Veröffentlicht am

Auftragsarbeit Cyberattacke

Auftragsarbeit Cyberattacke

Quelle: https://www.computerwoche.de/a/cyberattacke-am-arbeitsplatz,3098962,2

Nach der Wahrnehmung des Security-Experten hätten Unternehmen wohl erkannt, dass Social Engineering eine große Bedrohung für sie ist. Deshalb beauftragen sie Unternehmen wie Secunet damit, fingierte Angriffe durchzuführen. „Tendenziell sind das große Unternehmen und Behörden, ab 5000 Mitarbeitern aufwärts“, so Reimers. Damit die Privatsphäre gewahrt bleibt, offenbart Secunet dem Auftraggeber keine Namen von Mitarbeitern, die ihnen Tür und Tor öffnen. „Über die Tests wird dann in der Mitarbeiterzeitung berichtet, um zu sensibilisieren.“ Manche Unternehmen beauftragen Reimers mit Awareness-Kampagnen, die dasselbe Ziel haben. In diesen Schulungen erleben die Mitarbeiter, wie dreist Social Engineers vorgehen.

  1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.

Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen.

Ein Beispiel. Ein gutaussehende junge Dame mit schwerem Gepäck, die auf die Eingangspforte zuläuft und deren Mitarbeiterausweis halb verdeckt unter der luftigen Bluse steckt, hat große Chancen, dass ihr die Tür aufgehalten wird – ohne Kontrolle versteht sich. Auf dem Gelände verliert die Dame dann mit Trojanern präparierte USB-Sticks oder legt Zeitungen aus, denen CDs beigelegt sind. Auch die enthalten bösartige Codes.

Dass Schutz vor Social Engineering notwendig ist, belegt eine Studie des Hightech-Verbands Bitkom. Danach ist die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. „Social-Engineering-Angriffe sind meist so professionell, dass ein Angreifer sehr gute Chancen hat, erfolgreich zu sein. Daran ändert bislang auch nichts, dass die Mitarbeiter nach negativen Erfahrungen der Unternehmen immer mehr für das Thema sensibilisiert sind“, sagt Marc Fliehe, IT-Sicherheitsexperte bei Bitkom. Etwa 20 Prozent der Befragten registrierten Fälle von Social Engineering.

Die Anatomie eines Hacker-Angriffs

Optimiert für Suchmaschinen

  • Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt.
  • Zwei Honigtöpfe als Köder
  • Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht.

  • Schutz ist möglich
  • Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden.
  • .

Sensibilisierung gegen Social Engineering

Die Dunkelziffer ist sehr viel höher, denn „die meisten Angriffe werden nicht bemerkt“, sagt Dirk Fox. Er ist Geschäftsführer bei Secorvo in Karlsruhe. Auch dieses Unternehmen ist spezialisiert auf IT-Sicherheit. Es führt allerdings keine Social-Engineering-Tests durch. „Ich halte es für gefährlich, das Vertrauen der Mitarbeiter auszunutzen, Misstrauen gegenüber Mitarbeitern aufzubauen und ihnen dann noch den Spiegel vorzuhalten. Andererseits erwartet man freundliches Auftreten gegenüber Kunden.“ Das passt seiner Meinung nach nicht zusammen. Awareness-Kampagnen aber bietet Secorvo auch an.

Social-Engineering-Angriffe sind nach Kenntnissen von Fox sehr erfolgreich. „Ein gut gemachter Angriff führt zu 100 Prozent zum Ziel.“ Das würden Tests belegen, die im Auftrag von Unternehmen durchgeführt wurden. Oder die einzelnen Fälle, in denen Mitarbeiter von Secorvo Social Engineering festgestellt haben. Zum Beispiel, als ein scheinbarer Lieferant mit dessen E-Mail-Adresse an die Buchhaltung schrieb, die Kontonummer habe sich geändert. Rechnungen sollen bitte künftig auf folgendes Konto überwiesen werden. Die aktuelle Rechnung war der Mail angeheftet. (fm)

Veröffentlicht am

IT Sandbox

Eine faszinierende Methode IT Projekte zu entwickeln ist die Sandbox.

Dabei handelt es sich wie gesagt um einen Sandkasten. Die Metapher steht dafür, dass man erst einmal sein Projekt in einer von der Außenwelt abgeschirmten Umgebung entwickelt und ggf. auch laufen lässt.

Die Gründe dafür sind vielfältig:

  • Der Entwickler soll nicht auf das Firmennetzwerk zugreifen können
  • Abstürze reißen nicht gleich andere Anwendungen mit runter (BluScreen)
  • Die Anwendung soll höchstmöglichen Schutz vor Viren und ähnlichem bieten.

Die Firma Rhode und Schwarz stellt neuerdings diese Einrichtung auch Privatanwendern zur Verfügung.

Wie kamen wir dazu?

Bisher haben wir unser Online Banking immer mit dem Browser IRON durchgeführt. Der Hersteller verspricht eine besondere HÄRTUNG gegen Angriffe von außen.
Bis wir eines Tages von unserem zuverlässigen Virenscanner von G-Data folgende Meldung bekam: 

Das bedeutet, jemand „horcht“ die Tastatur ab, keine Ahnung woher dieser Virus kam. Da wir von einigen Kunden das Sandbox Prinzip kannten, machten wir uns auf die Suche und fand die BitBox.

Was ist die Sandbox (BitBox)  und wie funktioniert sie?

Nun dieses Programm stellt ein eigenes Betriebssystem in einer Virtuellen Maschine bereit – darin ist der Internet Browser fest verdrahtet.
Mit dem Programmstart, startet also z.B ein komplett eigenes Windows oder Linux und der Benutzer sieht nach einer Minute einen neuen Browser, der keinerlei Zugriff auf den restlichen PC hat.

Die virtuelle Maschine befindet sich auf der Festplatte und ist gegen Veränderung geschützt.

Sicherlich ist das keine 100%ige Sicherheit aber die Hürde ist schon sehr sehr hoch.Selbst wenn einmal ein Virus gefangen wird: bei jedem Neustart wird die unversehrte Kopie von der Festplatte geladen. Zugriff auf den Rechner hat der Browser nur bei Downloads, z.B. von Kontoauszügen.

Weitere Themen zur IT Sicherheit:

DOS Attacken, Man in The Middle, Phishing, 

Trojaner.

Man in The Middle  

  • Hans sitzt vor seinem PC und wählt seine Bank an.
  • Bösewicht hat die Seite der Bank täuschend echt kopiert
  • Bösewicht lenkt die Anfrage von Hans auf seine Seite um und hat damit Kontonummer und Passwort
  • Bösewicht braucht jetzt nur noch eine TAN um Geld zu klauen.
  • Die TAN bekommt er, indem er einen Abbruch produziert und die TAN abspeichert, sich dann davonmacht.

Veröffentlicht am

Fintechs

Was ist das?
Wiki: Finanztechnologie (englisch financial technology, verkürzt zu Fintech bzw. FinTech) ist ein Sammelbegriff für technologisch weiterentwickelte Finanzinnovationen, die in neuen Finanzinstrumenten-dienstleistungen oder -intermediären resultieren. Im engeren Sinne wird der Begriff Fintech häufig mit den Unternehmen gleichgesetzt, die digitale bzw. technologische Finanzinnovationen anbieten.

Es geht um die Kannibalisierung von Banken durch zahlreiche junge Startups und wie sie sich dagegen wehren. Durch Betrügereien? Durch Technik?

Wie können sich 500 Banken gegen 5 Millionen Fintechs wehren? „It does not work when it is a movement!  (sagte schon Duncan Lorien)

Es ist ein unglaublich spannendes Thema, über das ich demnächst schreiben möchte.

Veröffentlicht am

Informationsmanagement

Quality Assurance (QA)
Als die IT richtig teuer wurde weil sie in alle Unternehmensbereiche eingedrungen ist mussten Managementprozesse her.

  • Zuerst natürlich ein Technikmanagement
    • Bebauungspläne
      • Rechenzentrumsaufbau, Netze, Backups
    • Technikresourcen
      • Wieviel Speicherplatz, welche Datenbanken, welche Verfügbarkeit
    • Netze
      • Intranet vs Internet, Demilitarisierte Zonen (DMZ)
  • System-Lebenszyklen
    • Strategische Planung, Projektportfolios
    • Controlling der Weiterentwicklungsprozesse und des RZ Betriebes
    • Erfolgskontrolle der Informationssysteme
  • Management der Informations- und Wissensversorgung
    • Geschäftsprozess-Modellierung
    • Service Definition und Implementierung
    • Trennung von Entwicklung und IT Produktion