«Firma XYZ wurde gehackt!» - Warum es so viele trifft & was man dagegen tun kann.

Hacking Day Speaker Yves Kraft über die Gründe, weshalb Hacker trotz medialer Präsenz von Hacking-Fällen immer noch viel zu oft erfolgreich sind mit ihren Angriffen auf sensible Firmendaten.

AutorYves Kraft
Datum25.03.2019
Lesezeit8 Minuten

«Hacker gewinnen und sind auf der Überholspur! » Wie zahlreiche Statistiken [1] belegen, sind die Berichte über Datenschutzverletzungen in den letzten zwei Jahren um ca. 75 Prozent gestiegen.

Während ein Teil dieses Anstiegs mit neuen Gesetzen und Offenlegungsanforderungen im Zusammenhang steht, macht ein kurzer Blick auf die Schlagzeilen deutlich, dass Angreifer im Kampf um die Sicherheit von Unternehmensnetzwerken, Anwendungen und Daten oftmals überlegen sind.

Im Jahr 2018 kam es zu zahlreichen digitalen Einbrüchen. So berichtete beispielsweise Twitter im Mai, dass 330 Millionen Datensätze, im Klartext Passwörter, nach einer Störung entwendet wurden [2]. Einen Monat zuvor berichtete Facebook von 30 Millionen kompromittierten Datensätzen, die über sogenannte «malicious third-party scrapers» gestohlen wurden [3]. Und eine Woche zuvor war bekannt geworden, dass Facebook Millionen von Passwörtern abgespeichert hatte (www.wired.com/../facebook-passwords-plaintext-change-yours).

Es kommt noch schlimmer: Im August 2018 wurden 14,8 Millionen Wählerdaten in Texas veröffentlicht [4], nachdem eine einzige Datei ohne Passwort auf einem unsicheren Server gespeichert wurde – Namen, Adressen und Wahlverlauf sowie Geschlechterdaten wurden kompromittiert. Im Dezember berichtete Marriott Hotels [5], dass eine halbe Milliarde Kundendaten in mehreren Hotelketten gestohlen wurden – und enthüllte, dass der Angriff bereits 2014 begann.

In diesem Zusammenhang ist ebenfalls der massive Equifax-Breach [6] von letztem Jahr erwähnenswert, der vorwiegend Social Security Numbers und auch Kreditinformationen von fast 150 Millionen Amerikanern offen legte, weil Sicherheits-Patches angeblich nicht richtig angewendet wurden [7].

Schon ein flüchtiger Blick auf die Daten macht deutlich: Grosse Unternehmen werden von immer grösseren Angriffen heimgesucht – und in vielen Fällen müssen sich Hacker gar nicht erst darum bemühen.

Warum haben Hacker so viel Erfolg, während IT-Teams schwer mithalten können?

Die zunehmende Verfügbarkeit von Malware ist ein Problem: Gemäss Checkpoint [8] wird es im Jahr 2019 voraussichtlich zu einer Zunahme von «Malware-as-a-Service» kommen – Tools und Kits, die niedrigqualifizierte Angreifer im Dark Web kaufen können und die mit Kundendienst-E-Mails und fortlaufendem Support ausgestattet sind. Die Hürden auf der Angreiferseite werden also immer weiter gesenkt.

Trotz zunehmender Hackerkenntnisse und wachsender Malware-Märkte beruht der cyberkriminelle Erfolg jedoch grösstenteils auf internen IT-Quellen.

Personenprobleme

Wenn kein böswilliges Handeln nachgewiesen werden kann, ist oft menschliches Versagen die Ursache. Meist sind dies E-Mails, die an die falschen Empfänger gesendet werden und physische Daten, die von den Mitarbeitenden verlegt werden.

Die Mitarbeitenden haben auch Schwierigkeiten, Phishing-Angriffe zu erkennen und zu vermeiden. Wie vergangene Audits der Oneconsult AG zeigen, liegt die Erfolgsrate bei Phishing-Angriffen je nach Unternehmen zwischen 10 und 30 Prozent. Genauere Zahlen können beispielsweise folgendem Blogbeitrag entnommen werden https://blog.dashlane.com/phishing-statistics [9].

Patch-Druck & mangelnde Härtungsmassnahmen

Ohne regelmässige Patches werden Systeme und Netzwerke verwundbar. Equifax ist das beste Beispiel dafür: Das notwendige Update für «Apache Struts» zur Bekämpfung von CVE-2017-5638 wurde nie installiert, so dass Hacker ungehindert auf Unternehmenssysteme zugreifen konnten. Immer wieder zeigen sich bei Audits schlechte Patch-Management-Frameworks bei Kunden, die Hacker durchschlüpfen und ungewollt auf Systeme zugreifen lassen.

Auch fehlende Härtungsmassnahmen sind oft ein Grund für erfolgreiche digitale Einbrüche. So werden bei zahlreichen Unternehmen gängige «Hardening-Prinzipien» nicht umgesetzt.

Gängige Fehlerquellen dafür sind beispielsweise

  • Standard- und fest programmierte Passwörter.
  • Passwörter und andere Zugangsdaten, die in Klartextdateien gespeichert sind.
  • Nicht gepatchte Software- und Firmware-Schwachstellen.
  • Konfigurationsfehler in BIOS, Firewalls, Ports, Server, Switches, Router oder anderen Teile der Infrastruktur.
  • Unverschlüsselter Netzwerkverkehr (Data in Transit) oder auf Servern (Data at Rest)
  • Fehlende Trennung von unprivilegierten und privilegierten Zugriffen.

