von Redaktion IT-A…
Lesezeit
3 Minuten
Führungskräfte für IT-Sicherheit sensibilisieren (1)
Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Die Artikelserie beschreibt daher Methoden zur Sensibilisierung von Führungskräften. Im ersten Teil schildern wir, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen.
Meist ist das Interesse der Entscheider für IT-Themen eher schwach ausgeprägt. Das ist auch kein Wunder, gilt die IT in dieser Gruppe doch häufig eher als Kostentreiber denn als maßgeblicher Teil der Wertschöpfungskette. Außerdem buhlen natürlich auch noch andere Themen um die Aufmerksamkeit der Führungsebene. Um das C-Level dennoch für das wichtige Thema "Abwehr von Cyberangriffen" zu erreichen, bedarf es einer sorgfältigen Vorbereitung. Vielversprechender als langweilige Tech-Memos sind praktische Demonstrationen realer Sicherheitsprobleme, die sich meist ohne weiteres auch auf die unternehmenseigene IT-Sicherheitsarchitektur übertragen lassen.
Dabei sollten Sie auf Panikmache oder Angstmacherei verzichten und die Problematik stattdessen pragmatisch und sachlich darstellen. Potenzielle Schwachstellen in Ihrer eigenen IT-Systemarchitektur lassen sich dabei meist ebenfalls gut hervorheben – möglicherweise werden so schon länger beantragte Budgets zur Behebung dieser Schwachstellen dann auch schneller freigegeben. Schon in der Bibel steht "Ein Prophet gilt nirgends weniger als in seinem Vaterland und in seinem Hause". Abhängig von der Unternehmenskultur und der Persönlichkeit Ihrer Vorgesetzten werden Sie möglicherweise auch auf dieses Problem stoßen. Nehmen Sie daher im Zweifelsfall externe Unterstützung in Anspruch, gegebenenfalls kann hier auch Ihr Datenschutzbeauftragter als Brückenbauer fungieren. Denn spätestens seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 müssen Unternehmen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik treffen, um "ein dem Risiko angemessenes Schutzniveau zu erreichen".
Alltagsbeispiele verwenden
Bei Präsentationen zur Sensibilisierung in Sachen IT-Sicherheit sollten Sie sich zunächst auf Alltagssituationen konzentrieren wie sie die Anwender im Arbeitsalltag erleben. Machen Sie deutlich, dass neben den technischen auch organisatorische Aspekte eine wichtige Rolle spielen.
Denn angreifbar sind nicht nur die IT-Systeme selbst, sondern vor allem auch die Benutzer, die mit diesen Systemen interagieren. Ein wichtiger Baustein in jedem Sicherheitskonzept sind daher organisatorische Maßnahmen und Richtlinien, zum Beispiel für Anwender und Administratoren. Typische Beispiele aus dem Arbeitsalltag die jedem Benutzer bekannt sein dürften:
Die Problematik bei der Verwendung einer reinen passwortbasierten Authentifizierung in Kombination mit schwachen Passwörtern können Sie leicht mit verschiedenen Onlinetools demonstrieren. Die meisten Systeme speichern die Passwörter der Benutzer heute als Hashwert und glücklicherweise nicht mehr im Klartext. Zur Demonstration erläutern Sie anhand des Wikipedia-Artikels [1] kurz, wie eine Hashfunktion funktioniert und erzeugen dann beispielsweise mit dem "Hash Generator" unter [2] einen NTLM-Hash für ein beliebiges einfaches Passwort. Den resultierenden Hashwert von beispielsweise "Hundkatzemaus" (EA636 793E175EA8042B529BB68F37FA7) fügen Sie in eines der zahlreichen verfügbaren Hash-Cracking-Systeme wie zum Beispiel "CrackStation" [3] ein und zeigen damit, wie schnell und leicht sich derart einfache Passwörter knacken lassen.
Weiterhin sollten Sie unbedingt auch gängige Suchmaschinen zum Aufspüren betroffener Accounts bekannter Data-Breaches vorstellen. Die Website "Have I been pwned" [4] leistet hierfür zuverlässige Dienste und verrät in Sekundenbruchteilen, ob eine bestimmte E-Mail-Adresse von einem der vielen Hacks in den vergangenen Jahren (etwa Adobe, Yahoo und Sony) betroffen ist. Da viele Anwender bei mehreren Diensten das gleiche Passwort verwenden, sind die Accounts dieser Benutzer besonders gefährdet, zumal die bei den Data-Breaches erbeuteten Account- und Passwortdaten von den Hackern veröffentlicht wurden. So könnte ein Angreifer versuchen, sich mit dieser Username-Passwort-Kombination an populären Webdiensten wie Dropbox oder Google Drive anzumelden, was in einigen Fällen gelingen dürfte.
