Mythen über die Cyberangriffe und Hacker im Interview mit unserem CEO und ethischen Hacker Tomáš Zaťko.

TOP drei Mythen

Tomáš, was sind deine drei Top-Mythen über Angriffe und Hacker, die allgemein als wahr angesehen werden?

Der erste Mythos besagt, dass viele Leute glauben, ein Hacker könne einfach „ein Passwort erraten“. Sie fragen uns, wie wir es als Hacker schaffen, dass wir immer wissen, wie wir das Passwort erraten können. Aber so ist es nicht, es funktioniert ganz anders.

Der zweite Mythos betrifft die filmische Darstellung von Hacking, die oft sehr übertrieben und unrealistisch dargestellt wird. Alle möglichen Effekte fliegen über den Bildschirm, es gibt immer einen entscheidenden Moment, in dem „Access Denied“ angezeigt wird und der Hacker sagt nur „Warte, ich kenne einen Trick“, dann tippt er hektisch auf etwas auf der Tastatur, plötzlich erscheint „Access Granted“ und schon ist es soweit fertig.

Der dritte, vielleicht allgemeinere Mythos besagt, dass alles gehackt werden kann. Die Leute verallgemeinern es und vereinfachten es so oft. Es gibt einen Unterschied zwischen dem Durchbrechen einer Mauer aus Gipskarton, einer Mauer aus Ziegeln oder Stahlbeton oder vielleicht eines Atombunkers aus Spezialstahl. Jedes Level ist anders und erfordert eine völlig andere Herangehensweise. Ja, mit einem großen Sternchen mag das stimmen, aber es ist nicht ein und dasselbe.

Mit einem Café-WLAN oder einem Zug zum Cyberangriff?

Im Internet gibt es immer noch Debatten über öffentliches WLAN und die Gefahr von Cyberangriffen. Jetzt würde es mich interessieren, ob öffentliches WLAN oder WLAN im Allgemeinen immer noch riskant ist?
 

Dieser Typ von Angriff wird Man-in-the-Middle (MITM) genannt. Er besteht darin, dass der Hacker die Kontrolle übernimmt (z.B. über die Kommunikation innerhalb öffentlicher WLANs) oder eigene WLAN-Zugangspunkte einrichtet, die für das Opfer legitim erscheinen und mit denen der Hacker, falls sich das Opfer daran anschließt, in der Lage ist, die laufende Kommunikation des Opfers abzuhören oder zu ändern, und zwar nur innerhalb unverschlüsselter oder nicht ausreichend unverschlüsselter Anwendungen.
 

Heißt das, dass die Vorstellung, dass die Mitarbeiter des Unternehmens mit einem Arbeitshandy und -laptop in das Café unter dem Gebäude kommen, in dem die Firma ihren Sitz hat, sich mit ihrem nicht passwortgeschützten WLAN verbinden und hier ein Cyberangriff entsteht, heutzutage falsch ist?
 

Obwohl dies immer noch machbar ist, ist es bei weitem nicht mehr so einfach und üblich wie vor Jahren. Dank der Entwickler der Applikationen und Betriebssysteme verbessert sich die Situation. Die Möglichkeiten, wie es heute gemacht wird, sind viel komplizierter. Heutzutage müsste ein Hacker sein Opfer zunächst irgendwie manipulieren, um ein vertrauenswürdiges Zertifikat der angegebenen Zertifizierungsstelle zu installieren, das der Hacker für diesen Angriff erstellt hat, um einen MITM-Angriff eben auf die verschlüsselte Kommunikationsschicht durchzuführen. Die meisten Leute machen das nicht mehr – erstens haben sie nicht die Berechtigung, die Zertifikate zu installieren, zweitens könnten bei ihnen die „rote Ampeln“ aufleuchten, dass etwas nicht stimmt. Andererseits ist es möglich, dass der Angreifer sein Opfer auf die HTTP-Version der Seiten oder auf seine gefälschte Kopie der Seite umleiten kann, wenn er die Kontrolle über den Zugangspunkt hat.

Und wenn ich draußen arbeiten muss, welchen Rat hast du für die Benutzer?

Sie sollten über einen eigenen passwortgeschützten Internetzugang verfügen, nichts ohne das Wissen Ihres Netzwerkadministrators installieren und immer ein VPN verwenden. Dies ist das Sicherheitsminimum, das Sie tun können, um sich zu schützen.

Heutzutage denken immer mehr Unternehmen über das Mindestmaß der Sicherheit nach, das sie haben sollten. Sei es Sicherheitspersonal oder andere Aspekte. Könnte dies irgendwie spezifiziert werden?