Fehlendes oder ungenügendes Testing

Hacker suchen nach jeder Schwachstelle, die sie nutzen können, um ein Netzwerk zu gefährden. Dazu gehören auch weniger häufige Schwächen, die einen lateralen Zugang zu peripheren Diensten ermöglichen, aber einen möglichen Weg zu kritischeren Anwendungen bieten.

Mangelndes Testing ist das grösste Problem, mit dem Unternehmen konfrontiert sind

Unternehmen verlassen sich oft auf die aktuellsten Sicherheitstechnologien, um die wichtigsten Assets zu schützen. Aber wurde der effektive Schutz durch diese neue, hochgelobte Next-Generation-Firewall auch einmal getestet? Oder was passiert, wenn dessen Konfiguration einmal angepasst wird?

Fehlende Aufklärbarkeit

Während Marriott feststellen konnte, welche Datensätze gestohlen und welche Art von Daten gefährdet wurden (Namen, Geburtsdatum, Post- und E-Mail-Adresse, sowie Reservierungsinformationen) [10], stellt Bloomberg [11] fest, dass es immer noch «keine Informationen über die Ursache dieses Vorfalls» gibt.

Dies ist ein häufiges Problem für Unternehmen:

Die Folgen von Datenschutzverletzungen sind sichtbar, aber oft fehlt die Einsicht betreffend der Ursache

Fehlender Incident Response-Prozess

Unzureichendes Logging und Monitoring ist in den OWASP Top 10-2017 auf Platz 10 prominent zu finden [12]. Zusammen mit einem schlecht implementierten Logging und Monitoring folgt der fehlende Incident Response-Prozess. Geeignete Alarmierungsschwellen und Eskalationsprozesse als Reaktion auf (potentielle) Vorfälle liegen bei vielen Unternehmen nicht vor oder sind nicht wirksam. Ein wirksames Monitoring- und Alarmierungsverfahren hilft, verdächtige Aktivitäten zeitnah zu entdecken und bearbeiten zu können. Zudem sollten Notfall- und Wiederherstellungspläne für Sicherheitsvorfälle etabliert werden, z.B. auf Basis von NIST 800-61 rev2 [13].

Die gute Nachricht

Aber es gibt nicht nur schlechte Nachrichten. Bewaffnet mit dem Wissen über die aktuelle Bedrohungslage – zusammen mit verwertbaren Erkenntnissen zum Schutz kritischer Vermögenswerte – können sich Unternehmen gegen Angriffe wappnen.

Am Digicomp Hacking Day [14] zum Beispiel zeigen renommierte Experten ihr Know-How. In einer zweiteiligen Session zeigt Yves Kraft, Senior Penetration Tester und Security Consultant bei der Oneconsult AG, interaktiv, wie eine typische Firma mit gängiger IT-Infrastruktur ins Visier genommen wird. In dieser Doppel-Session stellen wir uns gemeinsam die Frage:

«Was würde ein echter Hacker mit Ihrem Unternehmen machen?».

Digicomp Hacking Day 2019

Der 21. Mai steht bei Digicomp ganz im Zeichen der Cyber Security! Am diesjährigen Hacking Day erwarten wir hohen Besuch! Wir freuen uns auf Daniel Domscheit-Berg – einigen bekannter unter dem Pseudonym Daniel Schmitt –, den ehemaligen Wikileaks-Sprecher.

Digicomp Hacking Day 2019

 

Der 21. Mai steht bei Digicomp ganz im Zeichen der Cyber Security! Am diesjährigen Hacking Day erwarten wir hohen Besuch! Wir freuen uns auf Daniel Domscheit-Berg – einigen bekannter unter dem Pseudonym Daniel Schmitt –, den ehemaligen Wikileaks-Sprecher.

Digicomp Hacking Day 2019

 

Quellen:

[1] https://www.scmagazineuk.com/data-security-incidents-reported-ico-increase-75

[2] https://thehackernews.com/2018/05/twitter-account-password.html

[3] https://newsroom.fb.com/news/2018/10/update-on-security-issue

[4] https://techcrunch.com/2018/08/23/millions-of-texas-voter-records-exposed-online

[5] http://news.marriott.com/2018/11

[6] https://arstechnica.com/information-technology/2018/05

[7] https://it.slashdot.org/story/18/05/08/202239

[8] https://pages.checkpoint.com/cyber-security-report-2019-malware-as-a-service.html

[9] https://blog.dashlane.com/phishing-statistics

[10] https://privacyportal-cdn.onetrust.com/dsarwebform

[11] https://www.bloomberg.com/news/articles/2019-01-04

[12] https://www.owasp.org/index.php/Top_10-2017_A10-Insufficient_Logging%26Monitoring

[13] https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

[14] https://www.digicomp.ch/events/it-professionals-events/tagesevent-hacking-day-2019


Über den Autor

Yves Kraft

Team Leader Bern, Senior Penetration Tester & Security Consultant, Oneconsult AGNach seiner Lehre als Informatiker in der öffentlichen Verwaltung arbeitete Yves Kraft als System Engineer für einen IT-Dienstleistungsbetrieb, unter anderem in der Finanzbranche und der Verwaltung. Als Nächstes war er als System Administrator an einer grossen Schweizer Universität tätig und schloss berufsbegleitend sein Informatik-Studium an der Berner Fachhochschule in Biel mit Vertiefung IT-Security ab. Yves Kraft ist seit Februar 2011 bei Oneconsult im Penetration Testing und Security Consulting sowie im Bereich Schulungen tätig und wurde 2013 Team Leader. Er ist BSc FH CS, zertifizierter OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), OSSTMM Professional Security Expert (OPSE) und OSSTMM Trainer.