Die Corona-Krise hat den Siegeszug der Digitalisierung noch einmal deutlich beschleunigt: Schulen machen sich noch mehr Gedanken über Homeschooling, Unternehmen verlagern ihre Arbeit ins Home-Office und im privaten Umfeld steigt die Nutzungsdauer von Streaming-Diensten - von der Omnipräsenz unser aller Smartphones mal ganz abgesehen. Kurzum: Das Internet ist alles und alles ist das Internet. Doch die Digitalisierung birgt nichtnur unbegrenzte Möglichkeiten: Auch die Gefahren nehmen zu. So schafft die digitale Vernetzung zahllose Einfallstore, durch die Cyberkriminelle in IT-Systeme eindringen und dort Schaden anrichten können.
Unternehmen immer häufiger im Fadenkreuz der Hacker
Sie nennen sich Brute-Force-Angriffe, SQL-Injections, Keylogging oder Phishing: die Methoden der Hacker, mit denen meist Unternehmensnetzwerke, aber auch private Internetnutzer, gehackt werden sollen. In Firmen sind oft Wirtschaftsdaten, Baupläne oder kompromittierendes Material, mit dem sich Unternehmen erpressen lassen, Ziele der Angreifer.
Dass Firmen und Öffentlichkeit nicht immer etwas von den Hackerangriffen mitbekommen, zeigen Daten des Branchenverbands Bitkom. Demzufolge soll im Jahr 2018 rund jedes zweite Unternehmen (70 %) in Deutschland gehackt worden sein.
Die Dunkelziffer dürfte deutlich höher liegen. Denn teilweise werden die Sabotagen nicht publik gemacht. Die Angst vor Reputationsverlust oder Kurseinbrüchen an der Börse ist schlichtweg zu groß.
Pentesting: hacken für die gute Sache
In Zeiten von All-IP und Unified Communications ist mehr oder weniger alles miteinander verbunden. Die lokale Telefonanlage für eine sichere interne Kommunikation ist längst der skalierbaren Cloud-IP-Telefonanlage als On-Demand Produkt gewichen. Auch klassische Office-Anwendungen oder Newsletter-Tools werden immer häufiger als Software as a Service (kurz: SaaS) und damit über die “Cloud” in Anspruch genommen.
“Anders wäre ein verteiltes Arbeiten, beispielsweise im Home-Office, auch überhaupt nicht effizient möglich”, sagt IT-Sicherheitsexperte Jan Bindig, Autor des Buches “Das IT-Security-Mindset”. Bindig weiter: “Sowohl um die Datensicherheit im Unternehmen als auch um sämtliche durch den Gesetzgeber gestellten Anforderungen an den Datenschutz zu gewährleisten, braucht es in diesen Zeiten nachhaltige IT-Sicherheitskonzepte. Insbesondere jetzt, wo viele auf Home-Office umstellen, merken wir in bei unserem “Ableger” Pentest24 einen Zuwachs an Anfragen für Penetrationstests. Viele Unternehmen spüren einfach, dass da ganz schnell mal etwas schief gehen kann - mit gravierenden Folgen.
”Teilweise seien nicht einmal die Backup-Strategien der Unternehmen fürs Home-Officeausgelegt. “Auch im Bereich Datenrettung verzeichnen wir immer mehr Anfragen, die auf einen solchen Zusammenhang hindeuten”, sagt der IT-Unternehmer.
Alles auf dem Prüfstand
Bei einem Penetrationstest (kurz: Pentest) wird alles auf den Prüfstand gestellt, erklärt Bindig: “Im Prinzip hacken unsere Experten Unternehmen in deren Auftrag mit den gleichen Methoden, die auch Kriminelle zur Penetration der Systeme nutzen würden. Sicherheitslücken können auf diese Weise aufgedeckt und anschließend durch nachhaltige Konzepte geschlossen werden. Denn eine gute Firewall, ein Antivirenprogramm, vermeintlich sichere Passwörter und die Nutzung eines anständigen Passwort-Managers zur Verwaltung von Zugangsdaten reichen schon lange nicht mehr aus.”
Menschen als Sicherheitslücke in Unternehmen
Wer denkt, dass Hacker lediglich im stillen Kämmerlein sitzen und mit einem Energydrink bewaffnet versuchen, Firmen aus reinem Spaß zu schaden oder im Auftrag von Konkurrenten sensibler Daten zu berauben, ist auf dem Holzweg.
“Teilweise kreieren die Angreifer über Monate hinweg ein Konstrukt aus Fake-Webseiten und -Firmen, um eine Geschäftsbeziehung mit dem Angriffsziel aufzubauen. Zum Beispiel als Fahrer der neuen Lieferantenfirma getarnt, verschaffen sich die Kriminellen anschließend Zugang zu den Räumlichkeiten der Unternehmen”, so der Experte.
Lässt die Zutrittskontrolle als technische und organisatorische Maßnahme im Bereich Datenschutz gemäß DSGVO zu wünschen übrig, sei es ein Leichtes für die Angreifer beispielsweise Hardware-Keylogger anzubringen, mit denen sich Tastatureingaben auslesen lassen. Die auf diese Weise gewonnenen Daten nutzen Hacker dann nicht selten für weitere Attacken.
