Orientierung an Zielsystem und Bedrohungslage
Das Verbrechen schläft nie und so entwickeln auch Cyberkriminelle ihre Techniken immer weiter. Besonders gefährdet sind Unternehmen mit veralteter Software und unsicheren Endgeräten. Auch unzureichender Passwortschutz ist für Hacker eine förmliche Einladung. Teilweise ist aber auch der Mensch selbst die größte Schwachstelle im Unternehmen - zum Beispiel weil er Fake-Webseiten oder -Mails (Phising) auf den Leim geht. Welche Methodik angewendet wird, hängt von der Art des Pentests (also dem Zielobjekt/-system, beispielsweise IoT-Umgebung, IT-Infrastruktur, Web-Applikationen etc.) sowie dem Testverfahren (Black-, Grey, White-Box-Testing) ab.
Social-Engineering
Beim Social-Engineering bedienen sich Angreifer nicht etwa technischer Schwachstellen, sondern menschlicher Eigenschaften, die ebenfalls zur Sicherheitslücke in Unternehmen werden können. Am ehesten sind die Methoden in diesem Bereich mit dem klassischen Trickbetrug zu vergleichen. Als Informationstechniker, Vorgesetzter, Partnerfirma oder auf eine Art und Weise getarnt, besteht die Zielsetzung darin, der Zielperson gezielte Informationen zu entlocken - entweder direkt die Zielinformation oder eine Auskunft, mit der weitere Angriffe geplant werden können (beispielsweise die Herausgabe eines Passworts). Zu den häufigsten Social-Engineering-Methoden zählen das Phishing (Fischen nach Passwörtern) über Fake E-Mails und Webseiten.
Brute-Force-Angriffe
Bei einer Brute-Force-Attacke versuchen Hacker Zugangsdaten zu knacken, indem unzählige Nutzer-Passwort-Varianten und -Kombinationen ausprobiert werden. Dies geschieht natürlich nicht händisch, sondern mittels spezieller Tools. Schützen kann man sich über eine sichere Passwortverwaltung sowie die Zwei- bzw. Multi-Faktor-Authentifizierung. Mit den Zugangsdaten alleine, können Angreifer so nichts anfangen, da ein “zweiter Schlüssel” benötigt wird.
Phising
Beim Phishing versuchen Betrüger persönliche Daten und / oder Zugangsdaten ihrer Opfer zu “fischen”. Dies geschieht in der Regel über ein Zusammenspiel aus Fake-Mails und Fake-Webseiten. Waren solche Fakes früher noch einfach an schlecht formulierten Anschreiben und billigen Kopien der Originale zu erkennen, gehen Hacker heutzutage extrem professionell vor. Die Methode wird vor allem im Social-Engineering-Pentest angewendet, um die Awareness der Mitarbeitenden zu testen.
Pharming
Das Pharming stellt eine Art Weiterentwicklung des Phishings dar. Durch die Manipulation der DNS-Anfragen eine normalen Webbrowsers werden NutzerInnen statt auf die eigentliche Zielseite auf eine Fake-Website weitergeleitet. Hier greifen die Hacker dann die eingegeben Nutzerdaten ab, um sich selber auf der echten Webseite ins Benutzerkonto des/der Geschädigten einzuloggen.
Browser-Hijacking
Beim Browser-Hijacking werden Edge, Firefox und Co mittels kleiner Programme so manipuliert, dass User auf Fake-Webseiten weitergeleitet werden. Weil damit Phishing-Mails umgangen werden, sind solche “Angriffe” für Laien noch schwerer zu erkennen. Die meisten Schadprogramme lassen sich mit einer hochwertigen Sicherheitssoftware detektieren und entfernten.
SQL-Injections
Durch Programmierfehler in Anwendungen, die auf SQL-Datenbanken zugreifen, kann es zu eklatanten Sicherheitslücken kommen. Hacker können auf diese Weise unbemerkt Befehle einschleusen und Daten abgreifen oder ändern, um Systeme komplett zu übernehmen. Schutz bieten eine ordentliche Programmierung sowie Einsatz der von Web Application Firewalls (WAF).
Keylogging
Beim Keylogging zeichnen Hacker Tastatureingaben mittels spezieller Schadsoftware (Trojaner) oder einer Hardware (Hardware-Keylogger) auf. In der Regel haben es die Angreifer auf Zugangsdaten abgesehen. Allerdings kann auch das “Mitlesen” des Schriftverkehrs die Zielsetzung sein. Schutz bietet eine gute IT-Security-Software sowie eine strenge Zugangskontrolle im physischen Bereich. Letztere versuchen Kriminelle oft durch Social-Engineering-Methoden auszuhebeln.
DDos Attacken
Bei einem Dos-Angriff (Denial-of-Service) wird ein Dienst blockiert. Meist passiert dies über ein Bombardement an Serveranfrage, über dessen Last diese zusammenbricht. Unterformen sind beispielsweise Ping-Flooding, Syn-Flooding und Mailbombing. DDos-Attacken sind verteile (Distributed-Denial-of-Service) Dos-Angriffe, bei denen unterschiedliche Systeme das Ziel angreifen.
Cross-Site-Scripting
Das Cross-Site-Scripting bedient sich bestehender Sicherheitslücken in einer Webanwendung, kommt also beim Web-Application-Pentest zum Einsatz. Die Zielsetzung besteht in der Regel in einem Identitätsdiebstahl bzw. der Übernahme eines Benutzerkontos. Unterschieden wird zwischen reflektierten, persistenten und DOM-basierten Attacken. Bei allen werden Informationen vom eigentlichen in einen anderen “Kontext” übertragen, in dem sie dann als vertrauenswürdig eingestuft werden.
IT-Security ist unser digitales Rückgrat im 21. Jahrhundert. Wir haben die eigene und gesellschaftliche Verantwortung, Risiken und Angriffsvektoren für Cybercrime bestmöglich zu reduzieren. IT-Sicherheit ist nicht nur für Behörden, Forschungs- und Bildungseinrichtungen, sondern auch für den mittelständischen Traditionsbetrieb und Einzelunternehmer eine zentrale Herausforderung, die wir jetzt gemeinsam angehen sollten.
Jan Bindig
Geschäftsführer der Bindig Media GmbH und Vorstand der Kiwiko eG
Sicherheit und Performance in perfekter Symbiose
Kontakt
Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.
Zentrale:
protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig
Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.
Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de