Ein ganz besonderer Härtetest

|

Ein weitverbreitetes und stark unterschätztes Risiko, nicht nur bei Domainregistraren und Unternehmen der IT-Branche, ist das Thema Cybersicherheit. Ein Cyberangriff ist jede Form von böswilliger Aktivität an IT-Systemen, um sich unbefugt Zugriff zu verschaffen. Es gibt vielfältige Arten von Angriffen, Beispiele hierfür sind „Cross-Site-Scripting“, „Phishing“ oder „Man-in-the-Middle“. Ein häufiger Trugschluß ist, daß die oft verwendete 2-Faktor Authentifizierung (2FA) generell vor Cyberangriffen schützt – sie erschwert zwar die Angriffe per „Password-Hammering“ und „Phishing“ – wenn jedoch die Systeme dahinter lückenhaft sind, hilft auch eine 2FA auf der Startseite nicht. Ein gelungener Angriff hat oft verheerende Folgen für die betroffenen Unternehmen und deren Kunden.

Haben Sie schon einmal von einem “Bad USB-Stick” gehört? Dem Aussehen nach ein unauffälliger USB-Stick. Doch es handelt sich nicht um einen gewöhnlichen USB-Stick, denn darin versteckt ist eine Schadsoftware, die beim Einstecken in den PC sofort installiert wird. Das Erschreckende ist, jeder kann sich für einen kleinen Betrag einen solchen schadhaften Stick im Internet bestellen und damit selbst als Laie Cyberangriffe starten. Ein herumliegender USB-Stick weckt Neugierde.

Dem Vorstand einer Aktiengesellschaft können schon einmal die Gesichtszüge entgleisen, wenn er erfährt, daß ein gelangweilter Jugendlicher mit etwas Ahnung innerhalb von wenigen Stunden Administratorenrechte im Unternehmen erlangen kann, berichtet Marian Kogler der syret GmbH jüngst dem Deutschlandfunk in einem Interview.

Anfang Juli haben wir einen ganz besonderen Härtetest auf unsere Systeme durchführen lassen: einen sogenannten Penetrationstest oder kurz Pentest genannt. Dabei versuchten versierte White-Hats (“gute Hacker”) von der Spezialfirma syret GmbH aus Halle an der Saale in unser internes Netzwerk und die von außen erreichbaren Systeme einzudringen. Wir wußten im Grunde, daß unser Netzwerk sehr sicher ist, unter Kollegen sprechen wir auch schonmal scherzhaft von Fort Knox, weil das Thema Datensicherheit bei uns im Alltag sehr präsent und auch fordernd ist. Der bevorstehende Hackerangriff löste dennoch bei uns allen ein leichtes Unbehagen aus.

Die Tester der syret GmbH gingen dabei vor, wie echte Angreifer. Sie erhielten dazu nur zwei Hilfestellungen: einerseits wurden ihnen die IP-Adressbereiche unserer Systeme mitgeteilt. Dies ist eine rechtliche Notwendigkeit, um Angriffe auf fremde Systeme ohne Zustimmung ihrer Eigentümer zu vermeiden. Andererseits durfte ein Tester das Unternehmen für zwei Tage besuchen und sich mit dem internen Netzwerk verbinden, erhielt aber keine Zugangsdaten. So sollte auch ein Angriff simuliert werden, bei dem die Angreifer sich bereits Zugriff auf das Netzwerk verschafft haben und ihn weiter ausbauen möchten.

Doch die “Angreifer” bissen sich bei uns die Zähne aus, obwohl sie durchschnittlich bei mehr als drei Viertel ihrer Testeinsätze Administratorenrechte erhalten und damit die vollständige Kompromittierung des Unternehmens. Bei uns konnten jedoch keine kritischen Schwachstellen zur weiteren Eskalation gefunden werden.

Dank einer stark differenzierten Netzwerksegmentierung waren die gefundenen Schwachstellen im Gesamtkontext als unkritisch einzustufen und auch nur dann ausnutzbar, wenn sich der Angreifer kabelgebunden an das interne Netzwerk anschließen konnte. Das ist aufgrund unserer strengen Zugangskontrollen mit Videoüberwachung jedoch ausgeschlossen. Auf einem externen Server, der keine Vertrauensbeziehungen zu anderen unserer Server unterhält, wurde in einer Webanwendung für den internen Gebrauch eine Cross-Site-Scripting-Schwachstelle gefunden. Diese konnten wir bereits wenige Stunden nach Bekanntwerden vollständig schließen.

Unmittelbar nach der Berichterstattung durch die Tester, haben wir die erhaltenen Handlungsempfehlungen zur weiteren Härtung des Netzwerkes ebenfalls noch umgesetzt. Trotzt des durchweg sehr guten Ergebnisses schärft ein solcher Test den Blick auf die wichtigen Komponenten, was letztlich auch unseren Kunden und den uns anvertrauten Domainnamen und DNS-Zonen zugute kommt.