[datensicherheit.de, 25.09.2019] Nach neun Monaten Penetrationstests verdeutlicht eine hauseigene Studie laut Rapid7 „die effektivsten Methoden, mit denen Hacker Passwörter knacken“. 73 Prozent der Hacker-Einbrüche basierten auf gestohlenen Passwörtern. Die Hälfte von ihnen könnten zu 60 Prozent ganz einfach von Hackern erraten werden – das zeige die eigene Studie „Under the Hoodie“, die auf den Ergebnissen von 180 in neun Monaten durchgeführten Penetrationstests beruhten. Trotz vieler User-Schulungen zur Bedeutung sicherer Passwörter hätten die Penetrationstester von Rapid7 60 Prozent aller Passwörter ganz einfach erraten können, „indem sie bekannte Standardwerte, Variationen des Wortes ,Password‘, die aktuelle Jahreszeit, das aktuelle Jahr sowie leicht zu erratende, organisationsspezifische Passwörter ausprobierten“.

LM-Hashes extrem unsicher

Die beste Methode zur Erlangung von Benutzer-Anmeldeinformationen sei jedoch das Offline-Passwort-Hacking mit einer Hash-Datei. Die häufigste Quelle für Passwörter seien 2019 erbeutete Hash-Dateien gewesen. Auch spezifischere Ursprünge für Hashes wie beispielsweise Challenge-Response-Traffic und „/etc/shadow“ seien gemeldet worden. Rapid7 habe auch hierbei festgestellt, „dass viele der geknackten Passwörter mit etwas mehr Zeit leicht hätten erraten werden können“.
Besonders zu beachten seien die erbeuteten LM-Hashes. Diese seien extrem unsicher, liefen einigen grundlegenden empfohlenen Methoden der Kryptographie zuwider und seien von Microsoft schon lange zugunsten stärkerer Hashing-Mechanismen verworfen worden. Doch obwohl sie in Microsoft-Umgebungen, „die in den vergangenen zehn Jahren aktualisiert wurden, im Grunde keine Rolle mehr spielen, bestehen sie weiterhin hartnäckig und warten nur darauf, von Angreifern ausgenutzt zu werden“. Domain-Administratoren werden demnach „nachdrücklich aufgefordert, diese LM-Hashes endgültig auszurotten“.

„Under the Hoodie“ stützt sich auf Erkenntnisse aus 180 Penetrationstests

Diese Ergebnisse entstammten der aktuellen Ausgabe des alljährlich erscheinenden Rapid7-Bericht „Under the Hoodie“, der jetzt in dritter Auflage vorliege und sich auf die Erkenntnisse aus 180 Penetrationstests über einen Zeitraum von neun Monaten zwischen Mitte September 2018 und Ende Mai 2019 stütze. Mit den Erkenntnissen aus internen und externen Netzwerkanalysen, physischen Eindringversuchen und persönlichen sowie elektronischen Social-Engineering-Angriffen würden in dem Bericht die in Unternehmen am häufigsten anzutreffenden Schwachstellen aufgedeckt.
Darüber hinaus beschreibe diese Studie, „warum die Transport-Schicht die häufigste Sicherheitsschwachstelle in Unternehmen ist“ (jedes fünfte Unternehmen sei betroffen). Besonderer Fokus werde auf die Verwendung extern erreichbarer veralteter Verschlüsselungsstandards bzw. unverschlüsselter Kommunikation von Systemen gelegt.

Nutzer tendieren dazu, Komplexität der Passwörter zu reduzieren

„Es ist heute üblich, sicherzustellen, dass Passwörter einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten, und die Benutzer zu zwingen, ihr Passwort alle 90 Tage zu ändern. Aber solche Passwortregularien führen bei den Usern letztlich nur dazu, dass sie die Komplexität des Passworts reduzieren“, berichtet Tod Beardsley, Forschungsdirektor bei v.
Somit würden sie immer wieder Schemata wie „Sommer2019!“ oder „Herbst2019!“ einsetzen. Unternehmen sollten daher ernsthaft in Erwägung ziehen, zufällige Passwörter über eine Lösung zur Passwortverwaltung zu vergeben, was deutlich besser wäre, als auf die Komplexität von Passwörtern und Rotationsregeln zu bestehen.

