Direkt zum Inhalt

Hack mich

18.11.2020

Immer mehr Firmen wollen sich von IT-Experten hacken lassen. Richtige Hack-Angriffe bieten diese selten an, doch viele führen Penetration Tests durch, um die Schwachstellen offenzulegen.

Hat schon viele Betriebe gesehen, die ihre IT-Sicherheit grob vernachlässigt haben: IT-Sicherheitsexperte Vincenz Leichtfried.

„Hack mich!“ Das wünschen sich viele Unternehmer von ITSicherheitsexperten – und die Nachfrage steigt gerade enorm. Oft hört die Geschäftsführung von einem Angriff, bei dem Hacker wieder einmal Tausende Kreditkartendaten gestohlen haben, von Industriespionage oder von Assistenten, die große Summen an Kriminelle überwiesen haben, weil sie fälschlicherweise glaubten, der CEO hätte ihnen das per E-Mail aufgetragen. Und sie fragen sich: Kann uns das auch passieren? Wer es genau wissen will, wendet sich an IT-Spezialisten und bittet sie, das eigene Unternehmen durch Angriffe von außen auf Herz und Nieren zu prüfen.

Michael Krausz, Gründer und CEO der i.s.c. – information security consulting eU, klärt auf, dass es sich bei diesem „Auftragshacking“ eigentlich um Penetration Testing handelt: „Der Unterschied zwischen einem Penetration Test und einem Hack-Angriff ist: Der Penetration Test findet mit Erlaubnis statt.“ Er nennt einen Vergleich: „Hacker und Penetration Tester messen die Radioaktivität, aber Hacker schieben noch ein bisschen Plutonium nach.“ Während sich Hacker manchmal für eine Aktion ein halbes oder ganzes Jahr Zeit nehmen, um zum Beispiel in Buchhaltungsprogramme so tief einzudringen, dass sie dort auch Rechnungen fälschen können, dauert ein Penetration Test in der Regel zwischen einer Woche und drei Monaten. Es geht dabei darum, Schwachstellen zu finden – sowohl technische als auch physische und menschliche. Denn, ja, ein Penetration Test kann auch den Versuch beinhalten, in ein Unternehmensgebäude zu gelangen und dort so viele Unterlagen wie möglich aus dem Büro des CEOs mitgehen zu lassen.

DER PATIENT ÜBERLEBT Michael Krausz führt seit fast 20 Jahren Penetration Tests in Österreich durch. Er hält das für wichtig: „Mit der IT-Sicherheit ist es wie mit Ihrem Keller: Solange Sie nicht die Tür aufmachen und das Licht aufdrehen, wissen Sie nicht, was dort kreucht und fleucht.“ ITLeiter haben laut Krausz keine Ahnung, was in ihrem Netzwerk los ist, solange sie es nicht testen. Manche würden sich einfach darauf verlassen, dass alles so funktioniert, wie es die Hersteller gerne hätten, aber könnten nicht einmal erkennen, ob Hacker vorgedrungen sind. Er bringt einen weiteren Vergleich: „Ein Penetration Test ist wie eine Obduktion, die der Patient überlebt.“

Ein Penetration Test kann verschiedene Formen annehmen: Er kann auf die IT zielen, auf die physische Sicherheit wie etwa Eingangsbereiche, oder es kann sich um einen Human Penetration Test handeln, also etwa den Versuch, Mitarbeitern Firmengeheimnisse zu entlocken. Natürlich umfasst nicht jeder Test alle denkbaren Möglichkeiten, die ein Hacker in Angriff nehmen kann, aber, so Krausz: „Getestet werden typischerweise Tausende Schwachstellen.“ So werde zum Beispiel jede IP-Adresse von Geräten, die das Unternehmen nutzt, getestet, was weitgehend automatisiert abläuft. Nicht jede Schwachstelle, die man findet, stellt ein Risiko dar, doch es kann durchaus um viel gehen. So erzählt Krausz davon, jüngst über einen Penetration Test entdeckt zu haben, dass die Daten eines Kunden im Darknet gehandelt werden. Eine klassische Lücke seien etwa auch schlecht geschützte Datenbanken, in die Hacker durch eine SQL-Injection vordringen können. Dabei reicht es manchmal, bei einer Login-Seite, die Username und Passwort verlangt, etwas einzugeben, was das System für einen Befehl hält. Krausz: „Die Datenbank glaubt dann zum Beispiel, Sie hätten sie gefragt, alle ihre Userdaten bekannt zu geben oder alles zu löschen.“ Während ein Black Hat, also ein krimineller Hacker, diese Lücke ausnützen würde, zeigt ein Penetration Tester sie nur auf.

