Jeder Zweite schließt unbekannte USB-Sticks an

Sicherheitsforscher von Google haben erneut die Awareness hinsichtlich unbekannter USB-Sticks getestet. Das Ergebnis: de facto jeder nimmt gefundene USB-Sticks mit, die Hälfte schließt sie an einen Computer an und öffnet Dateien.

Die Gefahr, die von unbekannten USB-Sticks ausgeht, ist seit langem bekannt. Angreifer infizieren sie mit Malware, Zero Day-Exploits oder Trojanern. Die Folgen können gekaperte IT-Systeme, infizierte IT-Strukturen, Wirtschaftsspionage und Datendiebstahl sein. Sicherheitsforscher des „Anti-Abuse Team“ von Google haben zum wiederholten Male getestet, wie Menschen mit gefundenen unbekannten USB-Sticks umgehen und welches Sicherheitsrisiko sie mit ihrem Verhalten für ein Unternehmen darstellen können.

Fast jeder steckt USB-Sticks ein, die Hälfte öffnet Dateien

Für ihren Test legten die Sicherheitsforscher 297 USB-Sticks auf öffentlichen Plätzen aus: Parkplätze, Universitätsgelände, Hörsäle und Flure. Auf diesen Sticks befanden sich HTML-Dateien, u.a. als JPEG und Word getarnt, die unerkannt Informationen an die Rechner der Forscher übermittelten und so bestätigten konnten, falls sie angeschlossen wurden. Das Ergebnis lässt bzgl. einer vorherrschenden Awareness skeptisch stimmen. De facto jeder nahm den gefunden USB-Stick mit (98 %), ca. die Hälfte (45 %) aller Personen schloss den USB-Stick an einen Computer an und öffnete hinterlegte Dateien. Bei einer anschließenden Befragung wollen die Forscher die Motivation der Testpersonen ermitteln. Von den Befragten gaben 68 % an, dass sie den Besitzer über die gespeicherten Dateien ermitteln wollten. Fast jeder Fünfte (18 %) gab zu einfach neugierig gewesen zu sein. Am häufigsten wurden Sticks auf Parkplätzen mitgenommen (53 %). War an dem USB-Stick zusätzlich ein Schlüssel befestigt, öffneten die Finder am meisten vorhandene Bilddateien, mutmaßlich um den Besitzer identifizieren zu können.

Awareness steigern, Angreifer können gezielt vorgehen

Die Ergebnisse dieser Studie lassen u.a. zwei Schlüsse zu.

Awareness der Mitarbeiter steigern

Die Awareness für das Risiko unbekannter USB-Sticks muss erhöht werden. Die meisten Angreifer kompromittieren Sticks mit Schadprogrammen, die von einem Virenscanner nicht entdeckt werden. Sicherheitsforscher kritisieren weiter, dass die Computersysteme so programmiert sind, dass sie USB-Sticks nicht ausreichend überprüfen. Solange dieser Zustand anhält bleibt Unternehmen kaum eine andere Möglichkeit, als ihre Mitarbeiter gezielt auf den Umgang mit unbekannten Datenträgern zu schulen. Die nun veröffentliche Studie zeigt deutlich, dass viele Personen noch nicht ausreichend für die Thematik sensibilisiert sind und so ein Sicherheitsrisiko für ihr Unternehmen darstellen.

Angreifer können gezielt vorgehen

Angreifer können gezielt mit infizierten Datenträgern vorgehen und sie tun es auch. Die Studie zeigt Hochrisiko-Orte sowie Hochrisiko-Szenarien. Auf Parkplätzen sind Findern am meisten geneigt, USB-Sticks mitzunehmen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu erhöhen, nutzen Angreifer Firmenparkplätze. Sind die Parkplätze mit einer Zutrittskontrolle gesichert und schafft es ein Angreifer diese zu überwinden (bspw. mittels Social Engineering), dürfe die Bereitschaft sogar noch höher ausfallen.