Weitere Informationen zum Thema:

RAPID7
Under the Hoodie 2019 / Daten, Erfahrungsberichte und Erkenntnisse aus Penetrationstests von Rapid7

datensicherheit.de, 02.03.2019
Rapid7 veröffentlicht Cybersecurity-Bericht für das vierte Quartal 2018

datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen

Von unserem Gastautor Naaman Hart, Managed Services Security Engineer bei Digital Guardian

[datensicherheit.de, 01.07.2019] Unternehmen stehen ständig vor der Herausforderung, mit der wachsenden Bedrohungslandschaft Schritt zu halten. Eine Möglichkeit, um Sicherheitslücken in Systemen frühzeitig zu identifizieren, ist der Einsatz sogenannter Ethical Hacker. Zu ihren Aufgabengebieten gehören etwa Penetrationstests von Netzwerken, Rechnern, webbasierten Anwendungen und anderen Systemen, um potenzielle Bedrohungen aufzudecken. Oft handelt es sich bei diesen Mitarbeitern um Hacker, die ihre Fähigkeiten in der Vergangenheit für illegale Aktivitäten wie etwa Einbruch in Unternehmenssysteme und -netzwerke genutzt haben. Geläuterte Cyberkriminelle bieten damit einen umfangreichen Erfahrungsschatz sowie neue Denkansätze und können Lösungen vorschlagen, die nicht gleich auf der Hand liegen.

Bug-Bounty-Programme: Kopfgeldjagd auf Softwarefehler

Ein gutes Beispiel für das Einsatzspektrum von ethischen Hackern sind sogenannte Bug-Bounty-Programme. Mit diesen setzen Unternehmen quasi ein Kopfgeld auf Schwachstellen aus. Damit bieten sie Hackern finanzielle Anreize, um Fehler in einem bereitgestellten Softwareprodukt zu identifizieren und zu melden. Unternehmen können dadurch zeitnah reagieren und Schwachstellen beheben, bevor sie öffentlich bekannt werden. Die Sicherheitslücken Meltdown und Spectre sind gute Beispiele für Schwachstellen, die in einer großen Anzahl von Systemen gefunden und rechtzeitig gepatcht wurden, bevor sie umfangreich missbraucht werden konnten. Hätten böswillige Angreifer diese Lücken entdeckt, wären die Auswirkungen sehr weitreichend gewesen.

Mögliche Probleme beim Einsatz von Ethical Hackers

Wenn Unternehmen zulassen, dass Hacker versuchen, in ihre Systeme einzudringen, birgt das natürlich auch Risiken. Denn im Erfolgsfall muss darauf vertraut werden, dass der Hacker unternehmensloyal handelt. Ein probates Mittel dafür sind deshalb Bug-Bounty-Programme, da sie den Aufwand des Hackers von vornherein monetarisieren. Sobald eine Schwachstelle gefunden und bestätigt wurde, wird der Hacker für seinen Aufwand bezahlt. So gibt es nur einen begrenzten Anreiz, Daten zu stehlen oder den Exploit weiterzuverkaufen.

Wichtig ist: Die Geschäftsbeziehung zwischen Bug-Bounty-Plattform und Hacker basiert auf gegenseitigem Vertrauen und Respekt. Es gibt Fälle, bei denen sich Hacker nicht an die Regeln und Einschränkungen des Bug-Bounty-Programms gehalten haben. Dies kann rechtliche Konsequenzen durch das Unternehmen nach sich ziehen. Ebenso sind einige Unternehmen und Bug-Bounty-Plattformen bekannt dafür, Hacker nicht zu bezahlen, obwohl die gemeldete Schwachstelle bestätigt wurde. Solch ein Verhalten schädigt das Vertrauen der Ethical-Hacker-Community enorm und kann sogar dazu führen, dass das Unternehmen und die Plattform auf eine Liste mit Zielen für böswillige Angriffe gesetzt werden.

Bild: Digital Guardian

Naaman Hart, Managed Services Security Engineer bei Digital Guardian

Bedenken beim Einsatz ehemalig krimineller Hacker

Es gibt potenziell immer Personen, die Hacking nur wegen des Nervenkitzels betreiben. Deren Fähigkeiten können jedoch durch legale, herausfordernde Aufgaben positiv umgeleitet werden. Natürlich mag die Frage aufkommen, wie man sich sicher sein kann, dass ein ehemaliger Krimineller nicht wieder straffällig wird, doch dies ist kein spezifisches Problem der Cyberbranche. Wichtig ist, ein Umfeld zu schaffen, bei dem technische Herausforderung, Lern- und Weiterbildungsmöglichkeiten sowie entsprechende Vergütung gut ausgelotet sind.

Überwiegen diese Vorteile, lohnt sich das Risiko einer Straftat nicht.

Auch ist es wichtig, dass die Gesetzeslage mit der Technologieentwicklung Schritt hält, damit strafrechtliche Konsequenzen gut bekannt sind und genügend Abschreckung bieten. Cyber-Straftaten werden oft immer noch nachgiebiger geahndet als andere Delikte mit vergleichbarem finanziellem Schaden. Ein Grund, weshalb organisierte Banden immer mehr in die Online-Welt abwandern.

