Auftragshacking gegen IT-Schwachstellen

IT Security
23.10.2020
Von: Alexandra Rotter
Immer mehr Firmen wollen sich von IT-Experten hacken lassen. Richtige Hack-Angriffe bieten diese selten an, doch viele führen Penetration Tests durch, um die Schwachstellen offenzulegen.
Viele Betriebe unterschätzen die Gefahren und vernachlässig daher ihre IT-Sicherheit
© Getty Images

„Hack mich!“ Das wünschen sich viele Unternehmer von IT-Sicherheitsexperten – und die Nachfrage steigt gerade enorm. Oft hört die Geschäftsführung von einem Angriff, bei dem Hacker wieder einmal Tausende Kreditkartendaten gestohlen haben, von Industriespionage oder von Assistenten, die große Summen an Kriminelle überwiesen haben, weil sie fälschlicherweise glaubten, der CEO hätte ihnen das per E-Mail aufgetragen. Und sie fragen sich: Kann uns das auch passieren? Wer es genau wissen will, wendet sich an IT-Spezialisten und bittet sie, das eigene Unternehmen durch Angriffe von außen auf Herz und Nieren zu prüfen.

Michael Krausz, Gründer und CEO der i.s.c. – information security consulting eU, klärt auf, dass es sich bei diesem „Auftragshacking“ eigentlich um Penetration Testing handelt: „Der Unterschied zwischen einem Penetration Test und einem Hack-Angriff ist: Der Penetration Test findet mit Erlaubnis statt.“ Er nennt einen Vergleich: „Hacker und Pene­tration Tester messen die Radioaktivität, aber Hacker schieben noch ein bisschen Plutonium nach.“ Während sich Hacker manchmal für eine Aktion ein halbes oder ganzes Jahr Zeit nehmen, um zum Beispiel in Buchhaltungsprogramme so tief einzudringen, dass sie dort auch Rechnungen fälschen können, dauert ein Penetration Test in der Regel zwischen einer Woche und drei Monaten. Es geht dabei darum, Schwachstellen zu finden – sowohl technische als auch physische und menschliche. Denn, ja, ein Penetration Test kann auch den Versuch beinhalten, in ein Unternehmensgebäude zu gelangen und dort so viele Unterlagen wie möglich aus dem Büro des CEOs mitgehen zu lassen.

Der Patient überlebt

Michael Krausz führt seit fast 20 Jahren Penetration Tests in Österreich durch. Er hält das für wichtig: „Mit der IT-Sicherheit ist es wie mit Ihrem Keller: Solange Sie nicht die Tür aufmachen und das Licht aufdrehen, wissen Sie nicht, was dort kreucht und fleucht.“ IT-Leiter haben laut Krausz keine Ahnung, was in ihrem Netzwerk los ist, solange sie es nicht testen. Manche würden sich einfach darauf verlassen, dass alles so funktioniert, wie es die Hersteller gerne hätten, aber könnten nicht einmal erkennen, ob Hacker vorgedrungen sind. Er bringt einen weiteren Vergleich: „Ein Penetration Test ist wie eine Obduktion, die der Patient überlebt.“

Ein Penetration Test kann verschiedene Formen annehmen: Er kann auf die IT zielen, auf die physische Sicherheit wie etwa Eingangsbereiche, oder es kann sich um einen Human Penetration Test handeln, also etwa den Versuch, Mitarbeitern Firmengeheimnisse zu entlocken. Natürlich umfasst nicht jeder Test alle denkbaren Möglichkeiten, die ein Hacker in Angriff nehmen kann, aber, so Krausz: „Getestet werden typischerweise Tausende Schwachstellen.“ So werde zum Beispiel jede IP-Adresse von Geräten, die das Unternehmen nutzt, getestet, was weitgehend automatisiert abläuft. Nicht jede Schwachstelle, die man findet, stellt ein Risiko dar, doch es kann durchaus um viel gehen. So erzählt Krausz davon, jüngst über einen Penetration Test entdeckt zu haben, dass die Daten eines Kunden im Darknet gehandelt werden. Eine klassische Lücke seien etwa auch schlecht geschützte Datenbanken, in die Hacker durch eine SQL-Injection vordringen können. Dabei reicht es manchmal, bei einer Login-Seite, die Username und Passwort verlangt, etwas einzugeben, was das System für einen Befehl hält. Krausz: „Die Datenbank glaubt dann zum Beispiel, Sie hätten sie gefragt, alle ihre Userdaten bekannt zu geben oder alles zu löschen.“ Während ein Black Hat, also ein krimineller Hacker, diese Lücke ausnützen würde, zeigt ein Penetration Tester sie nur auf.

