Termine & News

Kritische Schwachstellen gefunden? Klar – der Admin ist schuld!?! Ein Erklärungsversuch fürs Management… und Hilfe zur Selbsthilfe für Administratoren

Nach vielen unserer Tests werden wir vom Management gefragt: Hätte das unser Admin nicht merken müssen? Wie kann es denn sein, dass diese Lücke übersehen worden ist? Die einfache Antwort auf die erste Frage lautet meist: NEIN! Die Antwort auf die zweite Frage will ich hier kurz in diesem Beitrag erörtern. Aus den folgenden Gründen sollte man den Admin nicht gleich pauschal für die Situation verantwortlich machen: Gewachsene Strukturen mit derselben Personaldecke – die meist typische chronische Unterbesetzung Extrem schnelle Entwicklungszyklen in der Technik - was gestern noch Sicherheit geboten hat ist heute vielleicht schon nicht mehr aktuell Neue Herausforderungen durch die Einbindung der Produktionstechnik in die IT, auch hier ist Spezialwissen gefragt Oder noch schöner – die Gebäudetechnik kommt…
mehr lesen

Aufwände richtig einschätzen und vergleichen – Wie finde ich einen geeigneten Anbieter

Jeder gute Kaufmann sollte sich verschiedene Angebote einholen und natürlich vergleichen. Das ist auch richtig. Problematisch wird es nur, wenn die Aufwände unterschiedlich eingeschätzt werden. Oder die Leistungen nicht miteinander vergleichbar sind. Daher hier mal ein Vorschlag für eine mögliche Herangehensweise bei der Auswahl des Pentest oder Red Teaming Dienstleisters: Lassen Sie sich Referenzen an die Hand geben – am besten aus derselben Branche in der Sie tätig sind. Fragen Sie nach den Zertifizierungen der Mitarbeiter – und zwar bei den Mitarbeitern, die auch Ihr Projekt umsetzen sollen. Lassen Sie sich erklären warum es Unterschiede vom einen zum anderen Angebot gibt – klingt dies für Sie nachvollziehbar? Klären Sie ab, ob der Anbieter Ihr Projekt mit Ffesten oder Ffreien Mitarbeitern…
mehr lesen

Der Solarwinds Hack – Eine Blaupause für Red Teams?

Der Solarwinds Hack ist in aller Munde, aber was so richtig passiert ist, wird aus den aktuellen Pressemeldungen oft nicht klar. Es fallen Begriffe wie „Advanced“ oder besonders guter „Operational Security“ (OPSEC). In diesem Artikel wollen wir ein paar interessante Einblicke geben und Quellen mit weiterführenden Informationen nennen, auch wenn dies bei der Komplexität des Themas sicher nicht vollumfänglich möglich ist. Die Attribution des Angriffs, wer jetzt wen mit welchen Interessen angegriffen hat, wollen wir alleine deshalb schon den Behörden überlassen. Nun aber von vorne, was ist überhaupt passiert. Es wurde die IT-Firma SolarWinds Inc. Kompromittiert und in deren Produkt die „Orion Plattform“ eine Hintertür eingebaut. Diese Software wird für die Überwachung von Netzwerken genutzt. Unteranderem sind wohl Funktionen der…
mehr lesen

Der Penetrationstest – darum ist er für Unternehmer und Geschäftsführer wichtig

Die Sicherheit von IT-Systemen wird zu einem immer wichtigeren Thema. Die Anzahl der Cyber-Bedrohungen nimmt stetig zu. Gleichzeitig wenden Kriminelle immer raffiniertere Methoden an. In diesem Zusammenhang thematisieren wir die Geschäftsführerhaftung im Blog. Die Geschäftsführerhaftung – wie sieht die Rechtslage aus? Unter der Geschäftsführerhaftung sind die Situationen zusammengefasst, in denen der Geschäftsführer eines Unternehmens aufgrund von Pflichtverletzungen rechtlich belangt werden kann. Lange Zeit bezog sich die Haftung primär auf steuerliche Verletzungen und Untreue. Mittlerweile sind jedoch Datenschutzverletzungen bei der Geschäftsführerhaftung zu einem wichtigen Thema geworden. Vor allem hat die 2018 in Kraft getretene Datenschutzgrundverordnung der Europäischen Union, kurz DSGVO, die Situation verschärft. Hier ist klar festgelegt, dass Unternehmen für Verletzungen bei Datenschutzrichtlinien haftbar sind. In der Praxis bedeutet dies für…
mehr lesen

Nach dem Penetrationstest: Was jetzt?

Der Penetrationstest ist vorbei und der Kunde hat den Bericht erhalten. Viele Kunden von uns, die bisher noch keinen oder wenige Penetrationstests gemacht haben, sind nach dem abgeschlossenen Penetrationstest erstmal ratlos. Sie halten den Bericht in ihren Händen und fragen sich: Wie nun vorgehen? Wie nutze ich die Erkenntnisse aus dem Penetrationstest am besten, um meine Organisation, Systeme und Anwendungen vor Angriffen zu schützen? Daher wollen wir in diesem Beitrag einen kurzen Einblick in übliche Aktivitäten geben, die nach einem Penetrationstest stattfinden. 1. Nachfragen - auch nach der Abschlussbesprechung! IT-Sicherheit ist mitunter ein kompliziertes Thema. Wir geben unser Bestes, IT-Sicherheits-Probleme und ihre Lösungen in unseren Berichten so gut wie möglich zu erklären. Dennoch gibt es manchmal Nachfragen. Besonders geeignet dafür…
mehr lesen

Angriffe auf Speicherbausteine:

