May 2, 2023
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Der BSI Lagebericht 2022 zur Lage der IT-Sicherheit macht deutlich, dass die Bedrohung durch Hackerangriffe weiter steigt. In diesem Artikel in der Süddeutschen Zeitung (SZ) gleichen die IT Security Experten von ProSec die statistischen Auswertungen mit ihrer Praxiserfahrung ab und erklären, wie der Bericht in diesem Jahr positiver ausfallen kann.
Der Artikel fasst das Fazit des BSI Lagebericht 2022 treffend zusammen: „Nie war die Bedrohung im Cyber-Raum so hoch wie im Jahr 2022.“ Dies liegt nicht zuletzt an den Aktivitäten prorussischer Hacker-Gruppierungen im Zusammenhang mit dem Ukraine-Krieg, die als „Hacktivismus“ bezeichnet werden. Diese Angriffe betreffen sowohl private Unternehmen als auch Institutionen des öffentlichen Sektors.
Der Artikel hebt zwei Beispiele hervor, welche die Tragweite erfolgreicher Cyber-Attacken verdeutlichen: Ein deutsches Mineralöl-Unternehmen habe beispielsweise vorübergehend kritische Prozesse einstellen müssen, weil Hacktivisten den amerikanischen Mutterkonzern angriffen. Ein erfolgreicher Hacking-Angriff auf die ukrainische Satellitenkommunikation habe einen Ausfall bei der Fernwartung deutscher Windkraftanlagen mit sich gezogen.
Unser Gründer Tim erklärt, worum es den Hacktivisten in diesen Fällen geht:
Während böswillige Hacker normalerweise auf die Zahlung von Lösegeld abzielen, geht es den pro-russischen Hackern um eine „Show of Force“, also die Demonstration der eigenen Stärke.
Trotz dieser neuen Entwicklungen sei noch immer „Ransomware der Problemschwerpunkt“, macht der Artikel in der SZ deutlich. Sowohl die Zahl der Opfer als auch berichtete Löse- und Schweigegeldzahlungen haben weiter zugenommen.
Dies betrifft längst nicht mehr nur private Unternehmen oder gar besonders umsatzstarke Unternehmen (sog. „Big Game Hunting“). Auch Angriffe auf kommunale Verwaltungen sind längst keine Seltenheit mehr. Der Artikel nennt die Ransomware-Attacke auf den Landkreis Anhalt-Bitterfeld als besonders drastisches Beispiel. In dessen Folge wurde der erste digitale Katastrophenfall in Deutschland ausgerufen, da beispielsweise die Zahlung von Sozialhilfen über einen langen Zeitraum nicht möglich war.
Unsere beiden Gründer machen im Artikel der SZ deutlich, warum Hacker immer noch eine so hohe Erfolgsquote haben: Erstens entstehen durch Digitalisierung immer auch mehr Schnittstellen und Angriffsvektoren. Zweitens arbeiten in jedem Unternehmen und in jeder Behörde letztendlich Menschen, die in Sachen Cyber Security das schwächste Glied in der Verteidigungskette sind.
In den meisten Fällen nutzen Hacker allerdings „die größte Schwachstelle jeder Behörde, die Menschen“, weiß Immanuel Bär aus seiner langjährigen Erfahrung.
In den meisten Fällen braucht es gar nicht viel für einen erfolgreichen Hacking-Angriff, wissen Tim und Immanuel aus Erfahrung: Oft genüge eine klassische Phishing-Mail mit angehängter Malware, um sich Zugriff zu einem Netzwerk zu verschaffen. Im Anschluss werden Daten aus den Netzwerken verschlüsselt und exfiltriert und die Opfer erpresst.
Die Menschen sind jedoch nicht nur die größte Schwäche jeder IT, sie sind gleichzeitig auch die eigentlichen Opfer, wie das Beispiel Anhalt-Bitterfeld zeigt. Immanuel betont, dass genau darin die Motivation für das Team von ProSec liegt:
Angriffe auf IT betreffen letztendlich immer Menschen. Das ist eine der wichtigsten Motivationen für uns, Behörden bei diesem Thema zu unterstützen.
Der Aufbau von Cyber Resilienz in einem Unternehmen oder einer Behörde kann nur dann zielgerichtet und effizient erfolgen, wenn zunächst eine „Anamnese“ des aktuellen Zustands durchgeführt wird. Genau das ist das Ziel unserer Penetration Tests.
Unsere Experten veranschaulichen im Artikel in der SZ an einem Beispiel, wie wichtig die Einbeziehung des Faktor Mensch sowie der physischen Sicherheit bei einem solchen Security Assessment sind: Beim Penetration Test für die Stadtwerke eines Ortes fanden unsere Pentester in der Information-Gathering-Phase Dokumente in einem frei zugänglichen Papiercontainer. Damit konnten sie den Namen eines IT-Dienstleisters der Stadtwerke in Erfahrung bringen und sich in einem Phishing-Anruf als dieser ausgeben. Auf diese Weise gelangten sie an weitere vertrauliche Informationen, die sich ein von uns eingeschleuster Praktikant im Anschluss vor Ort zunutze machen konnte. Der Praktikant platzierte einen Netzwerksniffer mit LTE-Anbindung – mit der Aufschrift „IT, bitte stehen lassen“ und kompromittierte so ein Operational-Technology-Netzwerk.
Bei diesem und auch allen anderen von uns durchgeführten Penetration Tests gehen wir vor wie böswillige Hacker, ohne jedoch tatsächlich Schaden anzurichten. Im Gegenteil: Wir unterstützen unsere Kunden bei der Behebung der Sicherheitslücken, damit andere Hacker diese nicht mehr ausnutzen können.
Inhaltsverzeichnis Nachdem wir in unserem ersten OWASP Top 10 Beitrag 3 Broken Access Control Attacks vorgestellt haben, geht es nun
Der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) 2022 zeigt: Die IT Sicherheit im öffentlichen Sektor ist zunehmend
Interview mit Christian Rosenzweig (Johner Institut) – Teil 2 Im ersten Teil unseres Interviews haben wir grundlegende Fragen rund um