Fachartikel

Führungskräfte für IT-Sicherheit sensibilisieren (3)

Zuletzt gaben 29 Prozent der Unternehmen an, in den letzten zwei Jahren Opfer von Angriffen auf ihre IT gewesen zu sein. Zwar reagieren Unternehmen zunehmend mit Firewalls und Co. auf die Bedrohungslage, insgesamt steht es mit der Abwehrbereitschaft aber noch immer nicht zum Besten. Einer der Gründe dafür ist die mangelnde Sensibilität auf C-Level-Ebene. Schließlich nützt es nur wenig, wenn die IT-Abteilung zwar eine realistische Einschätzung der tatsächlichen Bedrohungslage hat, die Führungsebene aber nicht die erforderlichen Ressourcen bereitstellt, um diesen Problemen zu begegnen. Der Artikel beschreibt daher Methoden zur Sensibilisierung von Führungskräften. Im dritten und letzten Teil beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen.
Um Führungskräfte von der Notwendigkeit von IT-Sicherheitstechnologien zu überzeugen, sind praxisnahe Demos ein äußerst probates Mittel.
Dabei sein, wenn der CEO eine Mail schreibt
Auch Werkzeuge zur heimlichen Aufzeichnung von Tastaturanschlägen eignen sich hervorragend für eine Präsentation zur Sensibilisierung von Führungskräften. Neben Software-Keyloggern gibt es hier vor allem USB-Devices, die einmal zwischen Tastatur und PC gesteckt, alle Tastatureingaben aufzeichnen. Ein wesentlicher Vorteil von Hardware-Keyloggern ist, dass sie betriebssystemübergreifend funktionieren und keine Treiber benötigen. Daher erfordert es auch keinen großen Aufwand, die Schadfunktion eines USB-Keyloggers zu demonstrieren.

Der gerade einmal 2,5 cm lange "KeyGrabber Nano WiFi" [10] verfügt zusätzlich über ein integriertes Funkmodul und 16 MByte Speicher. Er kann so konfiguriert werden, dass er direkt nach dem Anschließen mit der Tastaturaufzeichnung beginnt und sich mit einem vorkonfigurierten WiFi Access Point verbindet. Solange der Access Point nicht zur Verfügung steht, werden die mitgeschnittenen Daten auf dem internen Speicher abgelegt. Zum Auslesen der Daten muss der Angreifer dann nur so nahe an das Gebäude herankommen, dass der Keylogger einen mitgebrachten Hotspot (etwa auf einem Smartphone) per Funk erreichen kann. Ist die Verbindung zum Hotspot hergestellt, verschickt der Keylogger seine Aufzeichnungen dann über die Wireless-Verbindung stündlich per E-Mail. Alternativ kann sich der Angreifer aber auch über eine TCP-Verbindung direkt mit einem (oder mehreren) installierten Keyloggern verbinden.

Und selbstverständlich können Sie bei der Vorführung auch zeigen, wie sich der Keylogger an einem anderen PC auslesen lässt. Dazu stecken Sie den Keylogger wie eine USB-Verlängerung zwischen den USB-Port des Rechners und einer USB-Tastatur und drücken dann die Tasten "k,b,s" gleichzeitig. Der Keylogger wird dann als USB-Massenspeicher erkannt und die Tastaturmitschnitte können aus der Textdatei "LOG.TXT" ausgelesen werden.

Gefahren offener Schnittstellen darstellen
Noch besser demonstrierbar sind Angriffe mit "USB Rubber Ducky" [11]. Rubber Ducky sieht zwar aus wie ein normaler USB-Stick, das Gehäuse lässt sich aber öffnen und offenbart so eine Platine mit einem Speicherkartenslot für Micro-SD-Karten. Über die Speicherkarte lässt sich ein zunächst in der Skriptsprache "Ducky Skript" erstelltes Programm in Rubber Ducky integrieren. Am USB-Port des Opfers angeschlossen, gibt sich Rubber Ducky als USB-Tastatur zu erkennen und beginnt sofort damit, die im Skript hinterlegten Befehle auf dem Rechner auszuführen. Die meisten Virenscanner sind damit bereits außen vor, weil sie nur Geräte vom Typ "USB Mass Storage" überprüfen.

Zur Demonstration erklären Sie Ihren Zuhörern zunächst die grundsätzliche Funktionsweise von Rubber Ducky und erstellen dann beispielsweise mit der Webapplikation "DuckToolKit" [12] ein einfaches Skript. Zur Demonstration genügt es, auf dem Opfer-PC das Desktop-Wallpaper auszutauschen. Speichern Sie das fertige Skript als "inject.bin" auf der SD-Card und stecken Sie diese in Rubber Ducky. Sobald Sie Rubber Ducky dann an Ihren Demo-PC anschließen, wird ohne weiteres Zutun das Skript ausgeführt. Im Anschluss sollten Sie Ihren Teilnehmern noch zeigen, wie einfach auch sehr gefährliche Operationen mit Rubber Ducky sind. Dazu gehören beispielsweise folgende Aktionen:

  • Suche eine bestimmte Datei auf dem Opfer-PC und übertrage sie per FTP an den Angreifer.
  • Lade aus dem Internet eine EXE-Datei und führe diese aus.
  • Öffne eine Reverse-Shell auf Port 8080 auf dem Rechner des Opfers.
  • Gib das Verzeichnis "C:\" per SMB im gesamten Netzwerk frei.
Fazit
Um Führungskräfte von der Notwendigkeit zu überzeugen, in IT-Sicherheitstechnologien zu investieren, sind praxisnahe Demos aus der Sichtweise der Angreifer ein äußerst probates Mittel. Natürlich sollten Sie bei der Auswahl der Themen für Ihre Präsentation vor allem jene berücksichtigen, die in Ihrem eigenen Unternehmen eine hohe Relevanz haben.

Im ersten Teil des Workshops haben wir geschildert, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen. In der zweiten Folge ging es darum, wie Sie WLAN-Schwachstellen aufspüren und demonstrieren.
17.08.2020/jp/ln/Thomas Zeller

Nachrichten

Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor [11.01.2021]

Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die Erkenntnisse könnten Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen. [mehr]

Blick auf 20 Jahre Cyberbedrohungen [5.01.2021]

Der Jahreswechsel ist ein guter Zeitpunkt, um die aktuelle Bedrohungslandschaft zu betrachten und Prognosen zu wagen, wohin sie sich entwickeln könnte. Der Report "Cyberthreats: A 20-Year Retrospective" von Sophos hingegen gibt einen Überblick über die Cyberbedrohungen und Ereignisse, die in den vergangenen 20 Jahren den größten Einfluss auf die Sicherheitslandschaft hatten. [mehr]

Vier-Augen-Prinzip [22.12.2020]

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [13.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die europäische Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

"Liegt das neue Jahr vor dir und das alte hinter dir, lass das alte liegen und hebe das neue auf." Dieses Sprichwort bringt es ganz gut auf den Punkt. 2020 war kein leichtes Jahr, liegt aber hinter uns und wir können mit guten Vorsätzen und Zuversicht ins neue Jahr starten. Wir hoffen, dass Sie trotz der aktuellen Umstände eine frohe Weihnachtszeit hatten und drücken die Daumen für 2021. Damit Sie auch in diesem Jahr ausreichend mit Lesestoff versorgt sind, sollten Sie einen Blick auf unser Sonderheft "VMware vSpehere 7 – Server, Netze und Storage virtualisieren" werfen. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen