Aufrufe
vor 1 Monat

Netzwoche 09/2021

  • Text
  • Wwwnetzmediench
  • Google
  • Informationen
  • Digitale
  • Schweiz
  • Swiss
  • Hacker
  • Angriffe
  • Mitarbeitenden
  • Netzmedien
  • Unternehmen

42 Technology

42 Technology Hintergrund Die Kunst, Menschen zu manipulieren «In Banken einzubrechen, ist kein Problem», sagt Ivano Somaini. Er schaffte es mehrfach. Niemand hat ihn erwischt. Er war allerdings nicht kriminell, sondern Pentester, spezialisiert auf Social Engineering. Heute leitet er die Zürcher Filiale von Compass Security Schweiz. Ein Social Engineer bringt Menschen dazu, etwas freiwillig zu tun, was sie eigentlich nicht tun sollten oder nicht tun wollen. Das muss nicht zwingend schaden. «Kindererziehung ist manchmal auch Social Engineering», sagt Somaini. Doch Hacker wollen meistens Menschen dazu verleiten, etwas Falsches anzuklicken, sensible Informationen zu verraten oder jemanden hereinzubitten, der nicht hineindürfte. Wie bricht man in eine Bank ein? Jedenfalls nicht mit der Brechstange. «Manchmal verkleiden wir uns, etwa als Mitarbeiter oder als Techniker, geben uns freundlich und unbeholfen. Teilweise reicht das schon, um reinzukommen.» Aber es geht auch ohne Kostüm: Man platziere einen USB-Stick auf einen Schreibtisch, klebe einen Post-it-Zettel drauf, auf dem «vertraulich» steht. Wer den Stick in einen Rechner steckt, findet beispielsweise eine Excel- Datei mit dem Titel «Löhne 2021». Ein Klick zu viel – und auf dem Rechner läuft ein Trojaner, der dem Hacker Tür und Tor öffnet. Social Engineers haben viele solcher Kniffe auf Lager. Es geht immer darum, die Hilfsbereitschaft, die Neugier oder die Angst von Menschen auszunutzen. « Das Wichtigste für einen guten Social Engineer ist Empathie. » Ivano Somaini, Regional Manager Zürich, Compass Security dient häufig ein simpler, aber effektiver Trick namens Phishing. Das funktioniert etwa so: Ein täuschend echt gestaltetes E-Mail fordert den Leser dazu auf, einen Link anzuklicken, um sich einzuloggen. Womöglich unter dem Vorwand, dass seine Zugangsdaten nicht mehr sicher seien und deswegen erneuert werden müssten. Der Leser klickt, loggt sich ein, und schon hat er seine Daten dem Angreifer preisgegeben. Das Perfide am Phishing: Die Angreifer nutzen die Gutgläubigkeit ihrer Opfer aus. Nach demselben Prinzip funktionieren viele weitere Methoden, die zum Repertoire eines Social Engineers gehören. Wer aufklären will, braucht Feingefühl «Das Wichtigste für einen guten Social Engineer ist Empathie», sagt Somaini. Man muss sich in sein Gegenüber einfühlen und behutsam vorgehen. Denn Menschen zu täuschen, mit Emotionen zu spielen – «das kann heftige Reaktionen auslösen». Ausserdem dürfen solche Angriffe nicht zu raffiniert sein. «Wir machen es so, dass die Mitarbeiter die Möglichkeit haben, uns zu erwischen. Zum Beispiel, indem wir uns mit der Zeit immer etwas auffälliger verhalten.» Warum? Weil Ethical Hacker in erster Linie für Risiken sensibilisieren wollen. «Das Ziel ist, Awareness zu schaffen.» Das funktioniert nur, wenn die Leute erkennen, worauf sie achten sollen. Beim Phishing beispielsweise gilt es, die URL, also die Adresse einer Website, genau zu prüfen. Dies, weil Phishing-Websites oftmals eine sehr ähnliche, aber nicht genau dieselbe URL verwenden wie die Original-Website. Makellos gestaltete Phishing-Mails und -Websites, aber auch perfekt ausgeklügelte Einbrüche – das alles wäre für einen guten Hacker zwar problemlos machbar, sagt Somaini. Aber wenn White Hats einen auf Ocean’s Eleven machen, dann ist der Lerneffekt gleich Null. Denn die Mitarbeitenden hätten keine Chance, etwas zu merken. Unter Social Engineers fällt oft das Sprichwort: There is no patch for human stupidity. Soll heissen: Als Hacker kann man sich immer auf die menschliche Dummheit verlassen – die lässt sich nicht beheben. «Dieser Satz macht mich wütend», sagt Somaini. «Menschen sind nicht dumm. Klar, sie machen Fehler. Auf den falschen Link zu klicken, kann jedem passieren. Auch mir.» Doch der Punkt ist: Aus Fehlern kann man lernen. «Die Voraussetzungen dafür zu schaffen, gehört zu unserem Job.» In Gebäude einzubrechen und Dinge zu tun, die man sonst nicht darf – das hat schon seinen Reiz, wie Somaini sagt. Was ihn aber antreibt, ist die Gewissheit, etwas Konstruktives zu machen. «Wir helfen Menschen dabei, in Sicherheitsfragen voranzukommen. Das gibt mir ein gutes Gefühl.» Er sitzt in einem hellen Büro, trägt ein Hemd und spricht über Gefahren, über Angriffsszenarien sowie darüber, warum IT-Sicherheit uns alle angeht: der gute Hacker, der für seinen Beruf brennt. Sieht freundlich aus, ist es auch. 09 / 2021 www.netzwoche.ch © netzmedien ag

