Der Penetrationstest – darum ist er für Unternehmer und Geschäftsführer wichtig

Die Sicherheit von IT-Systemen wird zu einem immer wichtigeren Thema. Die Anzahl der Cyber-Bedrohungen nimmt stetig zu. Gleichzeitig wenden Kriminelle immer raffiniertere Methoden an. In diesem Zusammenhang thematisieren wir im Blog die Geschäftsführerhaftung.

Die Geschäftsführerhaftung – wie sieht die Rechtslage aus?

Unter der Geschäftsführerhaftung sind die Situationen zusammengefasst, in denen der Geschäftsführer eines Unternehmens aufgrund von Pflichtverletzungen rechtlich belangt werden kann. Lange Zeit bezog sich die Haftung primär auf steuerliche Verletzungen und Untreue. Mittlerweile sind jedoch Datenschutzverletzungen bei der Geschäftsführerhaftung zu einem wichtigen Thema geworden.
Vor allem hat die 2018 in Kraft getretene Datenschutzgrundverordnung der Europäischen Union, kurz DSGVO, die Situation verschärft. Hier ist klar festgelegt, dass Unternehmen für Verletzungen bei Datenschutzrichtlinien haftbar sind. In der Praxis bedeutet dies für eine GmbH und Kapitalgesellschaften im Allgemeinen, dass der […]

Von |2021-03-22T15:48:02+01:0018. Dezember 2020|

Nach dem Penetrationstest: Was jetzt?

Viele Kunden von uns, die bisher noch keinen oder wenige Penetrationstests gemacht haben, sind nach dem abgeschlossenen Penetrationstest erstmal ratlos. Sie halten den Bericht in ihren Händen und fragen sich: Wie nun vorgehen? Wie nutze ich die Erkenntnisse aus dem Penetrationstest am besten, um meine Organisation, Systeme und Anwendungen vor Angriffen zu schützen? Daher wollen wir in diesem Beitrag einen kurzen Einblick in übliche Aktivitäten geben, die nach einem Penetrationstest stattfinden.

Von |2021-03-16T14:26:02+01:007. Dezember 2020|

Angriffe auf Speicherbausteine:

Ziel von Hackern ist es oft sensible Daten wie Passwörter physisch aus externen Speichermedien wie Flash-Bausteinen zu extrahieren, sowie die abgelegte Firmware zu manipulieren. Das Einpflanzen von Backdoors, um einen Kommunikationstunnel nach außen zu erzeugen ist hierbei nicht unüblich und stellt einem Angreifer die Möglichkeit bereit, sich über längere Zeit im internen Netzwerk auszubreiten (sog. Lateral Movement). Zum aktuellen Stand verschlüsseln erfahrungsgemäß die wenigsten IoT-Entwickler Ihre Firmware, welche sich somit im Klartext innerhalb der Speichermedien befindet.

Anleitungen wie Speicherinhalte ausgelesen werden können gibt es mittlerweile Zuhauf im Internet. Erfahrungsgemäß behandeln diese aber meist die immer seltener anzutreffenden SPI-Flashes im SOIC-8-Format.

Flash im SOIC-8-Format – Quelle:  https://media.digikey.com/Renders/Intersil%20Renders/8-SOIC,M8.jpg (Flash im SOIC-8-Format – Quelle:  https://media.digikey.com/Renders/Intersil%20Renders/8-SOIC,M8.jpg)

Diese Art von Speicher lassen sich aufgrund Ihrer […]

Von |2021-03-16T14:20:57+01:007. Dezember 2020|

cit0day – Datenbanken mit ca. 13 Milliarden Passwörtern geleaked

Seit Januar 2018 bietet die Seite cit0day.in gestohlene E-Mail-Adressen und Passwörter zum Verkauf – ein Service, der größtenteils von Kriminellen genutzt wird, z.B. um große Mengen an E-Mail-Adressen als Empfänger für Spam-Kampagnen zu erhalten. Weiterhin werden die geleakten Zugangsdaten für sogenannte Credential-Stuffing-Angriffe benutzt. Hierbei versucht ein Angreifer, sich mithilfe der Daten Zugang zu Unternehmenswebseiten zu verschaffen. Da viele Benutzer für verschiedene Services das gleiche Passwort verwenden, sind solche Angriffe oft erfolgreich, wodurch Angreifer im schlimmsten Fall in Unternehmensnetze eindringen können, um sich dort weiter auszubreiten.

Nach der Schließung der Seite cit0day.in durch Behören, sind die gehandelten Zugangsdaten nun im Internet gelandet, wo sie in Foren und Chatgruppen weiterverbreitet werden. Seither werden die Daten, Medienberichten zufolge, auch vermehrt für Spam-Kampagnen und Credential-Stuffing-Angriffe eingesetzt. Der Datensatz enthält insgesamt […]

