Unsere Gründer Tim und Immanuel waren im Juni 2022 zu Gast bei „Update verfügbar“, dem „Podcast für digitale Sicherheit im Alltag“ des BSI. In der Folge „Hacking gegen Cyber-Attacken? Im Gespräch mit White Hat“ vom 30. Juni 2022 sprechen sie mit dem Moderationsteam Ute Lange und Michael Münz über ihre persönliche Motivation und mögliche Bildungswege zum White Hat (ethische und legal arbeitende Hacker), über den Faktor Mensch und Social Engineering sowie Einblicke in die aktuelle Lage der IT-Security-Branche.
Das Thema digitale Sicherheit gewinnt für Unternehmen, aber auch für private Verbraucher:innen immer mehr an Bedeutung. Hierzu wird im Podcast die Initiative „Deutschland sicher im Netz“ (DsiN) zitiert, laut deren Index Verbraucher:innen gegenwärtig schlechter geschützt seien als in der Vergangenheit. Das zeigt auch der 2. Bericht zum Digitalen Verbraucherschutz des BSI: Privatpersonen seien immer häufiger von Cyber-Attacken betroffen, ohne direkt angegriffen zu werden. Das ist zum Beispiel der Fall, wenn Krankenhäuser, Bezahlsysteme oder Verwaltungsbehörden gehackt werden.
Tim hackte einmal das WLAN eines Krankenhauses, um dem Geschäftsführer eine Nachricht in seinen Posteingang zu legen.
Hierzu berichtet Tim im Podcast von einem sehr persönlichen Erlebnis: Als er mit seiner an Krebs erkrankten Frau für eine Behandlung im Krankenhaus war, konnte diese nicht durchgeführt werden, weil das Krankenhaus gerade von einem Hacking-Angriff betroffen war. Die Krankenhaus-Leitung war bis zu diesem Zeitpunkt offenbar der Überzeugung, man könne sich vor solchen Vorfällen ohnehin nicht schützen und müsse eben damit leben. Tim hackte daraufhin das WLAN des Krankenhauses, um dem Geschäftsführer eine Nachricht in seinen Posteingang zu legen: Er solle sich bitte bei ProSec melden, da man sich vor solchen Vorfällen mit dem richtigen Know-How sehr wohl schützen könne. Daraus entstand schlussendlich eine kostenlose Testung und Beratung durch unsere „White Hats“, um das Krankenhaus und somit dessen Patienten künftig besser vor Cyber-Attacken zu schützen.
In der Erzählung über den Krankenhaus-Vorfall schwingt die persönlichen Motivation von Immanuel und Tim mit, die sie zu einer Karriere als ethische Hacker und zur Gründung von ProSec bewegt hat. Immanuel berichtet hierzu von seinem persönlichen einem Schlüsselerlebnis: Bei einem Hacker-Kongress ging ein Proof-of-Concept-Dokument um, in dem beschrieben wurde, wie Herzschrittmacher gehackt werden können. Das war für Immanuel ein entscheidender Punkt in seiner Biografie, sich klar für die „gute“ Seite des Hackings zu entscheiden.
„Können wir es schaffen, mit Hacking Menschenleben zu retten?“
Auch Tim konnte die Arbeitsweise illegaler Hacker nie mit seinem eigenen „moralischen Kompass“ vereinbaren, wie er im Podcast verdeutlicht. Denn um durch illegales Hacking Geld zu verdienen, müssen Angriffe breit gestreut werden. Daher sei vorher nicht absehbar, wen die Attacken am Ende treffen und welche Konsequenzen sich daraus auch für Menschenleben ergeben, so Tim weiter. Daraus ergab sich für Tim und Immanuel zu Beginn ihrer Gründer-Karriere die Frage, ob man durch Hacking Menschenleben retten kann, statt sie zu gefährden. Daher haben es sich unsere Gründer zur Aufgabe gemacht, über die Methoden der „bösen Hacker“ aufzuklären, diese aufzudecken und entsprechende Schutzmechanismen zu entwickeln.
Zusammenfassend stellt Tim klar: „Wir wollen zwar auch Geld verdienen, weil wir ein Unternehmen sind und Gehälter zahlen müssen, aber das tun wir nicht auf Kosten anderer!“
Wir alle kennen das Klischee-Bild, das Immanuel im Podcast nachzeichnet: Jemand schlüpft in einen dunklen Hoodie, zieht sich die Kapuze weit ins Gesicht, setzt sich vor einen Computer und mutiert so zum „Hacker“. Doch wie sieht das in der Realität aus? Wie wird man zum Security Analyst oder Penetration Tester, wie die offiziellen Bezeichnungen im legalen Bereich lauten?
