Blogpost vom 28. März 2023
IT-Sicherheit für KMU: Rückblick Live Hacking
Wir Menschen sind Gewohnheitstiere. Das ist erstmal nichts grundsätzlich Schlechtes, kann aber unter Umständen gefährlich werden. Zum Beispiel dann, wenn es Cyberkriminelle und Social Engineers* auf uns abgesehen haben. Und das haben sie. Die statistische Wahrscheinlichkeit, dass wir alle, also jeder und jede Einzelne von uns, eines Tages gehackt werden, liegt bei 100 %. Es ist also keine Frage des Ob, sondern vielmehr eine Frage des Wann.
Dabei spielt es keine Rolle, ob wir im Privatleben oder im Beruf Opfer eines Angriffs werden. So oder so können die Folgen verheerend sein. Es ist also dringend geboten, unser Verhalten im Netz an diese Gefahrenlage anzupassen und fahrlässige Gewohnheiten durch sichere Praktiken zu ersetzen.
Das Kompetenzzentrum Digitalisierung im ländlichen Raum (KDL) hat Micromata deshalb beauftragt, in einer Roadshow zum Thema Awareness zu schaffen und insbesondere KMUs praktische Unterstützung zur Sache zu bieten.
„Wir merken deutlich, dass unsere Empfehlungen auf fruchtbaren Boden fallen“, so Jens Becker, IT-Security-Experte. „Denn es ist ein Unterschied, ob wir von einem großen Cyberangriff in der Zeitung lesen, oder ob wir im Detail verstehen, wie sowas funktioniert und wie wir uns folglich davor schützen können.“
Um das anschaulich zu machen, führen er und sein Co-Referent Sergej Michel einfach mal vor, was passieren kann:
Der USB-Hack
Die Angreifer kommen als Kunde, Vertreter oder Handwerker getarnt in ein Unternehmen und verwickeln das Gegenüber dort in ein Gespräch. Dabei verstehen sie es, Vertrauen herzustellen und den/die Gesprächspartner:in unvorsichtig werden zu lassen. In einem unbeobachteten Moment stecken sie einen manipulierten USB-Stick in den Rechner ihres Gegenübers, der dort nur etwa 30 Sekunden braucht, Schadcode aufzuspielen, um so Daten auszulesen oder den Rechner unbemerkt fernsteuerbar zu machen.
„Was sich anhört wie in einem billigen Agententhriller ist leider bittere Realität“, so Jens. „Vielleicht weniger in großen Unternehmen, die in eine wirksame Sicherheitspolicy investieren können. Umso mehr dafür in kleinen und mittelständischen Unternehmen mit unmittelbarem Kundenkontakt, die solche Möglichkeiten nicht haben. Aber auch hier hilft eine konsequente Verhaltensänderung. Die Bildschirmsperre zu aktivieren, ist ein Anfang.“
Der WLAN-Hack
Weniger aufwendig und deshalb noch gefährlicher ist der WLAN-Hack. Alles, was es dafür braucht ist kriminelle Energie und etwas technisches Know-how seitens des Hackers und ein unsicheres Passwort auf Seiten des Opfers.
„Wir können es nicht oft genug wiederholen: Passwörter werden über WLAN-Verbindungen geschickt und müssen für den Fall eines Angriffs sicher sein! Sicher bedeutet: kryptisch, divers und ohne jeden persönlichen Bezug. Und auf gar keinen Fall darf ein Passwort für mehrere Anwendungen gleichzeitig gültig sein! Wem das Erfinden und Merken vieler verschiedener komplexer Passwörter zu lästig ist, möge bitte mit einem Passwortmanager arbeiten. Das allein mindert das Risiko schon deutlich.“
Der Phishing-Hack
Apropos Passwort. Auch das so genannte Spear Phishing sieht es darauf ab, Login-Daten zu erbeuten. Zum Beispiel mithilfe von Fake Accounts. Dazu braucht der Angreifer nur die E-Mailadresse seines Opfers, an die er dann einen gefälschten Link zu einer gefälschten Webanwendung schickt, beispielsweise Paypal. Im Betreff solcher E-Mails steht häufig so etwas wie „Wir haben unsere Nutzungsbedingungen geändert. Sie müssen noch zustimmen“ oder ähnlich Plausibles. Wer darauf hereinfällt, verliert neben seinen Login-Daten dann auch echtes Geld und das Vertrauen in die Menschheit.
„Früher konnten wir solche Fakes noch daran erkennen, dass sie in schlechtem Deutsch verfasst waren oder das Corporate Design des Originals so miserabel gefälscht war. Heute sind diese Mails wesentlich professioneller geworden, so dass wir diebisch aufpassen müssen. Am besten löschen wir solche Mails direkt, ohne sie zu öffnen oder darin was anzuklicken, und schauen auf anderem Weg mal bei Paypal vorbei, ob wirklich etwas anliegt.“
Noch einfacher als solche gefälschten Firmenmails sei es für Hacker, sich als Verwandte ihrer Opfer auszugeben, fügt Jens noch hinzu. Auf diese Weise ließe sich die natürlich Skepsis des Gegenübers sehr leicht aushebeln, weil Emotionen im Spiel seien. Die Folge seien Kurzschlussreaktionen – zumeist aus dem Impuls heraus, helfen zu wollen. Solche Fälle sind reichlich bekannt.
Und abschließend fasst Jens die Sache so zusammen: „Wir sehen also: IT-Security ist nicht nur eine Frage der Technik, sondern auch eine des persönlichen Verhaltens. Umso wichtiger sind Aufklärungsinitiativen wie diese, weil sie zeigen, dass man kein Techie sein muss, um sich vor Cyberkriminalität zu schützen.“