CYBERCRIME – Konzepte zur IT-Sicherheit

Duschl Ingenieure – Vortragsreihe – Nachbericht

Foto v.l.n.r.: Andreas Duschl, Christian Schwaller, Anja Favuzzi (ACP IT Solutions AG), Gerhard Duschl

Referenten:
Anja Favuzzi
Christian Schwaller
ACP IT Solutions AG

Jeder von uns begibt sich normalerweise mindestens einmal am Tag ins Internet. Ob auf der Arbeit, zur Recherche, um etwas mit Freunden auf sozialen Medien zu teilen oder eben um noch einmal auf dem Weg nach Hause seine E-Mails zu überprüfen. Die Nutzung des Netzwerks geht mittlerweile sogar auf Alltagsgegenstände wie Uhren oder Kühlschränke über, kurzum: alles ist vernetzt, kommuniziert miteinander und produziert Daten, die eingesehen oder ausgewertet werden wollen. Nie in der Geschichte der Menschheit gab es so viele Informationen über einzelne Individuen, die vollkommen frei für jedermann zugänglich sind. Was zum einen viele Vorteile mit sich bringt, wie beispielsweise schnellere Kommunikation, oder Zugriff auf gesammeltes Wissen aus allen Fachbereichen der Forschung, zum anderen hat es aber auch seine Schattenseiten.

Heutzutage ist es nicht nur für Freunde, Verwandte oder Geschäftspartner einfacher denn je mit jemandem Kontakt aufzunehmen, sondern auch für Personen mit weniger freundlichen Motiven, denn das Internet hat auch für potentielle Straftäter neuen Raum geschaffen, um Geld zu verdienen. Die Duschl Vortragsreihe hat sich einen Nachmittag mit potentiellen Bedrohungen im Internet, sowie den dazugehörigen Maßnahmen, um diese effektiv bekämpfen zu können, auseinandergesetzt. Was für Risiken bestehen für meine Firma und wie kann ich mich effektiv gegen Angriffe schützen? Mit diesen Fragestellungen als Kernpunkte präsentierte die Firma ACP IT Solutions, ein langjähriger Partner des Ingenieurbüros, alltägliche Bedrohungen im Internet und interessante Fakten rund um das Thema IT-Sicherheit.

Eröffnet wurde der Vortrag von Frau Anja Favuzzi, die den Zuhörern zum Einstieg die zunehmende Komplexität und die immense Vernetzung der heutigen Welt vor Augen führte und die daraus resultierenden Folgen für Einzelpersonen, aber auch für Firmen. Beispielweise nimmt durch die immer größer werdenden Datenmengen  auch die Fülle an Informationen zu, die Angreifer nutzen können, um Kennwörter zu erraten, oder zumindest auf bestimmte Kombinationen einzugrenzen. Auch die immer größere Verfügbarkeit von kabellosen Netzwerken und Access Points macht Netzwerke immer einfacher angreifbar, wenn nicht überall auf ausreichende Sicherung geachtet wird. Laut ACP erfolgen im Internet jeden Tag millionenfach ungerichtete, gestreute Angriffe, von denen nur ein winziger Bruchteil Erfolg hat, doch die Kosten dieser Angriffe ist gering und die erworbenen Informationen können vom Angreifer an Anbieter verschiedenster Dienstleistungen verkauft werden, denn die fundamentale Währung im Internet ist nicht mehr nur Geld, sondern Informationen.

Mit diversen realitätsnahen Bezügen, wie den tatsächlichen Preisen bestimmter Informationen und der Geschichte von Frau Tina Groll, die Identitätsdiebstahl erlebte, wusste Frau Favuzzi die Zuhörer mit interessanten Informationen zu versorgen. Von der puren Beschaffung der Informationen führte der Vortrag dann über Hacker- sowie Täterstrukturen und Hackingmöglichkeiten. Besonders überraschend für die Zuhörer war der Fakt, dass auch „doppelte Sicherheiten“, wie sie beispielsweise von PayPal verwendet werden nur bedingt oder teilweise gar keinen versprochenen Schutz liefern, somit dem Verbraucher nur Sicherheit vorspielen, die nicht gewährleistet ist. Zum Abschluss ihres Vortrags und bevor sie an Herrn Schwaller übergab präsentierte Frau Favuzzi noch die Folgen möglicher Informations-/Identitätsdiebstähle, wie man sich präventiv davor schützen kann und welche Maßnahmen im Falle eines Falles tatsächlich zu ergreifen sind.

Herr Schwaller beschäftigte sich in seinem Teil des Vortrags vorrangig mit dem Thema Awareness, Mitarbeiteraufklärung und der Tatsache, dass eine der größten Sicherheitslücken in jedem IT-System immer noch die Mitarbeiter selbst sind. Ein weiterer beunruhigender Fakt, war, dass laut Experten 30% der mittelständischen deutschen Unternehmen bereits eine „Backdoor“ besitzen, die durch Hackingsoftware oder durch das Knacken eines Passworts entstanden sind und durch die problemlos entweder unternehmensrelevante Informationen ausgelesen werden können, oder unternehmensintern falsche Informationen, zum Beispiel in Form von E-Mails, verbreitet werden können. Solche „Backdoors“ werden meist durch die Gutgläubigkeit und Unaufmerksamkeit der Mitarbeiter verursacht, die potentiell ahnungslos einer Methode zum Opfer gefallen sind, die sich „Social Engineering“ nennt. Mit einfachen Basisinformationen, wie Wohnort, Name, oder Geburtsdatum, die man heutzutage überall auf sozialen Medien einsehen kann, wird die Suche nach potentiellen Angriffszielen begonnen, die das Ziel hat über den Mitarbeiter an Informationen zu gelangen, die das Unternehmen betrifft und im schlimmsten Fall über den Zugang des Mitarbeiters einen dauerhaften Weg zu finden, auf die Netzwerke des Betriebs zuzugreifen. Nach einigen Alltagsbeispielen zum Vorgehen derartiger Angreifer führte Herr Schwaller Möglichkeiten an, um sich vor gezielten Attacken zu schützen und wies dabei erneut darauf hin, dass der Mensch die größte Sicherheitslücke ist und Mitarbeiter darin geschult werden sollte aufmerksam mit ihren Zugangsdaten und Passwörtern umzugehen, sowie diese unter keinen Umständen preis zu geben.

Als weiteres realitätsnahes Beispiel wurde auch über die potentielle Gefahr aufgeklärt, die vermeintlich sichere Datentypen darstellen, in deren Code sich jedoch Trojaner oder andere Schadsoftware verstecken kann, die jedoch im alltäglichen Gebrauch nicht mehr wegzudenken sind. Zu diesen Dateiformaten gehören word, jpg und pdf Dateien, die essentiell für Arbeiten am Computer geworden sind.

Ein Ausblick in mögliche Sicherheitskonzepte gab Herr Schwaller mit dem Beispiel „Sandboxing“, bei dem auf einem existierendem PC ein virtueller Computer erstellt wird, der dann in abgeschotteter und sicherer Umgebung einkommende E-Mails oder andere Arten von Benachrichtigungen, die an den realen Rechner geschickt werden, beispielsweise auf Maleware überprüft und sollten diese Tests negativ ausfallen eine Benachrichtigung an den Nutzer schickt. So wird verhindert, dass beim Öffnen von Dateien Schaden am tatsächlichen PC entstehen kann, da sich der Virus nur auf der virtuellen Attrappe ausbreiten kann. Diese Methode erfordert allerdings das Zusammenspiel verschiedener Systeme, die zusammenarbeiten müssen, um ein befriedigendes Ergebnis und somit Sicherheit garantieren zu können.

Zum Abschluss der Präsentation wurden den Zuhörern noch Tipps auf den Weg gegeben, um die eigenen IT-Sicherheit zu fördern, sowie Anlaufstellen angegeben, an die man sich als Betroffener im Notfall wenden kann, sowie einen Ausblick auf die kommenden Jahre und die Herausforderungen, die sich an die IT-Sicherheit stellen werden.

Der Vortrag zeigte deutlich, dass personenbezogene Informationen mehr Wert haben, als uns allgemein bewusst ist, dass bereits bestehende Sicherheitsmaßnahmen eine Vielzahl von Angriffen abhalten kann, aber auch, dass gezielte Angriffe auf Einzelpersonen sehr einfach geworden sind und jeder Einzelne vorsichtiger mit seinen Daten umgehen sollte, als es viele derzeit tun, um so Spam-Emails oder potentiell schlimmere Dinge zu vermeiden.