Fachartikel

Führungskräfte für IT-Sicherheit sensibilisieren (1)

Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Die Artikelserie beschreibt daher Methoden zur Sensibilisierung von Führungskräften. Im ersten Teil schildern wir, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen.
Um Führungskräfte von der Notwendigkeit von IT-Sicherheitstechnologien zu überzeugen, sind praxisnahe Demos ein äußerst probates Mittel.
Meist ist das Interesse der Entscheider für IT-Themen eher schwach ausgeprägt. Das ist auch kein Wunder, gilt die IT in dieser Gruppe doch häufig eher als Kostentreiber denn als maßgeblicher Teil der Wertschöpfungskette. Außerdem buhlen natürlich auch noch andere Themen um die Aufmerksamkeit der Führungsebene. Um das C-Level dennoch für das wichtige Thema "Abwehr von Cyberangriffen" zu erreichen, bedarf es einer sorgfältigen Vorbereitung. Vielversprechender als langweilige Tech-Memos sind praktische Demonstrationen realer Sicherheitsprobleme, die sich meist ohne weiteres auch auf die unternehmenseigene IT-Sicherheitsarchitektur übertragen lassen.

Dabei sollten Sie auf Panikmache oder Angstmacherei verzichten und die Problematik stattdessen pragmatisch und sachlich darstellen. Potenzielle Schwachstellen in Ihrer eigenen IT-Systemarchitektur lassen sich dabei meist ebenfalls gut hervorheben – möglicherweise werden so schon länger beantragte Budgets zur Behebung dieser Schwachstellen dann auch schneller freigegeben. Schon in der Bibel steht "Ein Prophet gilt nirgends weniger als in seinem Vaterland und in seinem Hause". Abhängig von der Unternehmenskultur und der Persönlichkeit Ihrer Vorgesetzten werden Sie möglicherweise auch auf dieses Problem stoßen. Nehmen Sie daher im Zweifelsfall externe Unterstützung in Anspruch, gegebenenfalls kann hier auch Ihr Datenschutzbeauftragter als Brückenbauer fungieren. Denn spätestens seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 müssen Unternehmen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik treffen, um "ein dem Risiko angemessenes Schutzniveau zu erreichen".
Alltagsbeispiele verwenden
Bei Präsentationen zur Sensibilisierung in Sachen IT-Sicherheit sollten Sie sich zunächst auf Alltagssituationen konzentrieren wie sie die Anwender im Arbeitsalltag erleben. Machen Sie deutlich, dass neben den technischen auch organisatorische Aspekte eine wichtige Rolle spielen.

Denn angreifbar sind nicht nur die IT-Systeme selbst, sondern vor allem auch die Benutzer, die mit diesen Systemen interagieren. Ein wichtiger Baustein in jedem Sicherheitskonzept sind daher organisatorische Maßnahmen und Richtlinien, zum Beispiel für Anwender und Administratoren. Typische Beispiele aus dem Arbeitsalltag die jedem Benutzer bekannt sein dürften:

  • Es kommen schwache Authentifizierungsmethoden zum Einsatz, etwa die Anmeldung per Benutzername und Passwort an IT-Systemen, Applikationen und Online-Portalen.
  • Phishing-E-Mails im Posteingang und eventuell bereits Erfahrungen mit anderen Social-Engineering-Methoden in Form von Anrufen oder SMS.
  • Nutzung der Geräteschnittstellen am Arbeitsplatz-PC wie USB-Ports oder Bluetooth sind beliebig möglich.
  • Der Anschluss von Geräten ans Unternehmensnetzwerk ist problemlos möglich, vielleicht sogar mit von zu Hause mitgebrachten Geräten.
Verwundbarkeiten vorführen
Die Problematik bei der Verwendung einer reinen passwortbasierten Authentifizierung in Kombination mit schwachen Passwörtern können Sie leicht mit verschiedenen Onlinetools demonstrieren. Die meisten Systeme speichern die Passwörter der Benutzer heute als Hashwert und glücklicherweise nicht mehr im Klartext. Zur Demonstration erläutern Sie anhand des Wikipedia-Artikels [1] kurz, wie eine Hashfunktion funktioniert und erzeugen dann beispielsweise mit dem "Hash Generator" unter [2] einen NTLM-Hash für ein beliebiges einfaches Passwort. Den resultierenden Hashwert von beispielsweise "Hundkatzemaus" (EA636 793E175EA8042B529BB68F37FA7) fügen Sie in eines der zahlreichen verfügbaren Hash-Cracking-Systeme wie zum Beispiel "CrackStation" [3] ein und zeigen damit, wie schnell und leicht sich derart einfache Passwörter knacken lassen.