Sind an einem Stick persönliche Gegenstände befestigt, wie vorliegend ein Schlüssel, zeigen die Testpersonen eine hohe Bereitschaft zum Öffnen von Bilddateien. Angreifer können ein solches Verhalten gezielt nutzen, um den Finder gezielt zu manipulieren. Um die Wahrscheinlichkeit zu erhöhen, können besonders unverdächtige Gegenstände verwendet werden. Ein Plüschtier könnte auf einen kindlichen Besitzer hinweisen, Werbemittel der eigenen Firma auf einen Kollegen, der auf dem Parkplatz seinen Stick verloren hat. Beide Beispiele lassen vermuten, dass der Finder das Risiko als sehr gering bzw. nicht existent einstufen wird.

Ein größeres Risiko entsteht zusätzlich dadurch, dass Angreifer diese Methode mit weiteren, wie Social Engineering, kombinieren können. Um sog. Zero Day-Exploits (Schwachstellen eines Programms, die bei Entwicklung nicht berücksichtigt wurden) auszunutzen, muss i.d.R. das verwendete Betriebssystem bekannt sein. Um dies herauszufinden können Social Engineers unter Vorspielen falscher Tatsachen in ein Unternehmen eindringen und so in Erfahrung bringen, welche Betriebssysteme zum Einsatz kommen.

Wir empfehlen daher eine intensive Schulung der Mitarbeiter, das Erstellen und Bekanntmachen von Richtlinien im Unternehmen, regelmäßige Tests und möglichst immer up to date zu bleiben.

Leoni AG: 40 Mio. EUR-Betrug durch Social Engineering

Der Autozulieferer Leoni ist einem sog. „CEO-Fraud“ zum Opfer gefallen. Der Schaden beläuft sich auf ca. 40 Millionen EUR. Die Täter gaben sich als Mitarbeiter wohl aus dem hohen Management aus und ergatterten ihr Beute mithilfe von Informationen, über das Unternehmen, die sie geschickt einzusetzen wussten, mutmaßlich aus dem hohen Management mit entsprechenden Befugnissen. Der Fall ist ein Lehrstück für Social Engineering.

Betrüger erbeuten von Leoni mit Social Engineering 40 Millionen EUR

Das Unternehmen machte aufgrund seiner Börsennotierung den Betrug selbst mit einer Pressemitteilung öffentlich. Die Täter hätten sich „unter Verwendung gefälschter Dokumente und Identitäten sowie Nutzung elektronischer Kommunikationswege“ als Mitarbeiter mit entsprechenden Befugnissen ausgegeben und eine Transferierung von ca. 40 Millionen EUR auf ausländische Konten veranlasst. Die Täter nutzten dabei den sog. „CEO-Fraud“, auch „Chef-Masche“ genannt. Dabei geben sie sich als in der Unternehmenshierarchie weit oben stehende Personen oder Personen mit sonstigen speziellen Befugnissen aus, um Mitarbeiter zur Transferierung von Geldsummen anzuweisen. Der aktuelle Leoni-Fall ist ein Lehrstück für Social Engineering.

Social Engineering als Methode für Hacking und Betrug

Social Engineering ist eine Low Tech-Methode, um an Daten zu gelangen. Es handelt sich dabei de facto um Hacking von Menschen. In einem Beitrag für die DATEV haben sich zwei Autoren von MKM+PARTNER mit dem Thema beschäftigt und die verschiedenen Angriffsmethoden sowie Schutzmaßnahmen vorgestellt. In einem weiteren Beitrag für DATEV stellen sie Social Engineering und Visual Hacking als Low Tech-Angriffe vor und geben Tipps, wie sich Unternehmen schützen können.

