Menu:

News:

13.10.2013:
Blog online

04.10.2013:
NSA: "TOR stinkt"

Mehr...

Links

Hier finden Sie weitere ausgewählte Informationen aus dem Bereich der IT-Sicherheit.

Schulungen

Trotz langjährig entwickelter und getesteter Firewalls, Intrusion Detection Systeme und ausgefeilter verhaltensbasierter Analysetechniken und Heuristiken finden regelmäßig spektakuläre IT-Sicherheitsvorfälle statt.

Einerseits wird dies durch regelmäßige Schwachstellen in den immer komplexer werdenden IT-Produkten ermöglicht, die auch mit immer weniger Fachwissen ausgenutzt werden können. Bspw. lassen sich durch die Nutzung von Frameworks wie Metasploit Schwachstellen gezielt und automatisiert analysieren und ausnutzen, um die Kontrolle über IT-Systeme zu übernehmen.


Schwachstelle Mensch

Die wichtigste Schwachstelle bleibt jedoch der Mensch - trickreiche Social Engineering Verfahren bringen nahezu jeden dazu, ungewollt und unbewußt eine Aktion im Sinne des Angreifers auszulösen. Dies gilt auch dann, wenn man sich den Gefahren, die bspw. von Mail-Anhängen ausgehen können, bewußt ist.

Aufsehenerregende Fälle der letzten Jahre wie die Kompromittierung von RSA und den damit ermöglichten Angriffen auf bedeutende Unternehmen der amerikanischen Rüstungsindustrie wie Lockheed Martin und Northrop Grumman sind hier nur ein Beispiel.


Social Engineering 2.0

Social Engineering ist dabei kein Phänomen der letzten Jahre, sondern hatte bereits in den 80er Jahren eine Blüte, als Hacker wie bspw. Mitnick diese Verfahren sehr erfolgreich genutzt haben. Was damals maßgeblich noch über das Telefon oder direkte Interaktion mit einem Gesprächspartner ablief - also ein hohes Maß an Technik und sozialer Kompetenz bzgl. Auftreten und Kommunikationsfähigkeit durch den Angreifer erforderte - wird heute in einer modernen Version “Social Engineering 2.0” ohne entsprechende Fähigkeiten des Angreifers und unter intensiver Ausnutzung von Sozialen Netzwerken wie Facebook und Twitter durchgeführt. Mittlerweile gibt es auch Toolkits, welche die Durchführung von Social Engineering Angriffen unterstützen und automatisieren. Beispiel hierfür ist das Social Engineering Toolkit.

Eindrucksvoll unterstrichen wird dies durch Zahlen von Sicherheitsunternehmen, welche entsprechende Social Engineering Versuche für ihre Kunden überwachen und auswerten: … Dies sind jedoch nur die bekannten und entdeckten Fälle - die Dunkelziffer ist deutlich höher zu erwarten. Gerade sensible Bereiche der Finanz- und Sicherheitssektoren vermeiden das Publik werden entsprechender Informationen. Künftig wird den Social Engineering Angriffen eine weiter steigende Bedeutung zukommen, wie bspw. auch Symantec im neuesten Sicherheitsbericht für 2011 ([]) dargelegt hat.


Mitarbeiterschulungen

Das Verständnis, wie Social Engineering Angriffe heute ablaufen, wie trickreich diese umgesetzt werden und wann man mißtrauisch werden sollte ist elementar für die Sicherheit der IT - und somit meist auch des gesamten Wissens und Businesswertes - eines Unternehmens.

Ich biete in diesem Bereich Mitarbeiterschulungen, die der Sensibilisierung des Personals dienen. An praktischen Beispielen wird gezeigt, wie Informationen über Mitarbeiter gesammelt werden und wie diese genutzt werden können, zielgerichtete Angriffe durchzuführen. Die verschiedenen Arten von Gefährdungen und Schadenprogrammen werden vorgestellt und deren Bedeutung und mögliche Konsequenzen diskutiert. Andere Gefahrenbereiche, bspw. die Nutzung von USB-Sticks als effizienten Köder und einfache Möglichkeit, in das IT-Netz einer Firma einzudringen oder die zahlreichen modernen und einfach durchzuführenden Abhörverfahren werden ebenfalls vorgestellt.

Schwerpunkte können so gesetzt werden, dass sie den Bedürfnissen und der Arbeitssituation ihrer Firma optimal Rechnung tragen.