IT-Sicherheit-Hacken

© Fotolia /Thomas Vogt

Die vermeintlichen Angreifer brauchten nur wenige Minuten, um den mannshohen Produktionsroboter unter ihre Kontrolle zu bringen. Im echten Leben stünde die Produktion still und der Roboter könnte großen Schaden anrichten. In diesem Fall handelte es sich aber nur um eine Simulation: Ein Spezialist für die Aufdeckung von Schwachstellen in Firmennetzwerken hackt Betriebe auf deren Wunsch hin, um die IT-Sicherheit auf die Probe zu stellen. Ziel der Prüfverfahren wie Penetration Tests und Red Team Assessments ist es, Mittel und Wege aufzuspüren, die Angreifer anwenden würden, um unautorisiert in die Unternehmenssysteme einzudringen und anschließend den Sicherheitsstatus des Unternehmens zu bewerten. Damit werden Betriebe für ihre eigenen IT-Gefahren sensibilisiert, denn wer seine Schwachpunkte und individuellen Risiken kennt, kann passgenaue Schutzmaßnahmen ergreifen.

Blickwinkel der Cyberkriminellen

Während neue Maschinen getestet werden, bevor sie ans System angeschlossen werden, ist das bei neuen IT-Lösungen nicht immer der Fall. Dabei bietet jede neue Soft- oder Hardware-Komponente Cyberkriminellen neue Einfallstore in ein Unternehmen. Gerade der Mittelstand ist ein beliebtes Ziel für Hacker, da viele Betriebe über wertvolles Fachwissen verfügen. Trotzdem kaufen die meisten Unternehmen etwa eine neue Firewall, ohne genauer zu prüfen, was sie kann und was nicht. „Wir versetzen uns in die Lage des Angreifers: Wo kommen wir rein und welchen größtmöglichen Schaden können wir anrichten?“, berichtet Sascha Herzog, technischer Geschäftsführer der NSIDE ATTACK LOGIC GmbH, die sogenannte Live Hacking-Veranstaltungen umsetzt, um Firmen zu sensibilisieren.

Neutraler System-Check

Externe Sachverständige können Betriebe dabei unterstützen, einen neutralen Blick auf das eigene IT-System zu erhalten. Sie wollen keine Soft- oder Hardware-Produkte verkaufen, sondern werden gezielt dafür beauftragt, deren Sicherheit zu testen. Sie prüfen zum einen bereits bestehende IT-Werkzeuge ihrer Kunden und beraten andererseits, wie der Schutz weiter verbessert werden kann. Sie spielen alle möglichen Angriffsszenarien durch, die ein Betrieb erleiden könnte: Als Hacker greifen die IT-Berater im Rahmen von Penetration Tests einzelne IT-Systeme an. Schaffen sie es zum Beispiel, die Kesselsteuerung eines Chemieunternehmens unter ihre Kontrolle zu bekommen? Oder sie testen das Gefahrenbewusstsein von Mitarbeitern: Öffnet der Personaler die gefälschte Bewerbungs-E-Mail mit einem Computervirus im Anhang? IT-Sicherheit hängt zudem auch davon ab, wie sicher der Unternehmensstandort im Ganzen ist. Schaffen es die IT-Berater, sich nachts Zugang zum Gelände zu verschaffen und den Server zu stehlen oder auch tagsüber Zutritt zu sensiblen Bereichen zu erhalten? All das können Betriebe gründlich prüfen lassen.

Vorsorge für den Ernstfall

Nach der Analyse der eigenen Schwachstellen können Unternehmen besser vorsorgen. „In ein Unternehmen reinzukommen schafft man fast immer“, so Sascha Herzog. „Die wichtigste Frage ist, wie weit beziehungsweise wohin kommt der Hacker, sobald er im System ist?“ Neben der externen Sicherheit eines Unternehmens ist auch die interne ausschlaggebend. „Einem Hacker soll der Weg zum Ziel maximal schwergemacht werden“, erläutert Herzog. Daher sind interne Schranken im IT-System sehr wichtig. Unternehmen müssen sich beispielsweise die Frage stellen, welche Mitarbeiter welche Zugriffsrechte haben. Braucht zum Beispiel die Empfangssekretärin Zugang zu Produktionsdaten? Müssen Programmierer Personalinformationen abrufen können? Je spezifischer Zugriffsberechtigungen gestaltet sind, desto komplexer wird es für Cyberkriminelle, sich etwa mit einem Virus an den „richtigen“ Mitarbeiter im Unternehmen zu wenden.

Bei dem Text handelt es sich um die überarbeitete Version eines Artikels aus dem Themenheft „IT-Sicherheit und Recht“.