Eine Recherche auf Github [5] fördert darüber hinaus jede Menge Passwortlisten zu Tage, die zum Beispiel für eine Brute-Force-Attacke auf verschiedene Dienste genutzt werden können. Ein solcher Angriff ist mit Tools wie "THC Hydra" [6] ebenfalls schnell demonstriert. Hydra steht für verschiedene Plattformen zum freien Download zur Verfügung und kann bereits von Haus aus populäre Protokolle wie FTP(S), HTTP(S), SMTP(S), IMAP(S), POP3(S), MYSQL, RDP, SMB oder SSH angreifen. Zur Demonstration eines Brute-Force-Angriffs auf einen SSH-Server reicht folgender Befehl:
jp/ln/Thomas Zeller
[1] https://de.wikipedia.org/wiki/Hashfunktion
[2] https://tobtu.com/lmntlm.php
[3] https://crackstation.net
[4] https://haveibeenpwned.com
[5] https://github.com/danielmiessler/SecLists/tree/master/Passwords
[6] https://github.com/vanhauser-thc/THC-Archive/tree/master/Tools
Dabei sollten Sie auf Panikmache oder Angstmacherei verzichten und die Problematik stattdessen pragmatisch und sachlich darstellen. Potenzielle Schwachstellen in Ihrer eigenen IT-Systemarchitektur lassen sich dabei meist ebenfalls gut hervorheben – möglicherweise werden so schon länger beantragte Budgets zur Behebung dieser Schwachstellen dann auch schneller freigegeben. Schon in der Bibel steht "Ein Prophet gilt nirgends weniger als in seinem Vaterland und in seinem Hause". Abhängig von der Unternehmenskultur und der Persönlichkeit Ihrer Vorgesetzten werden Sie möglicherweise auch auf dieses Problem stoßen. Nehmen Sie daher im Zweifelsfall externe Unterstützung in Anspruch, gegebenenfalls kann hier auch Ihr Datenschutzbeauftragter als Brückenbauer fungieren. Denn spätestens seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 müssen Unternehmen geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik treffen, um "ein dem Risiko angemessenes Schutzniveau zu erreichen".
Alltagsbeispiele verwenden
Bei Präsentationen zur Sensibilisierung in Sachen IT-Sicherheit sollten Sie sich zunächst auf Alltagssituationen konzentrieren wie sie die Anwender im Arbeitsalltag erleben. Machen Sie deutlich, dass neben den technischen auch organisatorische Aspekte eine wichtige Rolle spielen.
Denn angreifbar sind nicht nur die IT-Systeme selbst, sondern vor allem auch die Benutzer, die mit diesen Systemen interagieren. Ein wichtiger Baustein in jedem Sicherheitskonzept sind daher organisatorische Maßnahmen und Richtlinien, zum Beispiel für Anwender und Administratoren. Typische Beispiele aus dem Arbeitsalltag die jedem Benutzer bekannt sein dürften:
- Es kommen schwache Authentifizierungsmethoden zum Einsatz, etwa die Anmeldung per Benutzername und Passwort an IT-Systemen, Applikationen und Online-Portalen.
- Phishing-E-Mails im Posteingang und eventuell bereits Erfahrungen mit anderen Social-Engineering-Methoden in Form von Anrufen oder SMS.
- Nutzung der Geräteschnittstellen am Arbeitsplatz-PC wie USB-Ports oder Bluetooth sind beliebig möglich.
- Der Anschluss von Geräten ans Unternehmensnetzwerk ist problemlos möglich, vielleicht sogar mit von zu Hause mitgebrachten Geräten.
Die Problematik bei der Verwendung einer reinen passwortbasierten Authentifizierung in Kombination mit schwachen Passwörtern können Sie leicht mit verschiedenen Onlinetools demonstrieren. Die meisten Systeme speichern die Passwörter der Benutzer heute als Hashwert und glücklicherweise nicht mehr im Klartext. Zur Demonstration erläutern Sie anhand des Wikipedia-Artikels [1] kurz, wie eine Hashfunktion funktioniert und erzeugen dann beispielsweise mit dem "Hash Generator" unter [2] einen NTLM-Hash für ein beliebiges einfaches Passwort. Den resultierenden Hashwert von beispielsweise "Hundkatzemaus" (EA636 793E175EA8042B529BB68F37FA7) fügen Sie in eines der zahlreichen verfügbaren Hash-Cracking-Systeme wie zum Beispiel "CrackStation" [3] ein und zeigen damit, wie schnell und leicht sich derart einfache Passwörter knacken lassen.
Weiterhin sollten Sie unbedingt auch gängige Suchmaschinen zum Aufspüren betroffener Accounts bekannter Data-Breaches vorstellen. Die Website "Have I been pwned" [4] leistet hierfür zuverlässige Dienste und verrät in Sekundenbruchteilen, ob eine bestimmte E-Mail-Adresse von einem der vielen Hacks in den vergangenen Jahren (etwa Adobe, Yahoo und Sony) betroffen ist. Da viele Anwender bei mehreren Diensten das gleiche Passwort verwenden, sind die Accounts dieser Benutzer besonders gefährdet, zumal die bei den Data-Breaches erbeuteten Account- und Passwortdaten von den Hackern veröffentlicht wurden. So könnte ein Angreifer versuchen, sich mit dieser Username-Passwort-Kombination an populären Webdiensten wie Dropbox oder Google Drive anzumelden, was in einigen Fällen gelingen dürfte.
Eine Recherche auf Github [5] fördert darüber hinaus jede Menge Passwortlisten zu Tage, die zum Beispiel für eine Brute-Force-Attacke auf verschiedene Dienste genutzt werden können. Ein solcher Angriff ist mit Tools wie "THC Hydra" [6] ebenfalls schnell demonstriert. Hydra steht für verschiedene Plattformen zum freien Download zur Verfügung und kann bereits von Haus aus populäre Protokolle wie FTP(S), HTTP(S), SMTP(S), IMAP(S), POP3(S), MYSQL, RDP, SMB oder SSH angreifen. Zur Demonstration eines Brute-Force-Angriffs auf einen SSH-Server reicht folgender Befehl:
hydra -l user -P <Textdatei mit Passwörtern IP-Adresse des Servers> ssh
| Seite 1 von 2 | Nächste Seite >> |
jp/ln/Thomas Zeller
[1] https://de.wikipedia.org/wiki/Hashfunktion
[2] https://tobtu.com/lmntlm.php
[3] https://crackstation.net
[4] https://haveibeenpwned.com
[5] https://github.com/danielmiessler/SecLists/tree/master/Passwords
[6] https://github.com/vanhauser-thc/THC-Archive/tree/master/Tools