Von |2021-04-20T16:27:20+02:0011. November 2020|

Van Eck Phreaking – und mögliche Schutzmaßnahmen

Denkt man an die Sicherheit von IT-Systemen, werden unmittelbar die Systeme selber sowie alle Schnittstellen zu diesen für Sicherheitsanalysen in Betracht gezogen. Dass ein Gerät auch im Betrieb messbare Auswirkungen auf die Umwelt bzw. umliegende Systeme hat, und diese Auswirkung für einen Angreifer nützlich sein könnten, wird oft nicht beachtet oder für irrelevant erklärt. Dabei existieren einige Seitenkanalattacken, welche auch ohne teures Equipment oder Expertise auf hohem Niveau durchführbar sind. Eine solche Attacke nennt sich Van Eck Phreaking, welche 1985 durch Hr. Wim Van Eck publiziert, aber früher schon durch verschiedenste Nachrichtendienste und Militärs ausgenutzt wurde. (Quelle: https://www.risknet.de/themen/risknews/van-eck-phreaking-elektronische-wirtschafts-spionage/)

Salopp gesagt geht es beim Van Eck Phreaking darum, dass stromdurchflossene Bauteile elektromagnetische Wellen erzeugen, auch wenn diese nicht zur Wellenerzeugung eingesetzt werden (auch einfache Kabel haben […]

Von |2021-03-16T14:21:19+01:0029. September 2020|

Physikalisch Unklonbare Funktionen (PUFs)

Im Laufe des vergangenen Jahrzehnts haben sich Physikalisch Unklonbare Funktionen (PUFs) (https://de.wikipedia.org/wiki/Physical_unclonable_function) als immer wichtigerer Bestandteil auf dem Gebiet der Kryptographie und der Authentifizierung etabliert.
Diese sind Halbleiter, welche dazu verwendet werden, eine eindeutige Identifikation von Hardware zu ermöglichen oder kryptografische Schlüssel zu sichern.

Wie der Name schon vermuten lässt, können diese Hardwareelemente zwar rein theoretisch aber in der Praxis unmöglich kopiert bzw. vervielfältigt werden. Dies macht solche perfekt zur eindeutigen Identifizierung von Hardwareelementen. Wie dies möglich ist, soll folgendes Beispiel veranschaulichen:

Schüttet man ein Quarzsand-Kleber-Gemisch in mehrere identische vorgefertigte Formen und brennt diese aus, erhält man mehrere scheinbar identische Quarzsandrohlinge. Beschießt man diese nun mit Photonen, werden anhand der Sandkornorientierungen, die Lichtstrahlen in viele unterschiedliche Richtungen reflektiert. Fängt man diese reflektierten Photonen mit Detektoren ein wird […]

Von |2021-03-16T14:26:08+01:0029. September 2020|

2-Faktor-Authentifizierung (2FA): Perfekte Sicherheit – oder Alles voller Sicherheitslücken?

Was es mit mit Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung auf sich hat und wie Angreifer sich trotz 2-Faktor-Authentifizierung (2FA) bzw. Multi-Faktor-Authentifizierung (MFA) Zugriff auf Unternehmensressourcen verschaffen können, erläutern wir in diesem Artikel. Um das Ergebnis vorwegzunehmen: Es gibt viele verschiede Wege, wie Hacker 2FA/MFA angreifen oder umgehen können.

Von |2021-03-16T14:23:42+01:0023. Juni 2020|

Sicherheit von Medizingeräten – Ein Ausblick in die Zukunft

Bei der Frage wie neuartige medizinische Geräte vor Hackerangriffen geschützt werden können, stehen viele Firmen vor einem Rätsel. Bis dato gibt es in Deutschland bzw. in der gesamten EU keine eindeutige, verpflichtende Vorgabe, wie diese wichtigen Geräte zu schützen sind oder getestet werden müssen, um mögliche Angriffe zu vermeiden.

Man mag denken, dass in Deutschland, im Land der Bürokratie, solche Richtlinien seit langem existieren. Ein Irrtum! – So existiert zwar eine EU-Verordnung (MDR – Medical Device Regulations), welche speziell für Medizingeräte Details vorschreibt, jedoch ist der Absatz in dieser Verordnung bezüglich der Sicherheit in der IT nur sehr kurz und wenig aussagekräftig verfasst.

Von |2021-03-16T14:21:53+01:0010. Juni 2020|

Allrounder zum Hardware Testing

Der breitgefächerte Elektronikmarkt mit unzähligem „Spielzeug“, lässt die Hackerherzen höher schlagen. Häufig werden jedoch Gadgets gekauft, die nach nur einmaliger Nutzung im Regal zuhause verstauben. Um solche Fehlkäufe zu vermeiden, werden hier zwei der wahren Allrounder zum Hardware Testing vorgestellt:

Saleae Logic Analyzer

Der Logic-Analyzer der Firma Saleae wird bei vielen von unseren durchgeführten Hardwareprojekten verwendet. Dieses Gadget unterstützt bei der Identifizierung und Analyse von unbekannten Pins auf einem Board / PCB. Besitzt man kein hochwertiges Oszilloskop, bietet der Logic-Analyzer eine sehr gute Möglichkeit Platinen kostengünstig zu analysieren.

Saleae Logic Analyzer

(Quelle: https://cdn.antratek.nl/media/product/51e/saleae-logic-pro-8-logic-analyzer-sal-00113-240.jpg)

Die meisten Hardware-Black-Box-Test beginnen damit, offene Pins bzw. Kontaktpunkte zu identifizieren, welche eine Interaktion mit dem Board ermöglichen können. Stichwort sind Schnittstellen wie UART, JTAG, I2C, SPI, usw.

Je […]

Von |2021-03-16T14:22:20+01:0010. Juni 2020|
Nach oben