Kernkraft

Besuch der Bücker-EDV Hausmesse: IT Security & Live-Hacking

Geschrieben von Christopher Gernhard veröffentlich am in der Kategorie Allgemein

Die Hausmesse der Bücker-EDV, unserem Dienstleister und Spezialist für IT-Security Produkte, war geprägt von interessanten Vorträgen des Landeskriminalamts (ZAC), des Bundesamts für Sicherheit in der Informationstechnik (BSI), Produktvorstellungen seitens der Hersteller sowie einer Live-Hacking Demo durch das IT-Forensik Unternehmen madifi, präsentiert durch dessen Geschäftsführer und White Hat innerhalb der Branche.

Stattgefunden hat die Veranstaltung im idyllischen Schloss Ovelgönne bei Bad Oeynhausen.

Wirklich interessant eingeleitet wurde die Veranstaltung durch einen Vortrag des Landeskriminalamts Niedersachsen (zac-niedersachsen.de):

Zunächst einmal ist an dieser Stelle darauf hinzuweisen, dass die Abteilung Cyber Security des Kriminalamts eine kostenlose Erstberatung sowohl für Bundesbürger als auch die deutsche Wirtschaft anbietet.

Dabei wird eng mit dem Heise Verlag zusammengearbeitet, durch Verbraucher gemeldete Cyber-Security Vorfälle kriminalistisch zu bewerten und Unternehmen bei der Ermittlung und dessen Aufklärung aktiv zu unterstützen.

Erwähnenswerte Punkte

  • 95% aller erfolgreichen Angriffe gelingen aufgrund eines fahrlässigen Handelns durch den Nutzer
  • Unverschlüsselter Datenaustausch innerhalb öffentlicher Netze sowie die Nutzung von WiFi/Bluetooth dient Angreifern als idealer Einstiegspunkt
  • Das größte Risiko stellen nach wie vor übergreifend genutzte Passwörter seitens der Nutzer bei unterschiedlichen Online-Anbietern und Plattformen dar
  • Einmal ins Firmen-Netzwerk eingeschleuste, kompromittierte USB-Sticks und Key Grabber eröffnen Hackern vielseitige Möglichkeiten hinsichtlich des Datendiebstahls
  • Vertrauenserweckende E-Mails vermeintlicher Partner, Kunden und Lieferanten enthalten makro-basierte Anhänge, welche Schadcode innerhalb von Sekunden aus dem Internet laden und von Viren Scannern im Vorfeld nicht erkannt werden
  • Im Umlauf: ca. 2.000.000.000 Passwörter weltweit
  • Schaden weltweit pro Jahr: 2.000.000.000.000 $ (Billionen)
  • Fun Fact: „streng vertraulich.pdf“ googlen
  • Betrügerische Absichten im Internet: Missbrauch bei PKW/Motorrad An-/Verkauf, welcher niemals stattfindet und ausländische Anbieter die Transaktionskosten einbehalten

Neue Produkte

Anschließend an diesen ersten Beitrag, stellten die Security Hersteller Rapid7 und Cisco neue Produkte innerhalb der IT Security vor. Dazu einige interessante Facts:


Rapid 7

  • Software zur Orchestrierung und Automatisierung von Security Lösungen im Unternehmen
  • Durchschnittlich werden pro Unternehmen in den USA 75 Security Produkte eingesetzt
  • Bis 2022: Fachkräftemangel allein im IT-Security Bereich auf 1,8 Millionen prognostiziert
  • Produkte: InsightIDR, InsightVM

Weitere Infos: www.rapid7.de


Cisco

Cisco stellt sein – auf OpenDNS basiertes – Security Produkt Umbrella vor, auch an dieser Stelle die interessanten Punkte zusammengefasst:

