Awareness-Bildung durch Live-Hacking: Cyberrisiken erfahrbar machen

bei

 / 14. March. 2019

Trotz zahlreicher Presseberichte über Sicherheitsvorfälle bleibt das Risiko von Cyberangriffen oft sehr abstrakt. Live-Demonstrationen typischer Hacker-Angriffe zeigen, wie Kriminelle vorgehen und wie leicht sie oft in Systeme eindringen können. Sie schaffen so Awareness und machen Cyberrisiken direkt erfahrbar.

Erfolgreiche Hacker-Angriffe können erhebliche Folgen haben, wie zahlreiche prominente Beispiele zeigen. So werden sich die meisten Leser noch an die erfolgreiche Ransomware-Attacke durch den Erpressungstrojaner WannaCry im Mai 2017 auf die Deutsche Bahn erinnern, dessen Zahlungsaufforderung auf den Anzeigetafeln vieler Bahnhöfe zu lesen war. Jüngste Beispiele für prominente Opfer sind das Industrieunternehmen Krauss Maffei, bei dem es aufgrund einer Trojaner-Attacke im Dezember 2018 zu Produktionsausfällen kam, und das Klinikum Fürstenfeldbruck, das im November 2018 ohne Rechnerunterstützung auskommen musste, weil Malware den IT-Betrieb komplett lahmgelegt hatte.

Trotz dieser zum Teil spektakulären Beispiele, die nur die Spitze es Eisbergs darstellen, bleibt das Thema IT-Sicherheit oft abstrakt. Geschäftsführer,  Abteilungsleiter und Mitarbeiter erkennen zwar das Risiko, stellen aber keine Verbindung zum eigenen Verhalten und zu den täglichen Entscheidungen her. Das kann erhebliche Folgen haben. Sicherheitsmaßnahmen werden ignoriert oder umgangen, um schneller entwickeln, produzieren und ausliefern zu können. Investitionen in IT-Sicherheit werden endlos diskutiert und immer wieder verschoben. Auch schlichte Bequemlichkeit stellt ein erhebliches Risiko dar. Nicht umsonst lautet das beliebteste Passwort 2018 „123456“.

Wir haben daher nach einem Weg gesucht, die Folgen solcher Entscheidungen und Routinen erfahrbar zu machen, und die Bedeutung jedes Einzelnen für die IT-Sicherheit eines Unternehmens demonstrieren zu können. Erste Erfahrungen mit Live-Hacking-Vorträgen auf Messen und Konferenzen waren sehr positiv, das Interesse ungemein. Das hat uns motiviert, das Konzept auch für Veranstaltungen in Unternehmen zu nutzen und weiterzuentwickeln.

Der Aufbau eines solchen Live-Hacking-Events ist recht einfach. Wir benötigen dazu weder Spezialequipment noch besonders ausgestattete Räume. Zwei Laptops und ein Beamer genügen. Mit verteilten Rollen zeigen die Präsentatoren als Angreifer und Opfer, wie Cyberattacken funktionieren, und wie einfach es oft ist, Sicherheitsmaßnahmen zu umgehen oder auszuschalten.

Mit unseren Schulungen adressieren wir sowohl den alltäglichen Umgang mit Laptops, Smartphones oder E-Mails, als auch industriespezifische Situationen im IoT- oder Robotik-Umfeld. Dazu haben wir drei Szenarien entwickelt, die wir in Unternehmen live präsentieren können. Projektbezogen gehen wir auch gerne auf die individuellen Anforderungen und Situationen beim Kunden ein.

Szenario 1: Gefährliche Manipulation von Industrieanlagen

Das Internet of Things (IoT) bietet enorme Chancen, erhöht aber auch die Angriffsfläche, über die Kriminelle in Industrieanlagen eindringen können. Die Manipulation von Maschinen und Werkzeugen ist besonders dann sehr gefährlich, wenn Menschenleben gefährdet werden. Wie Hacker vorgehen, zeigen wir am Beispiel eines App-gesteuerten industriellen Kühlsystems, das wir mit Standard-PC-Bauteilen wie einem CPU-Lüfter simulieren. Der erfolgreiche Angriff zeigt, dass Industrieanlagen selbst in vermeintlich sicheren Umgebungen mit zweifacher Transportverschlüsselung, Anti-Virus, Firewall und Intrusion-Detection-Systemen (IDS) nicht vor Manipulation gefeit sind.