Kurz und knapp lässt sich Social Engineering als das Erzeugen einer Illusion beschreiben, mittels derer ein Angreifer an Daten gelangen möchte. Der Angreifer schafft ein Szenario, in welchem er vorgibt eine bestimmte Person zu sein. Diese kann entweder tatsächlich existieren (Identitätsdiebstahl) oder erfunden sein und ist mit echten oder vermeintlichen Befugnissen bzw. Aufträgen ausgestattet. Um das Szenario so wirkmächtig wie möglich zu gestalten werden vor dem Angriff so viele brauchbare Informationen wie möglich über das Ziel, i.d.R. ein Unternehmen, gesammelt: Konzern- und Personalstruktur, Personen der verschiedenen Führungsebenen, Veranstaltungen, Kunden, Projekte und dergleichen. Oftmals sind diese Informationen öffentlich zugänglich.

Mitarbeiter in Unternehmen sollten im Rahmen von Schulungen für diese Themen sensibilisiert und geschult werden. Die Schwachstelle ist beim Social Engineering grundsätzlich der Mensch. Falls Sie Beratungsbedarf hierzu haben, kommen Sie gern auf uns zu.

Datenklau ab 30 EUR über den Mobilfunk

Immer mehr Endgeräte haben Verbindung mit dem mobilen Internet und dadurch mit dem Mobilfunk. Gegen bestimmte Angriffsmethoden sind sie kaum abgesichert. Wertvolle Unternehmensdaten können Angreifern bereits mit günstiger Technik in die Hände fallen.

Technik für Datenklau ab 30 EUR

Wichtige Unternehmensdaten lassen sich nicht nur mit einem Angriff auf die IT-Infrastruktur, bspw. mittels eines infizierten USB-Sticks, abgreifen. Vermehrt finden auch Angriffe über Schnittstellen des Mobilfunknetzes statt. Die Ursache ist simpel: immer mehr Unternehmen greifen auf die Fernwartung ihrer Geräte über das Mobilfunknetz zurück. Dadurch wird ein entsprechendes Szenario auch für Angreifer attraktiver. Die Technik für einen solchen Angriff ist bereits ab umgerechnet 30 EUR im Internet zu haben.

Wie können Angreifer über den Mobilfunk Daten abgreifen?

Um Daten über das Mobilfunknetz abgreifen zu können, kommen sog. „IMSI-Catcher“ zur Anwendung. „IMSI“ steht für „International Mobile Subscriber Identity“ und dient innerhalb von GSM-, UMTS- und LTE-Netzen der eindeutigen Identifizierung eines Netzteilnehmers. Über eine solche Kennung verfügen folglich Geräte, die über eine SIM mit dem Mobilfunknetz verbunden sind. Neben Smartphones und Tablets sind dies zum Beispiel auch mobile WLAN-Router. Bei letzteren besteht die Gefahr, dass auch weitere mit ihnen verbundene Geräten angegriffen werden könnten.

Ein IMSI-Catcher nutzt eine grundlegende Schwachstelle aus. Das Problem: nur das Endgerät mit SIM-Karte muss sich gegenüber dem Mobilfunknetz verifizieren – nicht aber das Mobilfunknetz gegenüber dem Endgerät. Der IMSI-Catcher wird von Angreifern dazu genutzt, ein Mobilfunknetz vorzutäuschen, mit dem sich das Endgerät dann verbindet. Da sich ein Endgerät mit der Mobilfunkstation mit dem stärksten Signal verbindet, haben Angreifer einen zweiten entscheidenden Vorteil. Anders als früher sind IMSI-Catcher nicht mehr teuer, groß und schwer. Sie sind mobil, die Technik bereits ab 35 US-Dollar zu haben. Dadurch können sie in die Nähe des Ziels gebracht werden, das Signal wird zum stärksten und die Endgeräte verbinden sich immer mit dem IMSI-Catcher.

Folglich können Angreifer so die Daten auslesen, die von den Endgeräten übermittelt werden. Neben dem Mitschneiden von Telefonaten sind das auch die Standortdaten von Unternehmensgeräten oder Textinhalte von SMS sowie Messenger-Nachrichten.