Weiterhin sollten Sie unbedingt auch gängige Suchmaschinen zum Aufspüren betroffener Accounts bekannter Data-Breaches vorstellen. Die Website "Have I been pwned" [4] leistet hierfür zuverlässige Dienste und verrät in Sekundenbruchteilen, ob eine bestimmte E-Mail-Adresse von einem der vielen Hacks in den vergangenen Jahren (etwa Adobe, Yahoo und Sony) betroffen ist. Da viele Anwender bei mehreren Diensten das gleiche Passwort verwenden, sind die Accounts dieser Benutzer besonders gefährdet, zumal die bei den Data-Breaches erbeuteten Account- und Passwortdaten von den Hackern veröffentlicht wurden. So könnte ein Angreifer versuchen, sich mit dieser Username-Passwort-Kombination an populären Webdiensten wie Dropbox oder Google Drive anzumelden, was in einigen Fällen gelingen dürfte.

Eine Recherche auf Github [5] fördert darüber hinaus jede Menge Passwortlisten zu Tage, die zum Beispiel für eine Brute-Force-Attacke auf verschiedene Dienste genutzt werden können. Ein solcher Angriff ist mit Tools wie "THC Hydra" [6] ebenfalls schnell demonstriert. Hydra steht für verschiedene Plattformen zum freien Download zur Verfügung und kann bereits von Haus aus populäre Protokolle wie FTP(S), HTTP(S), SMTP(S), IMAP(S), POP3(S), MYSQL, RDP, SMB oder SSH angreifen. Zur Demonstration eines Brute-Force-Angriffs auf einen SSH-Server reicht folgender Befehl:
hydra -l user -P <Textdatei mit Passwörtern IP-Adresse des Servers> ssh


Seite 1 von 2 Nächste Seite >>
3.08.2020/jp/ln/Thomas Zeller

Nachrichten

Intra2net mit neuem Lizenzmodell [19.01.2021]

Der Groupware- und Security-Anbieter Intra2net startet mit einem neuen Lizenzmodell ins Jahr 2021. Kunden sollen fortan von einer übersichtlicheren Preisgestaltung mit festen Benutzerpaketen profitieren. Für den Bereich von fünf bis 100 Benutzer stehen zehn Lizenzpakete in einer besonders kleinschrittigen Staffelung zur Verfügung. [mehr]

Matrix42 kauft FastViewer [14.01.2021]

Matrix42 übernimmt FastViewer, einen Anbieter für Remote Access, Remote Support und Collaboration-Lösungen. Der langjährige Partner von Matrix42 ist mit seiner Fernzugriff- und Fernwartungs-Plattform für PCs, Laptops, mobile Geräte, Server und Cloud-Workload bereits in die Matrix42-Produkte integriert. Mit der FastViewer Akquisition baut der Frankfurter Softwarehersteller für Digital Workspace Management zusätzlich sein Angebot für Edge-, IoT-Computing und Cloud Management aus. [mehr]

Tipps & Tools

Schatten-IT in der Teamkommunikation vermeiden [21.01.2021]

In Zeiten des mobilen Arbeitens und zunehmender Cyberkriminalität wird es immer wichtiger, dass Unternehmen potenzielle IT-Sicherheitslücken in der eigenen IT-Landschaft schließen. Die Crux: Aufgrund fehlender Lösungen greifen Mitarbeiter auf unautorisierte Consumer-Apps zurück, etwa WhatsApp. Eine derartige Schatten-IT gefährdet aber die Datensicherheit. Der Beitrag gibt sieben Tipps, wie IT-Administratoren die Teamkommunikation sicher gestalten und was bei der Auswahl entsprechender Werkzeuge zu beachten ist. [mehr]

Jetzt buchen: "Office 365 bereitstellen und absichern" [11.01.2021]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und sparen Lizenzgebühren. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensiv-Seminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange und SharePoint Online sowie MS Teams. Die Veranstaltung im März findet sowohl vor Ort als auch parallel online statt. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen