen und auf die IT-Sicherheitsmesse IT-SA nach Nürnberg geschickt. Nachdem die Verschlüsselungstrojaner in letzter Zeit wieder vermehrt erfolgreich zuschlagen konnten ist klar, dass es beim Thema IT-Sicherheit alleine mit einer Firewall und einem Anti-Virus-Programm nicht getan ist.
Das haben wir bei ho.Systeme schon länger erkannt und haben seit einiger Zeit ein Sicherheits-Team aus „guten“ Hackern aufgebaut. Carsten und Martin gehören als „Certified Ethical Hacker“ der sogenannten Garde der „White Hats“ an. Dem gegenüber stehen die „Black Hats“ – auch bekannt als „die bösen Hacker“. Das Vorgehen und die eingesetzten Werkzeuge sind bei beiden Hackergruppen gleich, jedoch verfolgen beide Gruppen unterschiedliche Ziele. Die White Hats starten ihre Angriffe nur mit einer Erlaubnis und legen die gefundenen Schwachstellen am Ende offen, damit diese geschlossen werden können. Immer öfter stecken die Sicherheitslücken jedoch nicht in veralteter Software, sondern drücken sich in arglosem Verhalten der Mitarbeiter aus. Die beste Antivirus-Software nützt nichts, wenn jede E-Mail einfach sorglos angeklickt wird.
Social Hacking
Dass der menschliche Faktor viel einfacher zu überwinden ist als die Sicherheitslösungen, haben auch die Hacker erkannt. Nett nach dem Passwort fragen ist immer noch einfacher als den Antivirus auszutricksen und die Firewall zu überlisten. Und wenn die Phishing-Mail gut gemacht ist, klicken wir einfach drauf und melden uns vermeintlich bei unserer Bank, dem Online-Händler des Vertrauens oder bei DHL an. Schnell noch auf anmelden drücken und schon sind der Benutzername samt Passwort in den falschen Händen. Aktuelle Sicherheitskonzepte stellen daher auch die Schulung und Sensibilisierung von Mitarbeitern in den Mittelpunkt.
Wie schnell eine Phishing-Mail zusammengebaut und versendet ist, haben unsere Hacker auf unserem letzten Business Breakfast gezeigt. Vor Publikum haben die beiden hier eine personalisierte E-Mail gebaut und mit einem präparierten Link versendet. Alles was jetzt noch zu tun war, war darauf warten, dass der Empfänger auf den Link klickt. Für das Publikum gab es anschließend noch einen spannenden Mitmachteil, aber da möchten wir an dieser Stelle noch nicht zu viel verraten.
Vergessene Geräte
Beim Stichwort IoT (Internet of Things) bekommt Carsten ein Funkeln in den Augen und schwärmt über die Möglichkeiten. Gemeint sind hier die vielen Geräte wie Videokameras, die per Kabel oder WLAN mit dem Internet verbunden sind, aber seit der Einrichtung kein Sicherheitsupdate mehr erhalten haben und sehr einfach zu kapern sind. Carsten hat da schon einen Plan sich auch in unserem Netzwerk nach IoT Geräten umzuschauen.