Wie können sich Unternehmen vor einem Angriff über den Mobilfunk schützen?

Noch vor wenigen Jahren galt als Lösung für dieses Problem der Umstieg von 2G/GSM auf 3G/UMTS. Mittlerweile haben Forscher derartige Angriffe auch im 4G/LTE-Netz durchgeführt. Der Kostenfaktor für einen derartigen Angriff lag bei ca. 1000 EUR.

Für Unternehmen ist es nicht so einfach, sich gegen Angriffe mit IMSI-Catchern zu schützen. Das Risiko lässt sich allerdings mit ein bisschen Aufmerksamkeit deutlich reduzieren. Gerade Attacken über das LTE-Netz haben Forscher über Social Media-Apps wie Facebook oder Messenger-Dienste wie WhatsApp durchgeführt. Folglich sollte auf beruflichen Endgeräten auf diese Dienste, soweit möglich, verzichtet werden. Werden sie genutzt sollten keine sensiblen Unternehmensdaten wie Kontakte, Kalendereinträge, Quellcodes oder Dokumente verschickt werden.

Schutz bei Smartphones können auch sog. „Cryptophones“ bieten, die mit speziellen technischen Schutzmaßnahmen ausgestattet sind. Cryptophones verschlüsseln die gesamte Kommunikation und gespeicherten Daten auf dem Gerät. Hierfür kommt eine eigene Firmware zum Einsatz, die das zugrunde liegende Operating System entsprechend modifiziert und u.a. Zugriffsrechte deutlich einschränkt. Mit speziell entwickelten Algorithmen findet die Verschlüsselung statt. Bei der Verschlüsselung von Telefonaten bspw. kommen zwei Algorithmen zum Einsatz. Erstens der sog. key exchange-Algorithmus für das Schlüsselaustauschprotokoll und zweitens der sog. symmetric key-Algorithmus, der das Gespräch selbst sichert. Vorhandene Smartphones können aber auch mit entsprechenden Drittanbieter-Apps nachgerüstet werden.

Ein Datenklau über den Mobilfunk zur Vorbereitung eines Social Engineering-Angriffs

Die Daten eines Unternehmens sind viel wert. Das wissen nicht nur die Verantwortlichen des Unternehmens, sondern auch Angreifer, die an diese Daten gelangen wollen. Beispiele aus der Vergangenheit zeigen, dass Unternehmen schon Lösegeld in Millionenhöhe zahlten, um ihre gestohlenen Daten oder die gekaperte IT-Infrastruktur zurückzuerhalten. Um Awareness zu schaffen, haben wir in unserem Blog auf die Gefahren analoger Angriffe mittels Social Engineering und Visual Hacking hingewiesen.

Auch wenn einige Daten, wie bspw. Standorte, auf den ersten Blick für ein Unternehmen nicht als riskant erscheinen, sollte man vorsichtig sein. Entsprechende Daten werden oft von Social Engineers für Angriffe genutzt und sind ein wichtiger Bestandteil ihrer Vorbereitungen.

Hacking – die permanente Herausforderung

Die internationale Cybersecurity-Messe ‚Black Hat‘ hat auch dieses Jahr wieder die Aufmerksamkeit auf Hacking, als permanente Herausforderung für Unternehmen und Verbraucher, gelenkt. Einige beachtenswerte Hacks, die jüngst veröffentlicht wurden, haben wir zusammengefasst.

Hacking und Anwälte?

Hacking mag vielen auf den ersten Blick als rein technisches Aufgabengebiet für IT-Spezialisten erscheinen und weniger als juristisches Aufgabengebiet für Anwälte. Für Anwälte, die sich auf Datenschutz und IT-Sicherheit spezialisiert haben, spielen aber auch und gerade technische Komponenten des Daten- und IT-Schutzes eine herausragende Rolle.

Können Hacks aufgrund technischer Gegebenheiten nicht immer durch einen konsequenten Datenschutz verhindern werden, so lässt sich doch der Schaden der durch Hacks entstehen kann begrenzen.