Advertorial Bösartige Bots und fehlerhafte APIs gefährden europäische Firmendaten Anwendungen befinden sich in unterschiedlichsten IT-Umgebungen, vom Rechenzentrum bis zum Smartphone. Und die verstärkte Remote-Arbeit führt dazu, dass immer mehr Applikationen in die Cloud ausgelagert werden müssen. Hierdurch haben sich die möglichen Risiken hinsichtlich der App-Security noch vergrössert. Bots sind zweifelsohne seit langem eine Bedrohungsquelle für Anwendungen und stehen mittlerweile an der Spitze der Liste erfolgreicher Angriffsmethoden. Jedoch sollten sich Security-Teams nicht nur auf Bots konzentrieren. Auch Zero-Day-Bedrohungen, Schwachstellen in Webanwendungen, die Software-Lieferkette und APIs (Application Programming Interfaces) sollten Sicherheitsexperten ebenso viel Aufmerksamkeit schenken. Jüngste Forschungsdaten von Barracuda zeigen, dass von 750 globalen Unternehmen 72 Prozent im letzten Jahr mindestens einen Sicherheitsverstoss durch eine Anwendungsschwachstelle erlitten haben. Europäische Unternehmen konnten sich in einem Bereich der Anwendungsentwicklung und -sicherheit besonders hervortun: bei der Bedrohungsabwehr. Die Erfolgsstrategie wurde vor allem durch die Länder der DACH-Region (Deutschland, Österreich, Schweiz) und Frankreich vorangetrieben und ist wohl auf die Gesetze der Datenschutz-Grundverordnung (DSGVO) sowie auf das Schweizer Datenschutzgesetz (DSG) zurückzuführen. Das revidierte DSG wird den zurzeit noch geltenden Vorgängererlass aus dem Jahre 1992 ersetzen und voraussichtlich per 1. Januar 2022 in Kraft treten. In den letzten zwei Jahren wurde mangelhafte API-Sicherheit von mindestens 70 Prozent der Befragten weltweit und sogar von 77 Prozent der europäischen Befragten als wesentlicher Faktor für erfolgreiche Datenschutzverletzungen genannt. Die befragten Unternehmen gaben an, dass sie durchschnittlich 33 öffent liche APIs verwenden. Dadurch eröffnen sich für Angreifer weitere Angriffspunkte und sie erhalten direkten Zugriff auf sensible anwendungsrelevante Daten. Obwohl die meisten Unternehmen mehr als ein Tool zur Sicherung ihres API-Datenverkehrs verwenden, bieten diese Tools keine angemessene Sicherheit. Die Verteidigung von APIs zählt aktuell zu den wichtigsten Sicherheitsüberlegungen. Unternehmen sollten daher eine umfassende, skalierbare und einfach zu implementierende Plattform in Betracht ziehen, um ihre Anwendungen zu schützen, wo auch immer sie sich befinden. Eine Barracuda Web Application Firewall (WAF) mit Active Threat Intelligence ist die am besten verwaltbare Lösung, um Anwendungen und damit auch APIs vor den oben genannten Bedrohungen zu schützen. Die Verteidigung gegen Zero-Day-Bedrohungen, Bots, DDoS- Angriffe, eine Kompromittierung der Lieferkette, Credential Stuffing sowie die Implementierung einer clientseitigen Security und der Schutz vor böswilligen Insidern sollten bei Unternehmen auf der Agenda stehen, um Sicherheitsverletzungen durch Anwendungsschwachstellen zu vermeiden. Webattacken werden immer komplexer – schützen Sie Ihre Anwendungen mit einer einzigen Plattform! Barracuda Cloud Application Protection ist eine integrierte Plattform, die ein umfassendes Set an interoperablen Der Autor Michael Ulrich, Senior Business Development Manager, DataStore AG michael.ulrich@datastore.ch Funktionen vereint, um vollständige Anwendungssicherheit zu gewährleisten. Die Kombination aus einer vollen WAF-Funktionalität mit einem kompletten Satz fortschrittlicher Security-Services und -lösungen schützen die Anwendungen der Unternehmen vor heutzutage stetig zunehmenden Bedrohungen. Dabei spielt es keine Rolle, ob die Anwendungen On-Premises, in der Cloud oder in einem hybriden System bereitgestellt werden. Mit Barracuda und DataStore setzen Sie auf die Cloud-Security-Spezialisten Unternehmen benötigen die Hilfe von Drittanbietern, um Angriffsaktivitäten zu verhindern und aufzuspüren und sich vor Attacken auf ihre Anwendungen zu schützen. Andernfalls werden sie unweigerlich Opfer von Angriffen – oder wie die meisten Unternehmen, Opfer eines erneuten Angriffs. DataStore bietet zusammen mit dem Cloud-Security-Spezialisten Barracuda Networks ein umfassendes Produktportfolio an Security-Lösungen das in dieser Form seinesgleichen sucht. Mehr zu Barracuda-Lösungen unter: de.barracuda.com/cap#top-of-lead-form DataStore AG Pfadackerstrasse 6 8957 Spreitenbach Tel. 056 419 71 71 info@datastore.ch www.datastore.ch

Archiv