Eine Frage, die das Moderatorenteam beschäftigt, ist die nach dem beruflichen Werdegang zum „professionellen Hacker“. Es gibt zwar Studiengänge, die entsprechende Themen aufgreifen, aber „Hacker“ ist definitiv kein klassischer Ausbildungsberuf. Aus diesem Grund sind auch die Mitarbeiter:innen bei ProSec oft auf Umwegen zu ihrem jetzigen Job gelangt, beispielsweise durch das Hobby oder Schnittstellen mit ganz anderen Berufsfeldern. So berichtet Tim beispielsweise von einem Mitarbeiter aus unserer Marketing-Abteilung, der Social Engineering Szenarios mitentwickelt. Immanuel erwähnt einen Diplom-Philosophen im Lösungsbereich unseres Teams.
Das Problem beim Finden neuer Mitarbeiter: kleines Zeitfenster
Tim betont jedoch, dass er keine Mitarbeiter einstellen würde, die durch illegales Hacking bereits straffällig geworden sind – egal ob sie erwischt wurden oder nicht. Daher sei das Zeitfenster für das Finden neuer Talente sehr klein. Er möchte Nachwuchs-Hackern jedoch am entscheidenden Punkt die Perspektive bieten, dass man Hacking auch legal und im Dienste einer guten Sache betreiben kann.
Mitarbeiter gesucht!
Neue Mitarbeiter werden bei ProSec eigentlich immer gesucht, weil der Markt boomt und die Nachfrage durch Unternehmen für das Testen ihrer IT-Sicherheit riesig ist. Das liegt nicht zuletzt am Ukraine-Krieg.
Zum Thema Ukraine-Krieg nennt Tim das Stichwort Bloody Trade: Unternehmen, die direkt oder indirekt in einer geschäftlichen Beziehung zu Russland oder der Ukraine stehen, geraten schnell ins Visier der jeweils anderen Seite. Dies trifft unter Umständen auch Firmen, bei denen Hackergruppierungen wie Killnet fälschlicherweise von einer Beziehung zu einem der beiden Länder ausgehen. Um Unternehmen vor möglichen Angriffen zu warnen, hat ProSec einen Scanner entwickelt, der die Foren der Hacker nach Angriffszielen durchsucht. Die Ergebnisse stehen auf unserer Homepage frei zur Verfügung:
In den Sozialen Medien werden unter dem Hashtag #bloodytrade beispielsweise Memes geteilt, die zum Angriff auf bestimmte Ziele aufrufen sollen. Das zeigt, dass zunehmend auch Marketing-Abteilungen in die Erkennung von Bedrohungslagen einbezogen werden müssen.
Wie kamen Tim und Immanuel zum Hacking?
Unsere Gründer berichten auch von ihrem eigenen Einstieg in die Welt des Hacking. Tims Weg begann bereits in der 3. Klasse: Nach dem Wechsel von Modem auf ISDN gab es CDs, auf denen sich Gutscheine mit Codes für 90 Freistunden ISDN befanden. Tim lernte daraufhin zu programmieren, solche Codes automatisiert zu testen. So bekam er seine erste „Internet-Flatrate“.
Immanuel hingegen kam durch seine private Biografie zum Hacking: Nach seiner Flucht aus seinem Herkunftsland wollte er Informationen über familiäre Zusammenhänge beschaffen. So begann er als Jugendlicher, sich für Methoden der Informationsbeschaffung und den Faktor Mensch zu interessieren.
Unternehmen beauftragen uns mit der Fragestellungen „Bin ich sicher?“ bzw. „Wo habe ich Sicherheitslücken?“ und möchten ihre IT-Sicherheit durch Tests prüfen lassen. Im Gegensatz zu illegalen oder privat agierenden Hackern verfügen Unternehmen wie ProSec über ein Projektmanagement und entsprechende Versicherungen, um solche Tests professionell abzuwickeln und abzusichern.
Nach der Beauftragung und der Klärung der Rahmenbedingungen kümmern sich verschiedene Teams um die Planung und Durchführung der Tests: Vom physischen Zugang zu Gebäuden über Netzwerk-Angriffe bis hin zum Social Engineering mit dem Faktor Mensch werden dabei alle Zugangswege einbezogen, die auch illegale Hacker nutzen würden. Am Ende erhält das getestete Unternehmen von uns eine detaillierte Übersicht über gefundene Sicherheitslücken und mögliche Verbesserungsansätze seines Sicherheitsmanagements.
