13. November 2019

Das neue Spion-Einsatzgebiet: Computer

An der Weltspitze bei Innovationen sind deutsche Unternehmen. Leider wissen dies auch Neider und Spione, die Geheimnisse ausspähen und Geld stehlen wollen. Dabei wird sich immer wieder an unkonventionellen Methoden bedient. Lesen Sie in dem Beitrag wie sich ethische Hacker mit Angriffsmethoden wie bei James Bond in die Schuhe dieser Spione versetzen und in Unternehmen einbrechen. 

Ungebetene Besucher zeigen sich nicht immer mit schwarzen Sonnenbrillen und Schlapphüten. Und das nicht nur, weil attraktive Damen mehr Aufmerksamkeit auf sich ziehen, wie die deutsche Spionin Mata Hari, verschiedene Bond-Girls oder die Chinesin, die Ende März 2019  beim Eindringen in den Landsitz des US-Präsidenten verhaftet wurde. James Bond findet viele Nachahmer und diese nutzen die unterschiedlichsten Verkleidungen.

Tom van de Wiele, ethischer Hacker und Mitglied des F-Secure Red Team, demonstriert Unternehmen am lebenden Beispiel, wie Angreifer in der Realität vorgehen, um sich Zugang zu vertraulichen Unternehmensdaten verschaffen.

Spione im Einsatz

Sein Auftrag: Er bricht tatsächlich in Unternehmen ein und verschafft sich Zugang zu vertraulichen Daten. Mit einer falschen Identität gelingt es in der Regel leicht, physische Zugangskontrollen zu überwinden und Sicherheitspersonal zu täuschen. Van de Wiele gibt sich als Auftragnehmer aus und tut einfach so, als ob seine Dienste dringend benötigt würden.  Wer selbstbewusst genug auftritt, wirkt überzeugend.

Die Masche der Chinesin in Trumps Residenz war noch simpler: Die leichtbekleidete Dame sagte, sie wolle den Swimming-Pool benutzen und wurde anstandslos in den Hochsicherheitsbereich eingelassen, obwohl sie nicht einmal Badezeug dabei hatte, dafür aber einen USB-Stick mit Schad-Software.

Auch van de Wiele führt einen USB-Stick mit. Wenn er in das Büro des Geschäftsführers gelangt, installiert er damit einen Keylogger in dessen Rechner, der alles aufzeichnet, was getippt wird. Um zu beweisen, dass er wirklich an diesem Ort war, macht er ein Selfie oder platziert eine Grußkarte mit der Nachricht „Das hätte ein Mikrofon sein können.“

Das ultimative Security Playbook für CIOs und IT-Leiter

F-Secure

Van de Wiele scannt Schlüsselkarten von Firmenmitarbeitern und kopiert diese, um sich zu verschlossenen Räumen Zugriff zu verschaffen. Fingerabdrucksensoren können mit feuchtem Klopapier getäuscht werden.  

Damit kann er etwa in Banken Geld von einem Konto auf ein anderes transferieren oder die Unternehmensdatenbank kopieren.

Mit diesen Tricks verschaffte sich der Belgier bereits Zugang zu Fernsehsendern, Fähren oder Banken. Er ist ausgewiesener Sicherheitsexperte und weiß deshalb auch genau, wo er ansetzen muss, um Security-Mechanismen auszuhebeln.

Militärisches Vorgehen

Bereits seit Jahren führt Van de Wiele Angriffe mit dem F-Secure Red-Team durch, um Schwachstellen auszuhebeln und aufzuzeigen. Die Methodik stammt aus dem US-Militär, das im kalten Krieg ungewöhnliche Angriffsszenarien entwickeln wollte. Das Ziel ist es, Probleme zu entdecken, damit diese abgestellt werden können.

Unternehmen heuern das F-Secure Red-Team an, damit dieses bei Ihnen einbrechen und geldwerte Geschäftsgeheimnisse stehlen kann. Die ethischen Hacker spielen die Worst-Case-Szenarien durch und testen aus, welche Sicherheitsinvestitionen Sinn machen.  Das Red Team führt dazu einen zielgerichteten Penetrationstest durch.

Danach erhalten die Kunden ein „Threat Picture“, das aufzeigt, was geklappt hat und was nicht. Alle Aktionen sind legal und vorher in einem schriftlichen Vertrag gemeinsam mit dem Auftraggeber festgelegt worden. Bereits im Vorfeld wird abgeklärt, ob gewisse Sicherheitsvorkehrungen bereits vorhanden sind, damit die Tests auch Sinn machen. 

Sichern Sie sich kostenfrei das Playbook von F-Secure
- zum Download

F-Secure

Das F-Secure Red Team sammelt vor dem Einsatz monatelang Informationen über das Zielunternehmen, bis sich die Angreifer dort besser auskennen als die dort Beschäftigten.

Wenn das alles filmreif klingt: Es gibt tatsächlich eine Fernsehserie, die Hacker in Aktion einigermaßen wirklichkeitsgetreu darstellt: „Wenn es um die Hacker-Techniken und Möglichkeitsräume geht, dann handelt es sich bei „Mr. Robot“ um ein sehr echtes Portrait“ erklärt Van de Wiele. Die Serie gibt es auf Deutsch auf RTL Crime und Amazon, iTunes, Xbox Video sowie Videoload (bisher drei Staffeln, die vierte ist für 2019 geplant).

Verfassungsschutz warnt vor Spionage

Das Bundesamt für Verfassungsschutz zeigt das ganze Ausmaß der Gefährdungslage. Demnach sind 53 Prozent der deutschen Unternehmen bereits Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dabei entstand ein Schaden von 55 Milliarden Euro. Aber die Schamgrenze ist hoch und nicht einmal jedes dritte Unternehmen wendet sich an staatliche Stellen. 

So können Sie sich schützen

Wenn Sie selbst herausfinden wollen, wie es um Ihre Sicherheitsmechanismen steht und wie Sie diese gezielt verbessern können, wenden Sie sich an F-Secure. Sie können dann sicher sein, dass Sie sich echte Experten ins Haus holen, die wissen, wie reale Angreifer agieren.

F-Secure Radar zeigt Schwachstellen auf und erlaubt es Ihnen, Ihre Angriffsoberfläche zu härten. Shadow-IT wird sichtbar und sie erhalten einen vollständigen Überblick, wie es um Ihre Sicherheitsinfrastruktur bestellt ist

 

 Quelle Titelbild: iStock