  • Implementierung per Anbindung an das AD, innerhalb der DMZ oder als Paketfilter direkt an die Firewall
  • Schließung von Sicherheitslücken bei IoT-fähigen Geräten, z.B. hersteller-eigene, kompromittierte TV Firmware Updates
  • Aktuelle Herausforderungen: 1. Mal-/Ransomware 2. Gaps in Visibility & Coverage 3. Cloud Apps & Shadow IT 4. Difficulty to manage security
  • Cloud Access Security Broker zur Anbindung von Umbrella an die Cloud (App Discovery)

Weitere Infos: https://umbrella.cisco.com/

 

Im Anschluss folgt ein Vortrag durch den Cyber-Ermittler Peter Danil vom Bundesamt für Sicherheit in der Informationstechnik. Der Titel des Vortrages lautet Cybersicherheit als Voraussetzung für eine erfolgreiche Digitalisierung:
  • 80% allen Schadcodes wird per E-Mail in Unternehmen eingeschleust
  • 60% aller aufgeklärter Angriffe, bei denen der Täter bestimmt werden konnte, kommen von innen
  • Kostenlose Teilnahme am Programm "Allianz für Cyber-Sicherheit" möglich
  • Mögliche Zertifizierung durch den BSI: IT Grundschutz, ganzheitlicher Ansatz vom Notfallplan bis hin zu konkreten technischen Leitfäden zur Absicherung von (Windows-) Systemen
  • Kostenlose Beiträge, Präsentationen und Leitfäden zum Thema IT Security stehen unter bsi.bund.de zum Download bereit
  • Security Awareness schaffen: Der BSI bietet Vorträge und Schulungen in Unternehmen an, dessen Mitarbeiter hinsichtlich des Themas IT Security zu sensibilisieren
  • Bitte des BSI: Aufgetretene Vorfälle bei der Polizei/beim Bundeskriminalamt melden

Weitere Infos: https://www.bsi.bund.de/DE/Home/home_node.html

Live-Hacking Demo

Abschließend fand eine Live Hacking Demo durch madifi statt.

Titel des Vortrages war Wie ein Hacker denken: Der ungleiche Kampf Gut gegen Böse, Helden gegen Schurken oder Admins gegen den Rest der Welt:

  • Der Beitrag beinhaltete die Möglichkeiten indirekter Attacken über unterschiedliche Cover Channel, beispielsweise über einen kompromittierten USB-Stick mit darauf enthaltenen Bewerbungsunterlagen, in denen makro-basierter Schadcode enthalten ist
  • Im Anschluss wurde vom Publikum ein deutsches Unternehmen ausgesucht, welches innerhalb des Vortrages live per Phishing E-Mail attackiert wurde
  • Relevante Links: defpass.com, haveibeenpwned.com, dnsdumpster.com, crackstation.net

Weitere Infos: https://madifi.de/mainpage_de/

Fazit

IT-Security nimmt einen zunehmend wichtigeren Bestandteil in Unternehmen ein, da ein erfolgreich durchgeführter Angriff und möglicherweise entstandener Datendiebstahl, ernst zu nehmende betriebswirtschaftliche Folgen für Unternehmen bedeutet.

Das BSI und die Polizei unterstützen aktiv bei der Umsetzung von Maßnahmen in Unternehmen, Mitarbeiter hinsichtlich Security relevanter Themen zu sensibilisieren.

Ein wichtiger Schritt bei der Grundsicherung der eigenen IT vor unbefugtem Zugriff Dritter, stellt nach wie vor das Benutzer-Passwort dar:

Dabei gilt, dass der Mitarbeiter idealerweise nur insgesamt zwei Passwörter kennt: Jenes für die Anmeldung am eigenen System sowie jenes für den eingesetzten Passwort Manager.

Pro jeweiligem Benutzer Zugang muss innerhalb des Passwort Managers ein einmalig verwendetes Kennwort vergeben werden, welches wiederum einer vorgegebenen Kennwort-Richtlinie unterliegt. Diese definiert die Nutzung von Groß- und Kleinschreibung in einer kryptischen Reihenfolge, die Gesamtlänge des Passwortes, das Verwenden von Zahlen sowie die Nutzung von Sonderzeichen bei der Erstellung eines neuen Kennwortes.