PHYSISCHE UND MENSCHLICHE LÜCKEN Penetration Testing kennt kaum Grenzen, vor allem, wenn auch physische und menschliche Sicherheitslücken getestet werden: Wie anfällig sind etwa Mitarbeiter für Social Engineering, also wie leicht können ihnen zum Beispiel wichtige Informationen oder Unterlagen entlockt werden? Bei rund 10 bis 15 Prozent der Unternehmen, die i.s.c. testen, liegt viel im Argen. Bei etwa 15 bis 25 Prozent ist im Grunde alles in Ordnung. Krausz: „Sie haben eine gut funktionierende Praxis und wollen noch jemanden von außen draufschauen lassen.“ Am Ende eines Penetration Tests erhalten die Unternehmen einen Bericht über die Lücken, meist auch mit Handlungsanweisungen.

Der Daten- und IT-Sicherheitsexperte Vincenz Leichtfried hat schon viele Betriebe gesehen, die ihre IT-Sicherheit grob vernachlässigt haben. Bei ihnen sind laut Leichtfried Angriffe von außen nicht das geeignete Mittel, um Sicherheitslücken aufzuzeigen. Aufwendige Penetration Tests machen aus seiner Sicht nur für Unternehmen Sinn, die schon einen bestimmten Sicherheitslevel erreicht haben. Leichtfried startet Analysen bevorzugt von innen: „Das Endziel ist, Firmen zu stärken. Und wenn ich die Firma von innen heraus stärke, schaue ich mir an, wie sie aufgebaut ist, wo die Gefahrenpotenziale liegen und wie ich die Risiken abwenden kann.“ Seine Basisanalyse, die nach einem strukturierten Modell abläuft, beinhaltet neben der Datensicherheit etwa auch Themen wie Geschäftsgeheimnisse, Datenschutz und Aufbewahrungspflichten. Es gehe nämlich nicht immer nur um Cybercrime, sondern auch um viele andere Faktoren wie zum Beispiel Notfallpläne zur Wahrung der Unternehmensstabilität durch ein Vertretungsmanagement, falls Schlüsselpersonen ausfallen. Eine reine Schwachstellensuche von außen hält Leichtfried für wenig effizient und ökonomisch: „Wenn ich von außen komme, muss ich irrsinnig viele Versuche machen, von denen vielleicht einer gelingt.“ Und: „Ich kann nach der Innenanalyse immer noch Leute hacken und schrecken, um zu zeigen, wie leicht ein Angriff möglich ist – wobei ich hier vor allem an die Schwachstelle Mensch denke.“

NICHT NUR AIRBAGS EINBAUEN Außerdem sei es manchmal sinnvoller, veraltete und unsichere Systeme ganz umzustellen als viele Ressourcen in Tests zu stecken. Leichtfried: „Ein Setup-Wechsel ist oft besser, als bei einem schlechten System die Schwachstellen zu suchen.“ Er zieht den Vergleich zu einem alten Auto, in das man Airbags einbaut, anstatt ein neues sicheres Auto anzuschaffen. Ein neues System könne in der IT etwa ein virtueller Arbeitsplatz sein, der physisch in einem abgesicherten Rechenzentrum mit sehr guter Internetverbindung läuft und von jedem Bildschirm aus aufgerufen werden kann: „Dadurch kommen meine Daten nie ins Home, sondern bleiben immer im Office.“ Und auch die IT-Wartung laufe zentral.

Übrigens: Wer sich wirklich hacken lassen will, kann zum Beispiel einen Hack-Contest veranstalten, wie es etwa Tesla tut. So etwas hat zwar Showeffekt – würde aber bei vielen mittelständischen Betrieben eher zu unerwünschter PR führen.

Autor/in:
Alexandra Rotter
Werbung

Weiterführende Themen

Stories
12.02.2020

Auch wenn an unseren Grenzen keine Panzer auffahren, sind Österreich und seine Unternehmen gezielten Angriffen ausgesetzt. Wer im Fokus der internationalen Attacken steht und worauf sich die ...

Stories
27.11.2019

Anstatt schwerer Artillerie setzen Staaten immer öfter Cyberwaffen ein, um anderen Staaten zu schaden. Dabei geraten allerdings auch Unternehmen zwischen die Fronten.

SICHER
05.11.2019

Jedes dritte Unternehmen gerät hierzulande ins Visier von Cyberkriminellen – oft werden diese Attacken noch nicht einmal bemerkt. Hundertprozentige Sicherheit ist heutzutage ebenso realitätsfern ...

SICHER
05.11.2019

Unternehmer sollten die IT-Sicherheit nicht auf die leichte Schulter nehmen. Denn laut Oberstleutnant Wilhelm Seper, Leiter des Referates C4 Ermittlungen im Bundeskriminalamt, gibt es einen ...

Stories
04.06.2019

Daten sind ein strategisches Asset. Beinahe jedes Unternehmen kann aus ihnen Nutzen generieren. Dennoch lassen viele KMU das Potenzial noch links liegen. Dabei ist Datenmanagement eine lustvolle ...

Werbung