Einer der Grundsätze sollte meiner Meinung nach sein, dass es bei der Sicherheit nicht nur um die Sicherheitsabteilung geht, sondern um alle Menschen, die sich im Unternehmen befinden. Ich weiß nicht, ob es ein Mythos ist, dass jemand denkt, Sicherheit sei nur die Aufgabe des Sicherheitsteams. Ich kann es damit vergleichen, dass wenn es in einem Unternehmen eine Qualitätsabteilung gibt, kann ich nicht sagen, dass ich meine Arbeit jetzt schlampig machen kann, weil wir eine Qualitätsabteilung haben. Natürlich ist es nicht ihre Aufgabe, meine Fehler zu korrigieren. Dasselbe gilt auch für die Sicherheit. Auf jeden Fall spielt die Sicherheitsabteilung eine sehr wichtige Rolle, aber jede einzelne Person im Unternehmen – seien es Menschen oder „nichtmenschliche“ Elemente wie Computer und Systeme – ist Teil des Sicherheitsökosystems des Unternehmens.

Und warum fange ich damit an? Denn Statistiken zeigen, dass mehr als die Hälfte der Angriffe durch Personen kommen, die typischerweise manipuliert sind oder sich nicht bewusst sind, dass sie ein Problem verursachen können. Und dann sind da noch die Grundlagen der Sicherheitshygiene. Diese entwickeln sich allmählich weiter, aber es geht auch darum, aktualisierte Systeme zu haben oder etwa auf Arbeitssystemen nur das zu machen, was benötigt wird, und nichts anderes. Wenn ich beispielsweise kein Facebook-Manager eines Unternehmens bin, sollte ich nicht auf Facebook surfen oder hier Spiele spielen.

Das gängige Bild eines Hackers ist ein einsamer Wolf mit Kapuze auf seinem Kopf, der in einem dunklen Raum voller Bildschirme hackt. Stimmt das noch oder ist es ein Mythos?

Es ist heute ein riesiges Business. Bereits vor fünf oder sogar sieben Jahren wurde erstmals festgestellt, dass diese Banden und die gesamte Black-Hat-Welt Elemente einer normalen B2B-Unternehmenskooperation aufweisen, bei der im Wesentlichen ganze Unternehmen bereits etabliert sind und eine Arbeitsteilung zwischen ihnen besteht.
 

Jemand stellt Malware her, jemand weiß, wie man Geld von Kreditkarten abhebt, jemand ist gut darin, Botnets zu betreiben usw. Diese Gruppen kooperieren miteinander, sie kennen sich irgendwie, sie haben eine gemeinsame Geschichte und einen guten Ruf. Einige verfügen beispielsweise über Supportkanäle, über die Sie normalerweise ein Callcenter anrufen und dieses Callcenter beispielsweise Dienste zur Durchführung von Botnets bereitstellt. Auf der nächsten Ebene geht es um staatlich geförderte Hacker, über die wir viel weniger öffentliche Informationen haben. Sie verfügen über deutlich mehr Ressourcen, wissen, welchen Angriff sie einsetzen müssen und verfügen über mehr Ressourcen. Dabei geht es ihnen nicht um finanziellen Gewinn, sondern um ein politisches Ziel. Es ist ein echtes Geschäft.

Was können Unternehmen tun, um vor diesen Hacking-Konzernen sicher zu bleiben?

Zum Schutz ist es notwendig, dass die Sicherheit in der Organisation verinnerlicht wird. Damit es ein Element ist, das die Organisation wirklich löst und lösen will, damit es ein Unternehmenskonzept „Security by Design“ gibt.

Was bedeutet das?

Es ist sehr wichtig, von Anfang an, bereits bei der architektonischen Gestaltung, an die Sicherheit zu denken.

Bei Penetrationstests kommt es manchmal vor, dass die gesamte Liste der Schwachstellen in unseren Berichten rot aufleuchtet. Wir können sehen, dass beim Design dieser Anwendung und dieses Systems überhaupt nicht an die Sicherheit gedacht wurde. Irgendwann während der Entwicklung kamen sie zu dem Schluss, dass irgendjemand am Ende noch eine Feinabstimmung im Hinblick auf die Sicherheit vornehmen würde.
 

Aber dann ist es sehr anspruchsvoll und es ist unmöglich, manche Designentscheidungen noch abzuändern. Unmöglich bedeutet, dass es so weit fortgeschritten ist, dass zu diesem Zeitpunkt niemand mehr die Entscheidung treffen wird, wichtige Änderungen am System oder an der Software vorzunehmen. Und dann werden die Mängel nur durchlaufend gerettet, was nicht nur aus entwicklungstechnischer Sicht nicht gut und letztlich auch nicht billig ist. Unabhängig von den potenziellen Risiken, die mit Hacking verbunden sind, wenn die jeweilige Lösung bereits in Produktion ist.
 

Es wundert mich immer noch, dass es eine große Gruppe von Programmierern gibt, sogar schlauen Programmierern, die großartige funktionale Sachen machen können, aber einfach nicht verstehen, wie Sicherheitsschwachstellen funktionieren. Sie haben keine Ahnung von den Grundkonzepten der Sicherheit und wissen daher nicht, wie sie das Prinzip „Security by Design“ darin integrieren können, es sei denn, jemand anderes schlägt es ihnen vor. 

Wir wissen, dass Cybersicherheit in der Realität teuer und ein schrittweiser Prozess für Unternehmen ist. Es besteht Bedarf an Unterstützung des Sicherheitspersonals,auch seitens des Managements. Meine Frage ist also, wie sollte das Top-Management darüber denken, dass es aus eigenem Interesse ein solches Unternehmen aufbauen lassen möchte?

Dies ist eine sehr weit gefasste Frage und es ist schwierig, eine Antwort darauf zu formulieren.
 

Meiner Meinung nach ist die Kenntnis der Regelungen und des Geschehens in der Welt die Grundlage.

Der Cyberkrieg, politisch und militärisch motivierte und gezielte Angriffe sind alltägliche Realität, von allen Seiten und auf allen Seiten eines geopolitischen Spektrums. Dieses Wissen sollte für jeden verständlich zugänglich sein. Dann wird das Thema Cybersicherheit für Organisationen genauso wichtig und verständlich sein wie beispielsweise die physische Sicherheit.
 

Heute geht es nicht mehr darum, ob ich die Tür abschließe, wenn ich irgendwohin gehe. Oder wenn ich einen Zaun um das Objekt baue, wenn es einen Wert hat. Dass dies notwendig ist, ist jedem klar. Und wir besprechen vielmehr, wie hoch der Zaun sein sollte, wie stark die Schlösser, wie stark die Türen sein sollten usw. Dies ist heute ein integraler Bestandteil jeder Organisation. Es ist für jeden leicht zu verstehen, weil ich die Tür und den Zaun sehe und sie mir vorstellen kann. Ich weiß, was das aus sicherheitstechnischer Sicht bedeutet, wenn sie z.B. stahlverstärkt oder nicht sind usw.
 

In der Welt der Cybersicherheit ist es schwieriger, weil es für viele neu, abstrakt und schwer zu fassen ist. Deshalb ist es für Unternehmen wichtig, Cyber-Sicherheitsmanager in leitenden Positionen und Partner zu haben, denen sie vertrauen, die es ihnen erklären können und nicht nach einer universellen Lösung suchen, die für alle passt, sondern in der Lage sind, die spezifischen Bedürfnisse der Organisation zu berücksichtigen.

Sollte sich das Top-Management also damit beschäftigen, dass der Sicherheitsbeauftragte bei fast allen Entscheidungen mit dabei ist?

Ja, er sollte nicht nur Fragen zum Zaun und zu den Schlössern beantworten, sondern auch erklären, wo die versteckten Risiken bei Unternehmensbewegungen, Infrastrukturwartung, Anwendungsentwicklung usw. liegen.
 

Und vielleicht würde ich auch sagen, dass es sehr wichtig ist, dass es innerhalb der Organisation ein Konzept gibt, dass „es Sachen gibt, von denen ich weiß, dass ich sie kenne, und Sachen, von denen ich weiß, dass ich sie nicht kenne.“ Ich weiß, dass ein gewisses Risiko besteht, aber ich kenne den Wert oder die Einzelheiten davon nicht, aber es gibt immer Sachen, die ich nicht kenne und von denen ich nicht weiß, dass ich sie nicht kenne.“

Und damit umzugehen ist schwierig, jedoch es ist wichtig zu wissen, dass es einen solchen Bereich meines Unbekannten gibt. Ich sollte nie der Illusion verfallen, dass ich jetzt alles verstehe. Man muss immer darauf vorbereitet sein, dass es ein endloses Schachspiel ist und gleichzeitig ein Prozess, der niemals endet. Wenn ich es heute perfekt einstelle, kann es sich morgen ändern. Mit jedem Tag ändert sich die Sicherheitslage.

Obwohl sich auf meiner Seite nichts geändert hat. Die Welt verändert sich - ständig. 

Was meinst du damit genauer?

Eine typische Sache in der Softwarewelt ist eine Art Softwarefehler. Z.B. das Chrome-Update ist das perfekte Beispiel dafür, warum es dort aufleuchtet, obwohl sich für mich nichts geändert hat. Aber draußen hat sich etwas verändert und Chrom sagt es mir. 

Möglicherweise gibt es in Chrome eine Sicherheitsschwachstelle, die jemand nutzen kann, um mich zu hacken. Sie können mich einfach hacken, indem ich eine Seite aufrufe, eine E-Mail mit einem Link erhalte oder im Internet auf Facebook einen Link finde. Ich klicke darauf und werde gehackt. Um nicht gehackt zu werden, muss ich Chrome aktualisieren. Dies ist eine einfache Vorführung, es gibt jedoch viele ähnliche Beispiele in verschiedenen Bereichen. Zum Beispiel Deepfakes – vor fünf Jahren waren sie bei weitem nicht so einfach und zugänglich wie heute. Das ist eine Sache, die sich in der Welt verändert hat. Ich muss darauf reagieren, auch wenn sich für mich vor Ort scheinbar nichts geändert hat. Und in den nächsten fünf Jahren, oder vielleicht sogar schon früher, werden Deepfakes so ausgefeilt sein, dass ich nicht mit bloßem Auge oder Ohr erkennen kann, ob am anderen Ende eines Videoanrufs eine echte Person spricht oder nicht, und darauf muss ich reagieren.

Cyberangriffe

Kürzlich hast du auf der OffSec 2024-Konferenz das "Window of Exposure" beschrieben. Kannst du erklären, was es ist? 

Das Window of Exposure beschreibt die Zeitspanne, in der eine Sicherheitslücke besteht.
 

Es handelt sich um ein Softwareprodukt, das sich ständig weiterentwickelt. Irgendwann während der Entwicklung tritt hier ein Fehler auf. Ein Programmierer macht beim Schreiben einer neuen Funktion einen Fehler, der eine Sicherheitsschwachstelle verursacht. Dieser Fehler kann missbraucht werden, um Benutzer anzugreifen. Jemand entdeckt diesen Fehler und erkennt, dass er ihn ausnutzen kann. Ein Hacker – ein Krimineller – wird diesen Fehler ausnutzen, um in das System einzudringen. In dieser Etappe spricht man über den sog. Zero-Day-Angriff, denn der Angreifer weiß über den Fehler und seine Ausnutzbarkeit, aber sonst noch niemand. In einem gewissen Punkt in der Zukunft wird der Fehler aufgedeckt. 

Der Softwareentwickler analysiert den Fehler, findet heraus, wo das Problem liegt und behebt es. Dann veröffentlicht er ein Update – einen Patch. Erst wenn der Benutzer diesen Patch installiert, ist der Fehler behoben und der Hacker hat keine Möglichkeit mehr, diesen zu nutzen. Zwischen der Entstehung eines Fehlers, seiner Entdeckung und Ausnutzung bis zum Augenblick der Installation eines Updates durch einen Benutzer vergeht ein großes Zeitfenster. Während dieses Window of Exposure ist der Benutzer verletzbar und kann gehackt werden. Dieses Prinzip gilt nicht nur für eine Software oder eine bestimmte Komponente, sondern allgemein für ganze Systeme.

Dies kann auf verschiedene andere Bereiche angewendet werden, beispielsweise kann es sich um einen Konfigurationsfehler in der Infrastruktur usw. handeln. Und gleichzeitig durchläuft dieses Fenster, diese gesamte Zeitleiste, je größer die Organisation, desto öfter durchläuft sie diese Zeitleiste in verschiedenen Softwarekomponenten oder Infrastrukturelementen. Es kann also sowohl für Software wie eben Google oder Windows oder ähnliches gelten, als auch für das, was ich selbst in meinem Unternehmen erstelle, beispielsweise für meine eigenen Tools und Anwendungsentwicklung und so weiter, nur um es klarzustellen. Das ist also die Kombination, daher die Parallelen.

Und wenn ein Angreifer durch dieses Fenster in mein System eindringt, wie erfolgt anschließend der Angriff? Gibt es eine Zeitspanne, in der er mich beobachtet und ich von ihm nicht weiß, und dann greift er manchmal an? Oder greift er sofort an? 

Es kommt auf den Angreifer und seine Motivation an. Es gibt Flächenangriffe, die einfach versuchen, irgendwohin zu gelangen. Und dann gibt es noch gezielte Angriffe, bei denen der Angreifer zunächst alles durchdenkt, studiert, plant und dann den Angriff ausführt. Und dann ist es sogar interessant zu beobachten, was als nächstes passiert. Denn es gibt Fälle, in denen der Angreifer längere Zeit schweigend drinnen bleibt. Eben diese staatlich geförderten Angriffe.

Wenn es sich um eine Bande handelt, die einen Angriff auf ein Unternehmen direkt monetarisieren möchte, verschlüsselt sie entweder alles, blockiert es und verlangt Lösegeld für die Wiederherstellung, oder sie extrahiert eine große Datenbank von dort und versucht, sie entweder direkt zu verkaufen oder verlangt Lösegeld, wenn sie diese nicht verkauft. 

Aber es gibt Angreifer, die sich einfach unbemerkt im System aufhalten und über längere Zeit beobachten wollen, was dort passiert. Dies geschieht häufig bei APT-Gruppen (Advanced Persistent Threats), staatlich geförderten Angriffen. Und zum Beispiel im kritischen Infrastrukturumfeld – auch im Ausland – haben wir in der Fachwelt bereits darüber diskutiert, dass die meisten Experten, egal ob europa- oder weltweit, viele solcher Angriffe gesehen haben, bei denen man den Angreifer beobachtet, man weiß, dass er dort ist, und er keine Aktivität ausübt, sondern beobachtet nur ruhig, was geschieht. Er sendet einige grundlegende Informationen darüber, was hier passiert, nach Hause und ist grundsätzlich bereit, in der Zukunft einen Angriff durchzuführen. Einmal drinnen, kann ein Angreifer jederzeit mit einem Fingerschnippen jede beliebige Aktivität auslösen.

Ein weiterer allgemeiner Mythos, der unter Unternehmen existiert, ist, dass es sie nichts angeht und dass sie für einen Hacker nicht interessant sind. Kann ein Unternehmen für einen Hacker uninteressant sein?

Für gezielte Angriffe könnte ein Unternehmen zwar ganz uninteressant sein, es ist aber dennoch ein Bestandteil der Flächenangriffe, des sogenannten Flächenbombardements, bei dem Hacker angreifen, unabhängig davon , wen sie treffen, und statistisch gesehen wird immer jemand getroffen. Es gibt so viele solcher Angriffe, dass es nur eine Frage der Zeit ist, bis ein Angriff ein bestimmtes Unternehmen erreicht. 

Auf der Konferenz hast du erklärt, dass man den Wert zwischen der Anfangsinvestition des Hackers und dem finanziellen Gewinn vom potenziellen Opfer vergleichen kann. Ist das für einen Angreifer von Interesse? 

Ja, es gibt solche Ungleichheiten, wie ich sie nenne. Dies ist nicht die einzige Regel, aber für die meisten Angriffsarten gelten einige vereinfachte Prinzipien. Wie ich bereits sagte, muss die Ungleichheit gelten, dass der Gewinn aus dem Angriff größer als die Kosten sein muss. Und gleichzeitig können Unternehmen die Differenz zwischen Kosten und Gewinn beeinflussen, indem sie es für einen Hacker teurer machen, ihr Unternehmen anzugreifen als bei einem anderen. Der Angreifer versucht normalerweise dort anzugreifen, wo es schnell und kostengünstig ist. Und natürlich gilt auch auf der Verteidigungsseite die Ungleichheit, dass der Preis des Schutzes niedriger sein muss als der Preis dessen, was ich schütze, oder der Preis der Schwierigkeit, die auftreten kann, wenn bei mir ein Angriff stattfindet.

Anders kann es bei staatlich geförderten Hackern und Angriffen auf Grundversorgung und kritische Infrastrukturen sein, weil hier die Gleichung finanziell nicht darstellbar ist, weil der Gewinn hier nicht direkt finanziell ist, sondern es vielmehr um politische und strategische, ggf. militärische Ziele geht, also hier ist es viel komplizierter. 

Kannst du Beispiele aus der Praxis?

Ich würde sagen, das typischste und allgemeinste Beispiel sind die Angriffe, die zu etwas führen, das absolut jeden betrifft. Hierbei handelt es sich um typische Ransomware-Angriffe, bei denen das gesamte Unternehmen komplett deaktiviert wird und der Hacker Lösegeld verlangt. Sie sind heute schon recht gut vorbereitet, weil sie wissen, wie viel und von wem es zu erwarten ist. Viele Banden tun dies nicht flächendeckend, sondern suchen beispielsweise nach einem slowakischen Unternehmen und berechnen, wie viel das Unternehmen pro Tag verdient, wie lange es inaktiv sein wird, also wie lange es an Umsatz verlieren wird, was einen besseren Deal für sie bedeutet. Wenn ein Unternehmen in einer Woche eine Million Euro verliert, so sagen sie: „Hören Sie zu, Sie verlieren eine Million Euro pro Woche, und wir bringen es für 100.000 Euro wieder in Produktion für Sie.“ Dies geschieht normalerweise. 

Sehr häufig gibt es auch Angriffe, wenn jemand in die Abläufe des Unternehmens eindringt, beobachtet, wie die Sachen dort funktionieren, und eine Finanztransaktion ins Ausland schickt. Wir hatten bereits einen Fall sogar in der Slowakei, bei dem Geld im Wert von 100.000 Euro gestohlen wurde, der aktuelle Rekord in der Slowakei liegt bei 3 Millionen Euro. 

Und was derzeit passiert - nicht sehr oft - sich aber zu einem Trend entwickelt, sind Wettbewerbsangriffe, bei denen die Konkurrenz nach drinnen eindringt und entweder das Unternehmen sabotiert oder einen Teil der Kunden oder vertrauliche Informationen stiehlt. Wir haben das Gleiche erlebt, als ein Konkurrent ein anderes Unternehmen gehackt hat, um zu erfahren, zu welchem Preis es sein Angebot in einer Ausschreibung abgeben würde. Es klingt wie aus einem Actionfilm, aber das sind reale Fälle, mit denen wir uns in der Slowakei befasst haben, und dieser bestimmte Fall ist ziemlich alt.

Ist es ein Mythos, dass es nicht passiert?

Ja, der Mythos besagt, dass es nicht passiert.

Penetrationstest und Threat-led Penetration Testing

Auf der Konferenz hast du darüber gesprochen, wie groß der Umfang des Pentests ist und was über diese Definition hinausgehen könnte. Wie sollte ein Unternehmen darüber nachdenken, was alles es testen lässt? Wie groß sollte der Umfang sein, um nützlich zu sein? Und ist der Pentest selbstrettend?

Zwei Fragen. Die zweite ist einfach - der Penetrationstest ist nicht selbstrettend. Wie alles andere ist es keine absolute Lösung.

Die Festlegung des Umfangs richtet sich nach der Reife - Sicherheitsreife - des Unternehmens. Und da das Unternehmen seine Sicherheitsmechanismen im Laufe der Zeit verbessert, muss sich auch dementsprechend der Umfang ändern. Wir und einige Kunden, mit denen wir schon langfristig zusammenarbeiten, setzen typischerweise eine Kombination von Ansätzen ein. Natürlich testen wir diese bestimmte Komponente jedes Mal, wenn sie ein neues Element, ein neues System oder eine neue Softwarekomponente im Unternehmen einsetzen. Aber wir haben in der Regel grünes Licht, sodass es nicht nur um die Komponente selbst geht, sondern auch um deren Integration in den Rest des Systems. Und ich werde ein leicht verständliches Beispiel dafür geben, warum dies von Bedeutung ist. 

Manchmal möchten Kunden, dass wir die Admin-Oberfläche nicht testen. Doch genau dies ist ein sehr häufiges Ziel von Angriffen. Wir haben kürzlich ein System getestet, bei dem wir keine grundsätzlichen Schwachstellen in der Benutzeroberfläche finden konnten, jedoch durch eine Anfrage auf Support Request innerhalb des Systems ist es uns gelungen, Schadcode (Payload) an die Admin-Oberfläche zu liefern.

Ein Supportmitarbeiter mit Administratorrechten las unsere Anfrage, aktivierte dadurch eigentlich den Angriffscode, der bei diesem Administrator ausgeführt wurde. Anschließend übermittelte er uns die Daten, auf deren Grundlage wir Administratoren werden konnten. Dieser Code könnte das gesamte System gefährden. Mit anderen Worten: dies ist also ein solches Beispiel, dass es wichtig ist, es umfassend und mit einigen Integrationen zu testen.

Wann ist es für ein Unternehmen sinnvoll, einen umfassenden Weg wie Threat-led Penetration Testing?

Anschließend. Wenn das Unternehmen bereits einzelne Komponenten getestet hat, ist es wichtig, auch die gesamte Organisation zu testen. Im Prinzip geht es dabei, nicht auf ein bestimmtes System, sondern auf ein bestimmtes Szenario abzuzielen. Dabei handelt es sich um fortgeschrittene Methoden und damit nun um ein neues Thema „Threat-led Penetration Testing“, bei dem es sich eigentlich schon um einen recht großen und anspruchsvollen und noch nicht ganz etablierten Prozess handelt, bei dem Szenarien gemeinsam mit dem Kunden und seinem Verteidigungsteam geplant werden. Für diese Szenarien ist es sehr wichtig, sie entsprechend den tatsächlichen Bedrohungen zu planen, die für einen bestimmten Kunden tatsächlich auftreten könnten. In diesem Moment versuchen wir als ethische Hacker noch mehr, in die Rolle eines echten Angreifers zu schlüpfen und einen Hackerangriff auf eine kontrollierte und simulierte Art und Weise durchzuführen. 

Die Sicherheitskräfte konzentrieren sich stark auf den Schutz der Systeme als solche, konzentrieren sich jedoch weniger auf die physische Sicherheit, die kostengünstiger, aber auch sehr anfällig sein kann.

Ja, das ist es, was wir oft sehen, und es trifft im Sicherheitsbereich sehr oft zu, dass jemand, der bereits physischen Zugriff auf etwas hat, im Großen und Ganzen gewinnt.

Solche lustigen Situationen erleben wir oft bei physischen Einbruchstests (Red Teaming), wenn ein ethischer Hacker einfach in ein völlig Fremdunternehmen geht und sagt: „Können Sie mir bitte die Tür aufhalten?“ und der Mitarbeiter hält ihm bereitwillig die Tür auf und lässt ihn herein.

Oder wenn sie dort ein Tourniquet haben, sagt der Hacker: „Oh, tut mir leid, ich habe meine Karte vergessen, lassen Sie mich bitte rein?“ Nun, er sagt Bitteschön und wird hereingelassen. Beziehungsweise ist er bereits irgendwo drinnen und es gibt hier eine Tür, an deren Außenseite sich zwar eine Kugel befindet, jedoch er nimmt einfach eine Plastikkarte, ein Stück Draht oder seinen eigenen Schlüssel, öffnet einfach die Lasche in der Tür und gelangt hinein in einen Raum, in den er nicht gelangen sollte.

Und dies ist ein sehr bedeutender Bestandteil der Sicherheit. Es gibt große Schwankungsbreite – irgendwo ist es sehr gut, irgendwo ist es sehr schlecht eingestellt. Und typischerweise geht es aus einem historischen Kontext aus. Wenn diese bestimmte Organisation schon lange darüber nachgedacht hat, dann sind dort gute Prozesse eingestellt.

Was kann passieren, wenn ein Angreifer in das Unternehmen eindringt und bspw. in den Besprechungsraum gelangt?

Er kann die Unterlagen, die er dort findet, mitnehmen, er kann dort ein Gerät im Netzwerk installieren, und dann kann dieses Gerät alles machen. Es kann den Netzwerkverkehr abhören, Daten irgendwohin senden. Er kann über ein eigenes Modem, eine eigene SIM-Karte verfügen, muss also nicht einmal in dem internen Netzwerk, an das er das mitgebrachte Gerät angeschlossen hat, mit dem Internet verbunden sein.

Typischerweise können Mikrofon und Kamera an Orten platziert werden, die weniger kontrolliert werden, zum Beispiel hinter dem Drucker. Wenn es nicht benötigt wird, kann es auch ganz woanders sein, vielleicht an einem Ort, wo überhaupt niemand hingeht. Es kann sich in einem Raum befinden, in dem sich ein Rack mit Netzwerkgeräten befindet, und er schließt es einfach dort an und beobachtet still den Netzwerkverkehr. Und natürlich kann er einige Aktivitäten in diesem Netzwerk ausführen. 

Man könnte also sagen, dass das, was man in den Filmen sieht, wenn sie es so machen und die Leute sagen, dass es nicht wahr ist, eigentlich ein Mythos ist?

Ja.

Noch zu den Filmen – wenn man sich die Serie „I, Robot“ ansieht, ist es eine Serie, die in der Fachwelt großes Ansehen genießt, weil es die erste Serie war, die sich mit dem Thema Hacking sehr gut beschäftigte. Fast alle dort verwendeten Werkzeuge und Techniken sind echt. Es ist also gut genug. Natürlich ist es zum Zweck der Geschichte manchmal etwas übertrieben, jedoch wenn man sich eine Episode anschaut, in der jemand einen Raspberry Pi, einen winzigen kleinen Computer mitbringt und ihn irgendwo anschließt, dann wurde es dort größtenteils richtig gemacht. Es gibt Details, wie zum Beispiel, dass jemand den Raspberry Pi eingesteckt lässt, ihn aber an Strom nicht anschließt – naja, ohne Strom geht es natürlich nicht. Jedoch abgesehen von solchen Kleinstdetails sind die meisten Dinge gut gemacht. 

Bei Citadelo haben wir manchmal das Gefühl, dass wir in der Realität so einen „Bond-Film“ erleben. Wir führen Angriffe durch, bei denen sich unsere beiden ethischen Hacker beispielsweise in der Nacht von Freitag auf Samstag körperlich in einem Fremdunternehmen bewegen, hier Unterlagen fotografieren und Geräte an einem fremden Netzwerk anschließen. Und dann gehen sie um zwei Uhr morgens weg, grüßen den Portier und gehen nach Hause. Perfekt.

Gleichzeitig kommt es manchmal vor, dass es Unternehmen gibt, die einige Geräte draußen im Feldeinsatz haben. Nun stellt sich die Frage: Was geschieht, wenn niemand da ist? Es ist nur irgendeine verschlossene Bude irgendwo im Feld, und ich komme nachts dorthin, klettere über den Zaun oder knacke möglicherweise das Schloss an einer Tür, an der anderen Tür und gehe hinein, und da ist ein Netzwerkelement, zu dem ich gelange., Also was passiert dann? 

Erstens: Wenn ich die Tür überhaupt öffne – wird dann erkannt, dass die Tür geöffnet wurde? Ist in diesem Moment irgendwo an der ersten Tür, an der anderen Tür der Alarm aktiviert? Gibt es dort Kameras? Und wenn es hier Kameras gibt, reagiert dann irgendjemand darauf, dass da eine Person reingegangen ist? Wenn wir anschließend hier ankommen und ein neues Gerät anschließen, reagiert dann jemand? Sind Überwachungen und Prozesse eingestellt, damit jemand auf die Überwachung reagiert? Und wenn ich dann hier angeschlossen bin, wo kann ich dann zu diesem Netzwerk gelangen? 

Mit anderen Worten: die physische Sicherheit ist für uns Hacker ein sehr nützliches Hilfsmittel in Richtung Cybersicherheit. Diese beiden Sachen hängen sehr eng zusammen. 

Deepfake

Der letzte Mythos, den ich hier habe, betrifft die Tiefe von Deepfake-Angriffen. Kannst du bitte näher erläutern, wie es in der tatsächlichen Realität aussieht? Bereits heutzutage kann ich mit meinem Vorgesetzten telefonisch sprechen und denken, dass es sich tatsächlich um ihn handelt?

Die Deepfake-Technologie wird von Tag zu Tag besser und es wird wirklich ein großes Problem sein, zu erkennen, was ein Deepfake ist und was nicht. Wir haben bisher etwa drei oder vier Angriffe gesehen, und ich glaube, einer davon war, dass sich jemand wirklich darauf eingelassen hat, und drei davon waren, dass der Angriff noch nicht abgeschlossen war. Wir wissen über Fälle aus dem Ausland und aus den Medien bzw. der Fachwelt, dass dieser Trend zunimmt und sicherlich nicht nachlassen wird.
 

Es ist also heute schon so weit fortgeschritten, dass ich, wenn es gut gemacht wird, wirklich keine Chance mehr habe zu erkennen, dass es sich um einen Deepfake handelt?

Ja, es wird immer schwieriger. Meiner Meinung nach wird es in Zukunft darum gehen, dass wir irgendwie überprüfen müssen, ob es sich an der anderen Seite tatsächlich die erwünschte Person befindet. Wir müssen immer noch die Ebenen der Authentifizierung kombinieren. Wenn du mir also zum Beispiel über einen klassischen GSM-Anruf telefonierst, werde ich es nicht glauben. Aber wenn du mich über Signal anrufst, wo wir eine kryptografische Authentifizierung haben, und ich sehe, dass es sich tatsächlich um denselben Kontakt handelt, mit dem ich bereits eine etablierte Geschichte habe, so werde ich es glauben. 

Ich erinnere mich an einen kürzlichen Fall in Amerika, bei dem der Finanzchef von jemandem aus dem Vorstand in einem Online-Anruf aufgefordert wurde, eine Zahlung in Höhe von 25 Millionen US-Dollar zu überweisen, was er leider auch tat. Hast du bereits einen Tipp für Unternehmen, wie diese sich gegenseitig authentifizieren könnten?

Sicherlich sollten sie einige verfälschungssichere Authentifizierungsmethoden implementieren, um sicherzustellen, dass dies tatsächlich der Fall ist. Der Prozess sollte beispielsweise so gestaltet sein, dass der Vorstand es nicht nur in einer Sitzung sagen sollte. Der Vorstand sollte einen Beschluss, eine Resolution dazu fassen, und dieser sollte optimalerweise eine digital unterzeichnete Unterlage sein. Unter der „digital unterzeichnet“ meine ich, dass es Äquivalent einer qualifizierten elektronischen Signatur sein oder etwas sein sollte, das tatsächlich mehr an Bedeutung hat. 

Dies sollte danach gestaffelt werden, wie groß der Betrag ist. Das muss jedes Unternehmen für sich beurteilen. Für ein kleines Unternehmen werden 10.000 Euro ein großes Problem sein, jedoch für ein großes Unternehmen kann es sich in Anführungszeichen lohnen, um 10.000 Euro betrogen zu werden, da es sehr teuer sein wird, jeweils 10.000 Euro zu überprüfen, wenn sie normalerweise mit Millionen oder mehreren zehn Millionen arbeiten. Die Höhe des Betrags, ab dem sie eine höhere Verifizierung festlegen müssen, muss also jeder abwägen, aber man sollte auf jeden Fall einige zusätzliche Prozesse einrichten.

Sofern jemand nicht weiß, wie man solche komplexe Prozesse einrichtet, kann es am einfachsten sein, die Person sicher zurückzurufen und die Verifizierung der Sachlage auf eine andere Art und Weise als beim vorherigen Kontakt vorzunehmen. Ziel ist es, den ursprünglichen Kontaktweg zu umgehen und so dem Hacker auszuweichen. Idealerweise auf sichere Art und Weise, etwa über die verschlüsselte Signal-App. 

Die letzte Frage. Wenn du den Unternehmen etwas zum Thema Sicherheit oder Hacking sagen könntest, was wäre das? 

Die Hacker versuchen jetzt, an Sie heranzukommen, sie haben es gestern versucht und sie werden es auch morgen versuchen. Und falls Sie glauben, dass dies nicht der Fall ist, bedeutet das nur, dass Sie über keine Erkennungsmechanismen verfügen, die Sie darauf aufmerksam machen. Das ist die harte Realität der heutigen Zeit und es wird nicht besser. Man muss es akzeptieren und von dieser Akzeptanz auf einen Lösungsweg umwandeln. Und dann muss man die Situation in entsprechender Weise lösen.

Tomáš Zaťko | CEO & Mitglied des Vorstands Citadelo - Hacker auf Ihrer Seite!