Szenario 2: Mobile Hack aus Endanwendersicht über offene WLAN-Netzwerke

In diesem Szenario demonstrieren wir, wie leicht Hacker über die „Evil-Twin“-Methode an Passwörter, Kreditkartennummern und andere vertrauliche Daten gelangen können. Sie installieren dazu im öffentlichen Raum ein WLAN, dessen Name (SSID) mit der eines offiziellen Angebots identisch ist, also zum Beispiel „WIFIonICE“ im Zug oder „Telekom_LH-Lounge“ am Flughafen. Hat sich der Nutzer schon einmal in eines dieser offiziellen Netze eingeloggt, merken sich die Geräte die SSID und verbinden sich nun automatisch. Dabei können sie nicht zwischen dem richtigen und dem falschen Angebot unterscheiden. Ist das Signal des Hackernetzes stärker als das des echten, verbindet sich der Nutzer nicht mit den Servern der Bahn oder der Telekom, sondern mit dem PC des Hackers. Dieser kann den gesamten Netzverkehr mitschneiden und dann in aller Ruhe sensible Daten auslesen.

Szenario 3: Eindringen in unternehmensinterne Systeme mittels Social Engineering

Dieses Szenario soll Mitarbeitern demonstrieren, wie schnell sie selbst Opfer eines Angriffs werden können. Der Angreifer sendet dabei eine täuschend echte Phishing-Mail, mit der er den Mitarbeiter dazu bringt, Schadsoftware auszuführen. Dadurch erhält der Angreifer Zugriff auf interne Systeme und kann aufbauend tiefer in die Infrastruktur eindringen.

Die Vorteile des Live-Hacking

Unternehmen sind rechtlich dazu verpflichtet, ihre Mitarbeiter im Umgang mit IT-Ressourcen und sensiblen Daten zu schulen. So schreibt etwa die seit Mai 2018 wirksame Europäische Datenschutzgrundverordnung (EU-DSGVO) entsprechende Maßnahmen im Bezug auf personenbezogene Daten vor und verlangt eine Dokumentation der durchgeführten Schulungen. Anderenfalls drohen hohe Strafen.

Um ihrer Pflicht nachzukommen, setzen Unternehmen heute bevorzugt auf Web-based Trainings. Sie sind unkompliziert, kostengünstig und zeitlich flexibel zu nutzen. WBTs haben sicher ihre Berechtigung und sind ein wichtiger Baustein in der Awareness-Schulung, sie haben aber auch einen erheblichen Nachteil. Das Thema IT-Sicherheit bleibt abstrakt, wird mit dem Abschlusstest „abgehakt“ und wieder zu den Akten gelegt. Eine nachhaltige Veränderung des Sicherheitsverständnisses und des Verhaltens unterbleibt häufig. Live-Hacking-Events sind daher die ideale Ergänzung zu WBTs, weil sie die Angriffsmöglichkeiten erfahrbar machen und Betroffenheit erzeugen. Ihr Einfluss auf das Verhalten von Mitarbeitern ist daher wesentlich höher als bei WBTs und wirkt über einen langen Zeitraum.

Fazit

Cyberrisiken bleiben trotz vieler spektakulärer erfolgreicher Angriffe allzu oft abstrakt. Das fehlende Verständnis und der fehlende persönliche Bezug können erhebliche Folgen für die IT-Sicherheit haben. Investitionen werden nicht getätigt, Sicherheitsmaßnahmen einem schnelleren Time-to-Market geopfert oder aus Bequemlichkeit und Unwissen unterlaufen. Live-Hacking schafft hier das notwendige Bewusstsein auf allen Ebenen und in verschiedensten Szenarien. Die Anwendungsfelder reichen vom täglichen Umgang mit Passwörtern, E-Mails oder WiFi-Netzen bis hin zu Industrieszenarien im IoT- und Robotik-Bereich. Nach unseren Erfahrungen stoßen Live-Hacking-Events bei Mitarbeitern und Führungsebene auf hohes Interesse, sorgen für Betroffenheit und führen zu nachhaltigen Veränderungen im Verhalten – und damit zu einer deutlichen Steigerung der Informationssicherheit im Unternehmen.

Thomas Jakubiak ist Abteilungsleiter in der Information Security bei msg in Ismaning. Er befasst sich u.a. mit Fragestellungen, die mit der erfolgreichen operativen Einführung von Security Themen in Organisationen und der dazu notwendigen Bewusstseinsbildung zu tun haben.

Vorheriger ArtikelWissenschaftliche Fachbeiträge zum Thema Quantum Computing
Nächster ArtikelRichtiges Nutzerverhalten in Zeiten von Hackerangriffen