Physische und menschliche Lücken

Penetration Testing kennt kaum Grenzen, vor allem, wenn auch physische und menschliche Sicherheitslücken getestet werden: Wie anfällig sind etwa Mitarbeiter für Social Engineering, also wie leicht können ihnen zum Beispiel wichtige Informationen oder Unterlagen entlockt werden? Bei rund 10 bis 15 Prozent der Unternehmen, die i.s.c. testen, liegt viel im Argen. Bei etwa 15 bis 25 Prozent ist im Grunde alles in Ordnung. Krausz: „Sie haben eine gut funktionierende Praxis und wollen noch jemanden von außen draufschauen lassen.“ Am Ende eines Penetration Tests erhalten die Unternehmen einen Bericht über die Lücken, meist auch mit Handlungsanweisungen.

Der Daten- und IT-Sicherheitsexperte Vincenz Leichtfried hat schon viele Betriebe gesehen, die ihre IT-Sicherheit grob vernachlässigt haben. Bei ihnen sind laut Leichtfried Angriffe von außen nicht das geeignete Mittel, um Sicherheitslücken aufzuzeigen. Aufwendige Penetration Tests machen aus seiner Sicht nur für Unternehmen Sinn, die schon einen bestimmten Sicherheitslevel erreicht haben. Leichtfried startet Analysen bevorzugt von innen: „Das Endziel ist, Firmen zu stärken. Und wenn ich die Firma von innen heraus stärke, schaue ich mir an, wie sie aufgebaut ist, wo die Gefahrenpotenziale liegen und wie ich die Risiken abwenden kann.“ Seine Basisanalyse, die nach einem strukturierten Modell abläuft, beinhaltet neben der Datensicherheit etwa auch Themen wie Geschäftsgeheimnisse, Datenschutz und Aufbewahrungspflichten. Es gehe nämlich nicht immer nur um Cybercrime, sondern auch um viele andere Faktoren wie zum Beispiel Notfallpläne zur Wahrung der Unternehmensstabilität durch ein Vertretungsmanagement, falls Schlüsselpersonen ausfallen. Eine reine Schwachstellensuche von außen hält Leichtfried für wenig effizient und ökonomisch: „Wenn ich von außen komme, muss ich irrsinnig viele Versuche machen, von denen vielleicht einer gelingt.“ Und: „Ich kann nach der Innenanalyse immer noch Leute hacken und schrecken, um zu zeigen, wie leicht ein Angriff möglich ist – wobei ich hier vor allem an die Schwachstelle Mensch denke.“

Nicht nur Airbags einbauen

Außerdem sei es manchmal sinnvoller, veraltete und unsichere Systeme ganz umzustellen als viele Ressourcen in Tests zu stecken. Leichtfried: „Ein Setup-Wechsel ist oft besser, als bei einem schlechten System die Schwachstellen zu suchen.“ Er zieht den Vergleich zu einem alten Auto, in das man Airbags einbaut, anstatt ein neues sicheres Auto anzuschaffen. Ein neues System könne in der IT etwa ein virtueller Arbeitsplatz sein, der physisch in einem abgesicherten Rechenzentrum mit sehr guter Internetverbindung läuft und von jedem Bildschirm aus aufgerufen werden kann: „Dadurch kommen meine Daten nie ins Home, sondern bleiben immer im Office.“ Und auch die IT-Wartung laufe zentral.

Übrigens: Wer sich wirklich hacken lassen will, kann zum Beispiel einen Hack-Contest veranstalten, wie es etwa Tesla tut. So etwas hat zwar Showeffekt – würde aber bei vielen mittelständischen Betrieben eher zu unerwünschter PR führen. 

Wir empfehlen folgende Artikel zum Weiterlesen

Meldestelle für Whistleblower

Whistleblower

Wer braucht denn sowas?

Meinungen

Schenken Sie Ihrer IT Gehör!

die wirtschaft

LET’S TALK ABOUT HACKS, BABY

Mehr aus der Rubrik Inspiration

Metamorphose einer Raupe

Warum tun sich manche Unternehmen mit Transformation schwer?

Der Begriff Transformation ist zurzeit in aller Munde. Doch was bedeutet er im Unternehmenskontext überhaupt?
10. Juli 2024
Ein Mann und eine Frau schauen auf einen Laptop

Businessplan mit KI erstellen

Ein Wiener Startup hat einen Ansatz entwickelt, um den Prozess der Businessplan-Erstellung zu vereinfachen.
10. Juli 2024
Zwei Frauen, eine hält einen Tablet PC

So geht zukunftsfähige Unternehmenskultur

Unternehmen benötigen eine Experimentierkultur, die das Vorwärtsdenken für alle zur Selbstverständlichkeit macht.
09. Juli 2024