Das Sicherheitsmanagement von Unternehmen beginnt bereits bei der Detektion: Werden Angriffe erkannt? Ein wichtiger Faktor ist außerdem die Trennung einzelner Teilnetze, damit ein Angreifer nach dem Eindringen in einen Bereich nicht sofort Zugriff auf alle Netzbereiche hat. Auch das Update- und Patch-Management sind sehr wichtig für einen zuverlässigen Schutz.
Bei all diesen Faktoren spielt es fast keine Rolle, wie groß ein Unternehmen ist und wie viele Personen dort arbeiten, findet Immanuel. Digitalisierung bedeutet immer Schnittstellen und diese wiederum bieten immer Angriffsvektoren. Das beginnt bereits beim Staubsauger-Roboter und reicht über eine neue, vielleicht noch nicht fertig eingerichtete Telefonanlage bis hin zur Fertigungsanlage eines Maschinenbauers.
Hacker nutzen bei ihren Angriffen oft das schwächste Glied in der Abwehr-Kette – den Faktor Mensch. Tim erklärt, dass Menschen immer wieder den gleichen Schwächen erliegen: Emotionen wie Neugierde und Angst. Wenn man als Hacker nicht auf dem technischen Weg in ein Netzwerk gelangen könne, so schaffe man es doch meistens über die Nutzer.
„Halte dich selbst nicht für sicherer als alle anderen!“
Immanuel und Tim geben ein Beispiel, wie der Faktor Mensch über Social Engineering geknackt werden kann: Wenn Angreifer sich physischen Zugang zu einem Bürogebäude verschaffen können (zum Beispiel wegen eines simplen Holzkeils…), könnten sie gezielt manipulierte USB-Sticks auslegen. Bei Mitarbeitern mit einer Schwäche für schöne Dinge könnten das beispielsweise goldene USB-Sticks sein. In der IT-Abteilung wirken eher Sticks mit dem Aufdruck „Mein Bitcoin-Wallet“.
Tim gibt zu, dass ein solcher Stick selbst ihn in einem schwachen Moment ausreichend reizen könnte, um ihn mit seinem Laptop zu verbinden. Seine Botschaft ist daher, sich selbst trotz aller Vorsicht nicht für unfehlbar zu halten und sich seiner eigenen Schwächen bewusst zu sein. Immanuel ergänzt, dass ein solcher Angriff über Social Engineering nicht zwingend auf die eigene Person angelegt sein muss, sondern auch auf Familienmitglieder abzielen kann, um beispielsweise Zugang zum heimischen Netzwerk zu erhalten.
Moderator Michael Münz berichtet in diesem Zusammenhang von einem Erlebnis während einer Tagung: Dort wurde er von jemandem nach einem USB-Stick gefragt und gab diesen unbedarft aus der Hand. Später habe er sich gefragt, ob er diesen Stick nun überhaupt noch gefahrlos benutzen könne.
Seine Kollegin Ute Lange ergänzt Vorfälle aus dem Bundestag: Kriminelle haben mehrere Mitglieder des Bundestags per SMS kontaktiert und sich dabei als Politiker ausgegeben. In den SMS bitten sie um ein vertrauliches Gespräch auf einem sicheren Kanal. Hierfür sollen die angesprochenen Personen ein neues Konto auf diesem Kanal anlegen. Ziel der Betrüger ist es, den Authentifizierungscode abzufangen, um so ein weiteres Konto im Namen des Bundestags-Mitglieds zu erstellen. Die genauen Motive für dieses Vorgehen seien noch unklar, so die Moderatorin.
Das Moderationsteam und unsere Gründer sind sich einig: Die beste technische Absicherung schützt nicht vor der Manipulation von Menschen. Eine gewisse Skepsis ist daher grundsätzlich angebracht. Auch ProSec ist trotz allen Know-Hows nicht von Hacking-Angriffen ausgenommen. Tim bekennt, dass auch unser Unternehmen in der Vergangenheit bereits angegriffen wurde – wenn auch ohne Erfolg. Er kennt daher aus eigener Erfahrung das mulmige Gefühl zwischen der Erkennung des Angriffs und der Sicherheit, dass die Täter erfolgreich abgewehrt werden konnten.
