IT-Sicherheit: Sicherheitslücken als Einfallstor für Cyber-Kriminelle

Wenn man an Sicherheitslücken in der Informationstechnologie denkt, fällt der erste Blick meist auf die Technik. Wenn man IT-Sicherheit hört, denkt man als erstes an unsichere Hard- und Software. Angriffe wie zum Beispiel durch die Ransomware „WannaCry“, welche im Mai 2017 unzählige Unternehmen lahmgelegt hat, unterstützen die Zweifel an der Absicherung der Systeme.

Das Hauptproblem lag hier allerdings nicht an der Software selbst sondern an fehlenden Updates und schlecht konfigurierten Systemen. Wenn die IT-Abteilungen ihre Systeme also aktuell halten, können bereits geschlossene Sicherheitslücken zukünftig nicht mehr ausgenutzt werden. Oft werden die Updates aber auch bewusst später eingespielt, um möglichen Problemen im IT-Betrieb aus dem Weg zu gehen.

Infizierung mit Ransomware durch mangelnde Aufklärung

Doch wie kommt eine solche Schadsoftware überhaupt in das Unternehmen? Hier kommen wir zur zweiten Sicherheitslücke: Gutgläubige und dabei meist sehr serviceorientierte Mitarbeiter. Man bekommt eine E-Mail mit einer Datei, die zum Beispiel eine Rechnung oder Bewerbung beinhalten soll.

Nichtsahnend wird der Anhang geöffnet und das Schicksal nimmt seinen Lauf. Denn bei der angehängten Datei handelt sich gar nicht um eine Rechnung oder die Materialien eines Bewerbers, sondern um eine Ransomware, die durch die offenen Sicherheitslücken der nicht gepatchten Betriebssysteme das gesamte Netzwerk verschlüsseln kann.

Neben solchen Angriffen kommen oft Phishing-Angriffe zum Einsatz. Diese versuchen Benutzer auf eine bestimmte Webseite zu locken, beispielsweise mit Hilfe eines angeblichen Gewinnspiels. Ziel der Kriminellen ist es aber nicht Gewinne auszuteilen sondern an Login-Daten der Opfer zu gelangen. Durch die Registrierung auf der gefälschten Webseite gelangen die Daten direkt an den Angreifer.

Problematisch ist dabei, dass die gestohlenen Daten oft auch zum Einkaufen neuer Waren im Internet verwendet werden. Der Hacker erlangt also die Email-Adresse und das Passwort. Diese testet er gegen verschiedene Internetseiten, was nach einer Weile sehr oft zum Erfolg führt. Auch hier wird die Gutgläubigkeit der Menschen ausgenutzt, um an sensible Daten der Nutzer zu gelangen.

Analoger Zugang durch gefälschte Hardware

Das sind allerdings nicht die einzigen Möglichkeiten, die sich illegale Angreifer zunutze machen. Angreifer verwenden zum Beispiel eine Hardware namens „Rubber Ducky“. Hierbei handelt es sich um ein Gerät, das optisch wie ein USB-Stick aussieht. Findet ein Mitarbeiter ein solches Gerät beispielsweise auf dem Firmenparkplatz, wird seine Neugier mit Sicherheit dazu führen, dass er das Gerät in seinen Dienstrechner steckt. Anders als bei einem USB-Stick gibt der Rubber Ducky vor eine Tastatur zu sein.

Das Gerät führt nun eine vom Angreifer programmierte Tastaturabfolge aus. So kann zum Beispiel die Kommandozeile aufgerufen werden und mit den Nutzerrechten des Users bestimmte Dateien heruntergeladen und installiert werden. Alternativ werden bestimmte Daten des infizierten Computers per Email an den Hacker weitergeleitet. Dies ist aber nur eines von vielen Angriffsszenarios, die mit dem Rubby Ducky möglich sind – der Kreativität der Angreifer sind hier kaum Grenzen gesetzt, was die IT-Sicherheit enorm gefährdet.

Angestellte aufklären und Sicherheitslücken sichtbar machen

Wie kann sich ein Unternehmen nun aber vor solchen Attacken schützen? Eine hundertprozentige Garantie wird es nicht geben, man kann die Gefahr Opfer eines solchen Angriffs zu werden aber relativ stark eingrenzen. Eine extrem wichtige Maßnahme hierbei sind Mitarbeiter-Schulungen. können beispielsweise dabei helfen, echte von gefälschten Websites zu unterscheiden. Die Mitarbeiter lernen mit Hilfe welcher Kriterien sie eine gefälschte von einer echten Website unterscheiden können, zudem wird bewusst gemacht, dass sie nicht auf jeden Link klicken, jede Datei öffnen oder auch nicht alle Informationen am Telefon weitergeben müssen.

Ein weiteres Werkzeug um Sicherheitslücken aufzudecken sind Penetrationstest. Penetration-Tests sind darauf ausgelegt, die folgende Frage zu beantworten: „Wie hoch ist der reale Schutz meiner derzeit existierenden Sicherheitsmechanismen gegen einen aktiven, gut ausgebildeten, menschlichen Angreifer.“ Ein Security-Scan kann bestehende Schwachstellen hinsichtlich IT-Sicherheit aufzeigen. Ein Penetration-Test hingegen ist in der Lage verschiedene Angriffsvektoren auf ein Ziel anzuwenden. Denn oft gelangen Angreifer nicht durch die eine Lücke auf ein System oder in ein Netzwerk sondern durch die Kombination von verschiedenen Schwachstellen sowie das Wissen über ein System oder Netzwerk.