Ziel von Hackern ist es oft sensible Daten wie Passwörter physisch aus externen Speichermedien wie Flash-Bausteinen zu extrahieren, sowie die abgelegte Firmware zu manipulieren. Das Einpflanzen von Backdoors, um einen Kommunikationstunnel nach außen zu erzeugen ist hierbei nicht unüblich und stellt einem Angreifer die Möglichkeit bereit, sich über längere Zeit im internen Netzwerk auszubreiten (sog. Lateral Movement). Zum aktuellen Stand verschlüsseln erfahrungsgemäß die wenigsten IoT-Entwickler Ihre Firmware, welche sich somit im Klartext innerhalb der Speichermedien befindet. Anleitungen wie Speicherinhalte ausgelesen werden können gibt es mittlerweile Zuhauf im Internet. Erfahrungsgemäß behandeln diese aber meist die immer seltener anzutreffenden SPI-Flashes im SOIC-8-Format. Diese Art von Speicher lassen sich aufgrund Ihrer außenliegenden Datenleitungen (Pins) direkt auf der Platine auslesen. Als Hilfsmittel wird lediglich…
mehr lesen

Datenbanken mit ca. 13 Milliarden Passwörtern geleaked

Seit Januar 2018 bietet die Seite cit0day.in gestohlene E-Mail-Adressen und Passwörter zum Verkauf - ein Service, der größtenteils von Kriminellen genutzt wird, z.B. um große Mengen an E-Mail-Adressen als Empfänger für Spam-Kampagnen zu erhalten. Weiterhin werden die geleakten Zugangsdaten für sogenannte Credential-Stuffing-Angriffe benutzt. Hierbei versucht ein Angreifer, sich mithilfe der Daten Zugang zu Unternehmenswebseiten zu verschaffen. Da viele Benutzer für verschiedene Services das gleiche Passwort verwenden, sind solche Angriffe oft erfolgreich, wodurch Angreifer im schlimmsten Fall in Unternehmensnetze eindringen können, um sich dort weiter auszubreiten. Nach der Schließung der Seite cit0day.in durch Behören, sind die gehandelten Zugangsdaten nun im Internet gelandet, wo sie in Foren und Chatgruppen weiterverbreitet werden. Seither werden die Daten, Medienberichten zufolge, auch vermehrt für Spam-Kampagnen und…
mehr lesen

Van Eck Phreaking – und mögliche Schutzmaßnahmen

Denkt man an die Sicherheit von IT-Systemen, werden unmittelbar die Systeme selber sowie alle Schnittstellen zu diesen für Sicherheitsanalysen in Betracht gezogen. Dass ein Gerät auch im Betrieb messbare Auswirkungen auf die Umwelt bzw. umliegende Systeme hat, und diese Auswirkung für einen Angreifer nützlich sein könnten, wird oft nicht beachtet oder für irrelevant erklärt. Dabei existieren einige Seitenkanalattacken, welche auch ohne teures Equipment oder Expertise auf hohem Niveau durchführbar sind. Eine solche Attacke nennt sich Van Eck Phreaking, welche 1985 durch Hr. Wim Van Eck publiziert, aber früher schon durch verschiedenste Nachrichtendienste und Militärs ausgenutzt wurde. (Quelle: https://www.risknet.de/themen/risknews/van-eck-phreaking-elektronische-wirtschafts-spionage/) Salopp gesagt geht es beim Van Eck Phreaking darum, dass stromdurchflossene Bauteile elektromagnetische Wellen erzeugen, auch wenn diese nicht zur Wellenerzeugung eingesetzt…
mehr lesen

Physikalisch Unklonbare Funktionen (PUFs)

Im Laufe des vergangenen Jahrzehnts haben sich Physikalisch Unklonbare Funktionen (PUFs) (https://de.wikipedia.org/wiki/Physical_unclonable_function) als immer wichtigerer Bestandteil auf dem Gebiet der Kryptographie und der Authentifizierung etabliert. Diese sind Halbleiter, welche dazu verwendet werden, eine eindeutige Identifikation von Hardware zu ermöglichen oder kryptografische Schlüssel zu sichern. Wie der Name schon vermuten lässt, können diese Hardwareelemente zwar rein theoretisch aber in der Praxis unmöglich kopiert bzw. vervielfältigt werden. Dies macht solche perfekt zur eindeutigen Identifizierung von Hardwareelementen. Wie dies möglich ist, soll folgendes Beispiel veranschaulichen: Schüttet man ein Quarzsand-Kleber-Gemisch in mehrere identische vorgefertigte Formen und brennt diese aus, erhält man mehrere scheinbar identische Quarzsandrohlinge. Beschießt man diese nun mit Photonen, werden anhand der Sandkornorientierungen, die Lichtstrahlen in viele unterschiedliche Richtungen reflektiert. Fängt man…
mehr lesen

MQTT im Industrial IoT / IIoT-Umfeld: Die häufigsten Sicherheitsprobleme

Seit einiger Zeit erhält NSIDE mehr und mehr Anfragen für Sicherheitstests für Lösungen, die auf MQTT aufbauen oder MQTT-Komponenten an zentraler Stelle einsetzen. Dies ist auch nicht erstaunlich: MQTT ist ein IoT-Protokoll. Da IoT immer mehr an Bedeutung gewinnt und es mehr Produkte und Lösungen für den IoT-Sektor gibt, spielt auch MQTT eine immer größer werdende Rolle. Daher möchten wir in diesem Artikel einen groben Überblick über MQTT-Sicherheit geben. Wie so viele Themen der IT-Sicherheit könnte man auch über die Sicherheit von MQTT eine mehrseitige Abhandlung schreiben. Da dies den Rahmen sprengen würde, beschränken wir uns an dieser Stelle auf eine sehr grobe Einführung. Kurze Einführung: Was ist MQTT? MQTT ist zwar ein Protokoll auf Anwendungsebene, konzeptionell handelt es sich…
mehr lesen