Auf der Cybersecurity-Messe ‚Black Hat‘, die jedes Jahr in Las Vegas stattfindet, werden die neusten Entdeckungen von Schwachstellen präsentiert. Deswegen haben wir ein paar Hacks zusammengefasst, die in der letzten Zeit veröffentlicht wurden.

Hacker übernehmen Kontrolle von Jeep bei voller Fahrt

Das Thema Datenschutz und IT-Sicherheit bei sog. ‚connected cars‘ existiert schon länger und kommt immer wieder auf. Jetzt ist es zwei Sicherheitsforschern erstmals gelungen, ein Fahrzeug der Marke Jeep aus der Ferne über das Internet zu hacken und zu übernehmen – bei voller Fahrt. Auch wenn der Fahrer eingeweiht war, der Einfluss der Hacker auf das Fahrzeug kann als besorgniserregend bezeichnet werden. Die Hacker übernahmen die Kontrolle über die Lautstärkeregelung des Infotainmentsystems, Bremsen, Beschleunigung, Türverriegelung, Klimaanlage, Scheibenwischer und Lenkrad im Rückwärtsgang. Schlussendlich steuerten sie das Fahrzeug kontrolliert in einen Graben.

Die Sicherheitsforscher nutzten eine Schwachstelle im Verbindungssystem zwischen PKW und Mobilfunknetz.

Hacker übernimmt Kontrolle von Narkosegerät

Auch in Krankenhäusern hält die digitale Entwicklung Einzug. Immer mehr Gerätschaften sind miteinander vernetzt oder mit dem Internet verbunden, Cloud-Dienste sollen die Speicherung und Verfügbarkeit von Daten vereinfachen. Um die Sicherheit seiner Systeme und Daten zu testen beauftragte ein Krankenhaus aus Süddeutschland einen IT-Spezialisten mit der Überprüfung der Gerätschaften.

Beatmung abgeschaltet

Dem IT-Spezialisten gelang es, ein Narkosegerät zu hacken, das zur Verfügung gestellt wurde. Von seinem Laptop aus war es dem Hacker möglich, alle Funktionen des Geräts zu übernehmen und dieses zu steuern. So war er in der Lage, alle Funktionen blockieren und die Beatmung stoppen.

Hacker übernehmen Kontrolle über Zielsystem für Gewehre

Zwar nicht so alltagsrelevant wie die beiden oberen Beispiele, aber nicht minder besorgniserregend, ist das folgende. Hackern gelang es sich über eine WLAN-Schnittstelle in ein Zielsystem für Gewehre zu hacken und so die Kontrolle zu übernehmen. Mit dem Zielsystem kann der Schütze ein Ziel (auch über ein mit dem Gewehr verbundenes Smartphone) markieren. Ein Computer stellt sicher, dass auch nur das anvisierte Ziel getroffen wird.

Den Hackern war es möglich, Schüsse zu verhindern oder andere Ziele zu treffen, als das vom Schützen ursprünglich gewollte, indem sie ein anderes Ziel für den Computer auswählten.

Mit dem ‚Leben 4.0‘ wird Hacking zur alltäglichen Herausforderung

Mit der zunehmenden Durchdringung sämtlicher Lebensbereiche durch Internettechnologie – quasi ein „Leben 4.0“ – wird das Hacking von Geräten und Systemen zu einer alltäglichen Herausforderung. Denn Hacking hat vermehrt das Potenzial, den Alltag zu bedrohen – sei es bei der Fahrt mit dem Auto zur Arbeit oder zum Familienausflug, die stationäre Aufnahme im Krankenhaus oder die Unternehmenskommunikation.

Die oben aufgezeigten Beispiele mögen extrem wirken. Sie zeigen jedoch ernst zu nehmende Gefahren für unsere alltägliche IT-Infrastruktur und unsere Daten.