Fachartikel

Führungskräfte für IT-Sicherheit sensibilisieren (3)

Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Der Artikel beschreibt daher Methoden zur Sensibilisierung von Führungskräften. Im dritten und letzten Teil beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen.
Um Führungskräfte von der Notwendigkeit von IT-Sicherheitstechnologien zu überzeugen, sind praxisnahe Demos ein äußerst probates Mittel.
Dabei sein, wenn der CEO eine Mail schreibt
Auch Werkzeuge zur heimlichen Aufzeichnung von Tastaturanschlägen eignen sich hervorragend für eine Präsentation zur Sensibilisierung von Führungskräften. Neben Software-Keyloggern gibt es hier vor allem USB-Devices, die einmal zwischen Tastatur und PC gesteckt, alle Tastatureingaben aufzeichnen. Ein wesentlicher Vorteil von Hardware-Keyloggern ist, dass sie betriebssystemübergreifend funktionieren und keine Treiber benötigen. Daher erfordert es auch keinen großen Aufwand, die Schadfunktion eines USB-Keyloggers zu demonstrieren.

Der gerade einmal 2,5 cm lange "KeyGrabber Nano WiFi" [10] verfügt zusätzlich über ein integriertes Funkmodul und 16 MByte Speicher. Er kann so konfiguriert werden, dass er direkt nach dem Anschließen mit der Tastaturaufzeichnung beginnt und sich mit einem vorkonfigurierten WiFi Access Point verbindet. Solange der Access Point nicht zur Verfügung steht, werden die mitgeschnittenen Daten auf dem internen Speicher abgelegt. Zum Auslesen der Daten muss der Angreifer dann nur so nahe an das Gebäude herankommen, dass der Keylogger einen mitgebrachten Hotspot (etwa auf einem Smartphone) per Funk erreichen kann. Ist die Verbindung zum Hotspot hergestellt, verschickt der Keylogger seine Aufzeichnungen dann über die Wireless-Verbindung stündlich per E-Mail. Alternativ kann sich der Angreifer aber auch über eine TCP-Verbindung direkt mit einem (oder mehreren) installierten Keyloggern verbinden.

Und selbstverständlich können Sie bei der Vorführung auch zeigen, wie sich der Keylogger an einem anderen PC auslesen lässt. Dazu stecken Sie den Keylogger wie eine USB-Verlängerung zwischen den USB-Port des Rechners und einer USB-Tastatur und drücken dann die Tasten "k,b,s" gleichzeitig. Der Keylogger wird dann als USB-Massenspeicher erkannt und die Tastaturmitschnitte können aus der Textdatei "LOG.TXT" ausgelesen werden.

Gefahren offener Schnittstellen darstellen
Noch besser demonstrierbar sind Angriffe mit "USB Rubber Ducky" [11]. Rubber Ducky sieht zwar aus wie ein normaler USB-Stick, das Gehäuse lässt sich aber öffnen und offenbart so eine Platine mit einem Speicherkartenslot für Micro-SD-Karten. Über die Speicherkarte lässt sich ein zunächst in der Skriptsprache "Ducky Skript" erstelltes Programm in Rubber Ducky integrieren. Am USB-Port des Opfers angeschlossen, gibt sich Rubber Ducky als USB-Tastatur zu erkennen und beginnt sofort damit, die im Skript hinterlegten Befehle auf dem Rechner auszuführen. Die meisten Virenscanner sind damit bereits außen vor, weil sie nur Geräte vom Typ "USB Mass Storage" überprüfen.

Zur Demonstration erklären Sie Ihren Zuhörern zunächst die grundsätzliche Funktionsweise von Rubber Ducky und erstellen dann beispielsweise mit der Webapplikation "DuckToolKit" [12] ein einfaches Skript. Zur Demonstration genügt es, auf dem Opfer-PC das Desktop-Wallpaper auszutauschen. Speichern Sie das fertige Skript als "inject.bin" auf der SD-Card und stecken Sie diese in Rubber Ducky. Sobald Sie Rubber Ducky dann an Ihren Demo-PC anschließen, wird ohne weiteres Zutun das Skript ausgeführt. Im Anschluss sollten Sie Ihren Teilnehmern noch zeigen, wie einfach auch sehr gefährliche Operationen mit Rubber Ducky sind. Dazu gehören beispielsweise folgende Aktionen:

  • Suche eine bestimmte Datei auf dem Opfer-PC und übertrage sie per FTP an den Angreifer.
  • Lade aus dem Internet eine EXE-Datei und führe diese aus.
  • Öffne eine Reverse-Shell auf Port 8080 auf dem Rechner des Opfers.
  • Gib das Verzeichnis "C:\" per SMB im gesamten Netzwerk frei.
Fazit
Um Führungskräfte von der Notwendigkeit zu überzeugen, in IT-Sicherheitstechnologien zu investieren, sind praxisnahe Demos aus der Sichtweise der Angreifer ein äußerst probates Mittel. Natürlich sollten Sie bei der Auswahl der Themen für Ihre Präsentation vor allem jene berücksichtigen, die in Ihrem eigenen Unternehmen eine hohe Relevanz haben.

Im ersten Teil des Workshops haben wir geschildert, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen. In der zweiten Folge ging es darum, wie Sie WLAN-Schwachstellen aufspüren und demonstrieren.
17.08.2020/jp/ln/Thomas Zeller

Nachrichten

1000 Smartphones plus SIM-Karten für die Flutopfer [29.07.2021]

Viele Menschen in Rheinland-Pfalz und Nordrhein-Westfalen haben durch die Flutkatastrophe ihr gesamtes Hab und Gut verloren. Dazu zählen neben Wohnhäusern und Bekleidung auch Dokumente sowie technische Endgeräte. Der Smartphone-Hersteller OPPO stellt zusammen mit Vodafone den Betroffenen nun 1000 Geräte samt SIM-Karte zur Verfügung. [mehr]

Sichere Kommunikation in der Public Cloud [28.07.2021]

Mit dem Z1-SecureMail-Gateway-Release 4.23 bietet Zertificon nun eine Out-of-the-box Cloudintegration mit Microsoft 365 und Google Workspace. Unternehmen können dabei die Vorzüge der Gateway-basierten zentralen E-Mail-Verschlüsselung und -Signatur mit den genannten Cloudservices kombinieren. Für den Bereich Antivirus und Antispam arbeitet das Gateway mit den Engines von Microsoft und Google zusammen. [mehr]

Tipps & Tools

Smartphone auf Tauchstation [18.07.2021]

Egal ob in Balkonien oder doch weiter weg: Im Sommer sind Smartphones in der Regel mehr Gefahren wie Hitze, Sand und (Salz-)Wasser ausgesetzt als in anderen Jahreszeiten. Wer hier wirkungsvoll vorbeugen will, sollte sich eine Hülle wie beispielsweise den Handybeutel von Vooni anschaffen. Das Gadget lässt sich für die meisten Smartphone-Modelle verwenden und wasserdicht verschließen. [mehr]

GMail-Nachrichten zurückholen [16.07.2021]

Viele Exchange- oder auch WhatsApp-Nutzer freuen sich über die Rückholfunktion für versehentlich gesendete und noch ungelesene Nachrichten – unter Umständen lässt sich damit einer prekären Situation glimpflich aus dem Weg gehen. Auch GMail verfügt über ein solches Feature, das allerdings in der Grundeinstellung eine allzu schnelle Reaktion erfordert. In den Settings verschaffen Sie sich etwas mehr Zeit. [mehr]

Ablage für Webinhalte [11.07.2021]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen