Ethical Hacking
Cyber-Kriminalität offensiv begegnen
Fortsetzung des Artikels von Teil 1
Unternehmen hacken sich selbst
funkschau: Hat sich der Charakter von Angreifer und Angriffstechniken gewandelt?
Bruns: Die Angriffsmotivation ist vielschichtiger geworden. Die größte Gefahr unter Berücksichtigung von Wahrscheinlichkeit und Auswirkung, neben der traditionellen Industriespionage, droht heute durch Cyber-Kriminelle, die schlichtweg Geld aus Cyber-Angriffen pressen wollen. Dabei steht den potenziellen Angreifern inzwischen ein ganzes Arsenal an Tools zur Verfügung, Schwachstellen gezielt auszunutzen. Auf einschlägigen Hacker-Foren werden zum Teil gegen Bezahlung Hinweise über kritische „Einfallstore“, Angriffsvektoren und Zugangsdaten ausgetauscht. Selbst Projekte mit ursprünglich redlicher Intention, wie etwa Suchmaschinen für IoT-Geräte, die akkurat Meta-Daten bzgl. online erreichbarer Systeme bereitstellen, erleichtern Angreifern die Arbeit. Durch den Abgleich mit bekannten Schwachstellen werden Systeme, die aufgrund eines überholten Release-Standes anfällig für potenzielle Angriffe sind, quasi frei Haus geliefert.
funkschau: Wie kann und – mit Blick auf gesetzlichen Regularien – muss eine Organisation sich schützen?
Bruns: Mit Hilfe der Implementierung geeigneter technischer und – in der Regel noch entscheidender – organisatorischer Maßnahmen lässt sich das Risiko deutlich eingrenzen. Voraussetzung ist der Aufbau eines ganzheitlichen Sicherheitskonzepts, das sich am Wert der zu schützenden Systeme und Prozesse orientiert. Dabei wird zuerst geprüft, welche Risiken es im Unternehmen gibt. Anschließend wird die Organisation angepasst sowie Verfahren und Regeln definiert, um eine kontrollier- und steuerbare Sicherheitsbasis im Unternehmen aufzubauen. Wertvolle Hinweise finden sich in einschlägigen Veröffentlichungen beziehungsweise Ratgebern von Organisationen wie dem BSI, Allianz für Cyber-Sicherheit oder Anwendervereinen wie der DSAG (Deutschsprachige SAP-Anwendergruppe e. V.). Natürlich helfen hier auch internationale Standards (z. B. ISO 27001 oder NIST-Standards).
funkschau: Welche Punkte umfasst ein solches Sicherheitsmanagement und was macht die Verankerung in einer Organisation so kompliziert?
Bruns: Ein robustes Sicherheitsmanagement befasst sich im Wesentlichen mit drei Handlungsfeldern: Prävention, Detektion – also dem Erkennen von Risiken und Verletzungen – sowie der Reaktion auf erfolgreiche Angriffe. Eingebettet ist das Ganze idealerweise in einen kontinuierlichen Verbesserungsprozess, um das Sicherheitsniveau stetig zu optimieren. Entscheidend ist, dass einem Sicherheitsmanagement klare Kompetenzen zugeordnet sind, und dass alle Mitarbeiter für die Sicherheitsthematik sensibilisiert werden. Schließlich zählt Social Engineering (wie z. B. Phishing) zu den unauffälligsten, leider aber auch zu den erfolgversprechendsten Angriffsmethoden.
funkschau: Gibt es technische Hilfsmittel, die helfen, eine Prüfung sicherheitsrelevanter Aspekte auf den unterschiedlichen Ebenen der Unternehmens-IT effizienter zu gestalten und umzusetzen?
Bruns: Entscheidend ist, dass Unternehmen Transparenz zur aktuellen Gefährdungslage sowie über das gegebene Schutzniveau gewinnen. Prüfwerkzeuge unterstützen diesen Prozess.
Damit ein Eindruck des Sicherheitsniveaus der SAP-Systemlandschaft gewonnen werden kann, steht zu Beginn eine Prüfung sicherheitsrelevanter Aspekte auf allen Ebenen (siehe Grafik) an. Wertvolle Hinweise liefern ein Werkzeuge wie der WerthAuditor, den BTC Security Experten im Rahmen von Security-Audits von SAP-basierten Infrastrukturen nutzt. Ohne zusätzliche Komponenten auf den zu prüfenden Anwendungssystemen ausbringen zu müssen, liefert das Werkzeug vollumfassend Informationen zum Sicherheitsstand. Diese werden anschließend zu detaillierten Berichten aufbereitet, die z. B. kritische Berechtigungen und Rechtekombinationen aufzeigen oder die Sicherheit der Schnittstellenkonfigurationen bewerten. Um sich insbesondere in Umgebungen mit hohem Schutzbedarf ein Lagebild zur Wirksamkeit der eigenen technischen und organisatorischen Sicherheitsmaßnahmen zu verschaffen, legen wir Unternehmen nahe, regelmäßig eigene Penetrationstests durchzuführen beziehungsweise durchführen zu lassen.
funkschau: Ein Unternehmen soll also seine eigene IT „hacken“?
Bruns: Unbedingt! In solchen Überprüfungen untersuchen Experten, die nach den Vorgaben des EC-Councils als „Ethical Hacker“ zertifiziert sind, das Gefährdungspotenzial von IT-Umgebungen. Diese Ethical Hacker nutzen die gleichen Verfahren wie kriminelle Hacker. Der große Unterschied dabei ist, dass sie es unter positiven Vorzeichen zum Wohle des Unternehmens tun.
- Cyber-Kriminalität offensiv begegnen
- Unternehmen hacken sich selbst
- Gegenmaßnahmen
Lesen Sie mehr zum Thema