Das BSI sieht vorwiegend die Hersteller und Anbieter digitaler Produkte in der Verantwortung, die Daten der Nutzer zu schützen. Doch Michael Münz stellt klar, dass Verbraucher:innen einerseits darauf achten können, besonders geeignete Produkte auszuwählen, und andererseits selbst tätig werden können, was den Schutz ihrer Daten im Netz betrifft. Seine Kollegin Ute Lange empfiehlt beispielsweise den Identity Leak Checker des Hasso-Plattner-Instituts, um zu überprüfen, ob die eigene Identität bei einem Datenleck involviert ist. Tim ergänzt um den ähnlichen Dienst „Have I been pwned?“.
Ist meine Identität Teil eines bekannten Datenlecks? Das kann hier überprüft werden:
Was passiert, wenn man von einem solchen Datenleck betroffen ist? Das Moderatorenteam erklärt, dass dies beispielsweise zum Empfang von Spoofing-Anrufen (hierbei gibt sich der Anrufer als jemand anders aus; engl. spoofing = parodieren/ fälschen/ täuschen) oder SPAM-Mails führen kann. Aktuell werde sogar die Telefonnummer des BSI für Spoofing-Anrufe missbraucht, warnt Ute Lange die Zuhörer:innen. Betroffene sollten die Kennwörter ihrer Konten sofort ändern.
Weiterhin empfehlen Tim und Immanuel, einen Passwort-Manager zu nutzen. Durch einen solchen „Safe“ kann man für jeden Login ein separates, möglichst komplexes Passwort nutzen, ohne sich alle merken zu müssen. Das sei zwar eigentlich keine neuer Tipp, lacht Tim, aber für viele Menschen immer noch relevant. Wichtig sei auch, sich seine eigenen menschlichen Schwächen bewusst zu machen. So könne man in entsprechenden Situationen reflektieren, ob man gerade eine rationale Entscheidung treffen kann. Wenn man also ein E-Mail erhält, durch die man in eine ängstliche Stimmung versetzt wird, sollte man diese Emotion zunächst kontrollieren, bevor man beispielsweise auf einen Link klickt.
Merkspruch: „Kopf und Kontext“
Immanuel bündelt die Tipps zum „Faktor Mensch“ schließlich in einem Merkspruch, der Moderatorin Ute Lange auch beim Wrap-Up in der nächsten Folge noch sehr präsent ist: „Kopf und Kontext“. Immanuel erläutert diese Schlagworte wie folgt: In Grenzsituationen solle man sich immer fragen, ob die Details in den Gesamtkontext passen und ob der eigene Kopf gerade klar genug für eine rationale Entscheidung ist. Beispielsweise habe Immanuels Mutter einmal eine Smishing-Nachricht (Smishing = Phishing per Textnachricht) auf ihrem Senioren-Handy erhalten. Darin stand, ein Paket warte darauf, von ihr abgeholt zu werden. Seine Mutter bemerkte aber sofort, dass der Kontext nicht stimmen konnte: Sie hatte gar kein Paket bestellt.
Lieber eine Stunde ungespritzt beim Zahnarzt als eine Stunde ungeschützt im Netz!
Ute Lange schließt die Podcast-Folge mit dem festen Vorsatz, die Tipps der ProSec-Gründer in ihren Alltag zu integrieren: So, wie wir in der analogen Welt unseren Schlüssel nicht in der Haustür stecken lassen, sollten wir uns auch in der digitalen Welt um die Sicherheit unserer Daten kümmern. Denn da sind sich Immanuel und Tim auf eine Entweder-Oder-Frage zu Beginn des Podcasts sofort einig: Lieber eine Stunde ungespritzt beim Zahnarzt als eine Stunde ungeschützt im Netz!
Über 1.000 Unternehmen sind mit infizierten WordPress-Websites konfrontiert, deren Sicherheit durch JavaScript-Backdoors bedroht ist. Die Angriffsweise nutzt dabei vier unterschiedliche Backdoors für maximalen Schaden. Unternehmen müssen deshalb proaktive Sicherheitsstrategien implementieren.
Hacker nutzen Fehlkonfigurationen in AWS für gezielte Phishing-Angriffe. Unternehmen öffnen damit unbewusst ihre IT-Infrastruktur für Angriffe. Traditionelle Sicherheitsmaßnahmen versagen oft bei der Abwehr dieser Bedrohung.
Sicherheitsforscher entdecken Sicherheitslücke in Apples “Find My”-Netzwerk, die Industriespionage ermöglicht. Mit der Methode “nRootTag” können Angreifer unbemerkt Geräte in Peilsender verwandeln. Unternehmen weltweit sind alarmiert und suchen Schutzmaßnahmen.
