Welche Einfallstore besonders beliebt sind und warum auch Social Engineering nicht zu unterschätzen ist. Ein Einblick, wie die dunkle Seite arbeitet.

Herwig Köck, Head of Security Professional Services bei T-Systems, sieht Unternehmenswebsites als häufigen Angriffspunkt bei Sicherheitsvorfällen. Diese werden oft nicht von der eigenen IT-Abteilung administriert, sondern auch an Webagenturen ausgelagert und extern gehostet. Viele setzen bei ihrem Webauftritt auf gängige Content-Management-Systeme – Wordpress, Joomla oder Drupal, die bei Bedarf auch umprogrammiert werden. »Gerade jene, die den Code anpassen, tun sich dann auch beim regelmäßigen Einspielen von Updates eher schwer. Hier geht es auch um Geschwindigkeit, da Schadsoftware innerhalb weniger Tage nach Bekanntgabe einer Sicherheitslücke Seiten im Netz automatisiert infiziert«, erklärt Köck. Beliebte Zeitfenster für Attacken sind Wochenenden oder Feiertage – ein Zeitraum, in dem das Web-Team meist unterbesetzt ist oder überhaupt erst an einem darauffolgenden Arbeitstag reagieren kann. Angreifer arbeiten dabei ebenso arbeitsteilig wie herkömmliche Organisationen. »Ein Teil kümmert sich um die Basis-Infrastruktur,  registriert etwa Domains. Ein anderer treibt die die Phishing-Attacken voran und schreibt die Mails«, sieht sich der Experte einer Wirtschaftssparte gegenüber,wie man sie auch aus klassischen Bereichen kennt – mitsamt Arbeitszeitmodellen, Urlaubsregelungen und Weiterbildungsmaßnahmen.

Warum werden Webseiten überhaupt gehackt? »Sie sind der Bereich eines Unternehmens, der besonders exponiert ist – mit eher komplexen Softwareumgebungen mit unterschiedlichen Anwendungen und auch  vielen potenziellen Sicherheitslücken. Bei diesen Mengen an Code kann man schon viel falsch machen«, warnt er. Ist eine Seite einmal kompromittiert, versuchen Eindringlinge sich vom Webserver aus per »lateral movement« zu weiteren Systemen zu bewegen. Auch verschlüsselte, schwache Passwörter können mit entsprechenden Rechenleistungen heutzutage schnell geknackt werden. Wenn die IT dann noch dieselben Passwörter für Server verwendet, stehen Angreifern die Türen zu sensibleren Netzwerkbereichen offen, etwa Datenbanken. »Windows hat die Eigenheit, dass Hashes von Passwörtern eingeloggter User missbraucht werden können. Da muss ich bei einem infizierten Windows-Webserver nur solange warten, bis sich ein Administrator über den Fernzugang darauf anmeldet. Mit dem Hash kann ich mich dann im Netzwerk an anderen Stellen frei bewegen«, berichtet Köck direkt aus der Praxis.

Lösungen vorhanden, aber ungenutzt

Natürlich gibt es für den Betrieb von Windows-Domänen Empfehlungen des Herstellers, um ein Mitschnüffeln zu verhindern. »Die meisten haben davon aber nie etwas gehört, da dies auch etwas aufwendig ist.« Grundlegend empfiehlt der Experte, Administratoren-Accounts mit unterschiedlichen Berechtigungen zu nutzen. Im Falle des Falles hat dann ein Eindringling nicht vollends freie Hand. Die Administration verschiedener Ebenen ist aber für kleinere Firmen oft nur schwer durchsetzbar, ist ihm bewusst. Meist scheitert es schon am notwendigen Know-how. »Auch bei Größeren bleibt mitunter das Administratorenkennwort in den ausgerollten Images auf den Rechner der Mitarbeiter gespeichert – selbst wenn der Mitarbeiter das Unternehmen längst verlassen hat. Eine Gratislösung von Microsoft kann bei der übersichtlichen Verwaltung schon gut helfen. Die wird aber kaum verwendet.«

Wie sieht generell die Lage bei Social Engineering aus? Wenn sich Angreifer weniger auf technische Exploits verlassen, sondern auf internes Wissen über Firmenabläufe und Personen setzen? »Firmen machen es auch hier Kriminellen oft viel zu einfach«, berichtet der Experte von einem Fall in Deutschland. Dabei wurde der Mailverkehr mit einem asiatischen Zulieferer manipuliert und kurzerhand eine Kontonummer ohne Wissen der Betroffenen getauscht. Obwohl aufmerksame Mitarbeiter eine Bankbestätigung einforderten, verlor das Unternehmen einen sechsstelligen Betrag – und das gleich zweimal. »Dabei war der Nachweis denkbar schlecht gefälscht. Man hatte sich einfach nicht die Mühe gemacht, genauer hinzusehen.«

Tool und Empfehlung

Doch nicht nur Mail-Verkehr und Websites – auch scheinbar zufällig herumliegende USB-Sticks sind eine Gefahrenquelle. Sie können gezielt und unbemerkt Schadsoftware auf einen Rechner spielen, indem sie als »Human Interface Device« an der Virenschutz-Software vorbei Tastatureingaben simulieren. Das Tool Metasploit wird sowohl von White als auch von Black Hackern genutzt und bietet fertige Skripte für Angriffe – aktuell befinden sich mehr als 1.000 Exploits in der Programm-Datenbank. »Dabei wird gezielt nach Bereichen in einem Computersystem gesucht, in denen auf Sicherheitsfeatures vergessen oder Patches nicht rechtzeitig eingespielt worden sind«, erklärt Köck und betont: Admins sollten stets Updates einspielen und den Netzwerkverkehr monitoren. Die Empfehlung für die User: Hirn einschalten, mitdenken!