Bindig: “Die Zusammenhänge sind von ungeschulten Personen unmöglich zu erkennen. Deshalb setzen wir bei unseren Sicherheitstests ganz bewusst auch Methoden im Bereich Social-Engineering, also der persönlichen Beeinflussung von Personen, ein. Häufig reichen hier ein oder zwei Schulungstermine, um die Belegschaft dahingehend zu sensibilisieren.”
Die Umsetzung aller technischer und organisatorischer Maßnahmen könne da schon etwas aufwendiger sein.
Unternehmen immer häufiger im Fadenkreuz der Hacker
Sie nennen sich Brute-Force-Angriffe, SQL-Injections, Keylogging oder Phishing: die Methoden der Hacker, mit denen meist Unternehmensnetzwerke, aber auch private Internetnutzer, gehackt werden sollen. In Firmen sind oft Wirtschaftsdaten, Baupläne oder kompromittierendes Material, mit dem sich Unternehmen erpressen lassen, Ziele der Angreifer.
Dass Firmen und Öffentlichkeit nicht immer etwas von den Hackerangriffen mitbekommen, zeigen Daten des Branchenverbands Bitkom. Demzufolge soll im Jahr 2018 rund jedes zweite Unternehmen (70 %) in Deutschland gehackt worden sein.
Die Dunkelziffer dürfte deutlich höher liegen. Denn teilweise werden die Sabotagen nicht publik gemacht. Die Angst vor Reputationsverlust oder Kurseinbrüchen an der Börse ist schlichtweg zu groß.
Pentesting: hacken für die gute Sache
In Zeiten von All-IP und Unified Communications ist mehr oder weniger alles miteinander verbunden. Die lokale Telefonanlage für eine sichere interne Kommunikation ist längst der skalierbaren Cloud-IP-Telefonanlage als On-Demand Produkt gewichen. Auch klassische Office-Anwendungen oder Newsletter-Tools werden immer häufiger als Software as a Service (kurz: SaaS) und damit über die “Cloud” in Anspruch genommen.
“Anders wäre ein verteiltes Arbeiten, beispielsweise im Home-Office, auch überhaupt nicht effizient möglich”, sagt IT-Sicherheitsexperte Jan Bindig, Autor des Buches “Das IT-Security-Mindset”. Bindig weiter: “Sowohl um die Datensicherheit im Unternehmen als auch um sämtliche durch den Gesetzgeber gestellten Anforderungen an den Datenschutz zu gewährleisten, braucht es in diesen Zeiten nachhaltige IT-Sicherheitskonzepte. Insbesondere jetzt, wo viele auf Home-Office umstellen, merken wir in bei unserem “Ableger” Pentest24 einen Zuwachs an Anfragen für Penetrationstests. Viele Unternehmen spüren einfach, dass da ganz schnell mal etwas schief gehen kann - mit gravierenden Folgen.
”Teilweise seien nicht einmal die Backup-Strategien der Unternehmen fürs Home-Officeausgelegt. “Auch im Bereich Datenrettung verzeichnen wir immer mehr Anfragen, die auf einen solchen Zusammenhang hindeuten”, sagt der IT-Unternehmer.
Alles auf dem Prüfstand
Bei einem Penetrationstest (kurz: Pentest) wird alles auf den Prüfstand gestellt, erklärt Bindig: “Im Prinzip hacken unsere Experten Unternehmen in deren Auftrag mit den gleichen Methoden, die auch Kriminelle zur Penetration der Systeme nutzen würden. Sicherheitslücken können auf diese Weise aufgedeckt und anschließend durch nachhaltige Konzepte geschlossen werden. Denn eine gute Firewall, ein Antivirenprogramm, vermeintlich sichere Passwörter und die Nutzung eines anständigen Passwort-Managers zur Verwaltung von Zugangsdaten reichen schon lange nicht mehr aus.”
Menschen als Sicherheitslücke in Unternehmen
Wer denkt, dass Hacker lediglich im stillen Kämmerlein sitzen und mit einem Energydrink bewaffnet versuchen, Firmen aus reinem Spaß zu schaden oder im Auftrag von Konkurrenten sensibler Daten zu berauben, ist auf dem Holzweg.
“Teilweise kreieren die Angreifer über Monate hinweg ein Konstrukt aus Fake-Webseiten und -Firmen, um eine Geschäftsbeziehung mit dem Angriffsziel aufzubauen. Zum Beispiel als Fahrer der neuen Lieferantenfirma getarnt, verschaffen sich die Kriminellen anschließend Zugang zu den Räumlichkeiten der Unternehmen”, so der Experte.
Lässt die Zutrittskontrolle als technische und organisatorische Maßnahme im Bereich Datenschutz gemäß DSGVO zu wünschen übrig, sei es ein Leichtes für die Angreifer beispielsweise Hardware-Keylogger anzubringen, mit denen sich Tastatureingaben auslesen lassen. Die auf diese Weise gewonnenen Daten nutzen Hacker dann nicht selten für weitere Attacken.
Bindig: “Die Zusammenhänge sind von ungeschulten Personen unmöglich zu erkennen. Deshalb setzen wir bei unseren Sicherheitstests ganz bewusst auch Methoden im Bereich Social-Engineering, also der persönlichen Beeinflussung von Personen, ein. Häufig reichen hier ein oder zwei Schulungstermine, um die Belegschaft dahingehend zu sensibilisieren.”
Die Umsetzung aller technischer und organisatorischer Maßnahmen könne da schon etwas aufwendiger sein.