Von Kontrolle zu Freiheit: Zusammenarbeit von Unternehmen und Hackern

Es sollten auf beiden Seiten sehr klare Vereinbarungen getroffen werden, die die Möglichkeit bieten, gegenseitiges Vertrauen aufzubauen. Beispielsweise können Unternehmen zu Beginn Zeit und Ort für die Nutzung internetfähiger Geräte begrenzen, um eine bestimmte Aufgabe zu erfüllen. Ethische Hacker sollten Vorgaben und Abmachungen klar einhalten. Gleiches gilt für das Unternehmen. Werden Vereinbarung durch das Unternehmen nicht erfüllt, ist dies genauso schädlich für die Beziehung. Hat sich das gegenseitige Vertrauen schließlich bestätigt, sollten ehemalig straffällig gewordene Hacker wie jeder andere Mitarbeiter behandelt werden und die Verantwortung und Rolle erhalten, die ihnen gebührt. Dauerhafte Stigmatisierung erhöht erwiesenermaßen die Wahrscheinlichkeit einer Rückfälligkeit. Der Glaube an eine Rehabilitation ist ein wichtiger Bestandteil für ihr Gelingen.

Weitere Informationen zum Thema:

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken

datensicherheit.de, 27.05.2019
Cyber-Hygiene: Grundstein der IT-Security

datensicherheit.de, 30.04.2019
Sensible Daten aufspüren und schützen

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

[datensicherheit.de, 04.12.2017] Das SANS Institute bietet vom 11. bis 16 Dezember in Frankfurt/Main vier Trainingskurse zur Informationssicherheit an. Die Kurse richten sich an IT- und IT-Sicherheitsexperten, die tiefe Einblicke in das technische Knowhow der Sicherheit erwerben wollen. Unter praxisnahen Bedingungen werden die Kenntnisse, die Fähigkeiten und das Wissen über die notwendigen Tools vermittelt, um eine zeitgemäße Informationssicherheit zu gewährleisten.

Incident Handling für technisch versiertes IT Personal

Der Kurs SEC504: Hacker Tools, Techniques, Exploits, and Incident Handling richtet sich an Mitarbeiter aus IT Security Teams, die mit den grundsätzlichen, technischen Fähigkeiten in der IT-Sicherheit vertraut sind. Das Lernziel des Kurses ist, die Konzepte der grundlegenden Tools und Techniken zu verstehen, die zum Handwerkszeug der Hacker gehören. Mit diesem Wissen sollen die Sicherheitsexperten in der Lage sein, die Denkweise potenzieller Angreifer zu verstehen. Dies ist ein wesentlicher Schritt zu einer gelungenen Sicherheitsstrategie und ihrer technischen Umsetzung.

Einen besonderen Nutzen können Mitarbeiter aus dem Kurs ziehen, die für die Teams für das Incident Handling und deren Leitung gedacht sind. Sicherheitsexperten, Systemadministratoren und Sicherheitsarchitekten können von diesem Verständnis profitieren. Sie bekommen in dem Kurs wichtige Impulse, wie sie ihre Systeme entwerfen, bauen und betreiben sollten, um Angriffe zu verhindern, zu erkennen und auf sie zu reagieren.

Web-Applikation-Penetrationstests für Fortgeschrittene

Web-Applikation spielen mittlerweile eine entscheidende Rolle in jedem Unternehmen. Der Kurs SEC542: Web App Penetration Testing and Ethical Hacking widerspricht deshalb der Ansicht, dass ein Web Application Security Scanner ein zuverlässiger Helfer ist, um Schwachstellen in Web-Applikationen zu identifizieren. Das Vertrauen in Web Application Scanner führt oftmals dazu, dass Web-Applikationen eine wichtige Rolle bei signifikanten Verstößen und Vorfällen spielen. Deshalb lernen die Kursteilnehmer die notwendigen Schritte und Kniffe, um Web-Applikationen professionellen und gründlichen Tests zu unterziehen.

Der Kurs lebt von über 30 praktischen Übungen und findet seinen Höhepunkt in einem „Web Application Pen Test Turnier“. Dies wird von der SANS NetWars Cyber Range unterstützt und gehört zum festen Bestandteil des Kurses. In dem Turnier demonstrieren die Teilnehmer ihr neu erworbenes Wissen, können ihre neuen Fertigkeiten demonstrieren und beweisen, dass die Kursinhalte sofort in die Praxis umgesetzt werden können.

Mehr Netzwerksicherheit durch zuverlässige Penetrationstests

Der Kurs SEC560: Network Penetration Testing and Ethical Hacking vermittelt das essenzielle Wissen, Schwachstellen im eigenen Unternehmensnetzwerk aufzuspüren. Von der Planung und dem Scoping über Scans, Passwortangriffe und die Manipulation von Webanwendungen vermittelt der Kurs das notwendige Wissen, ein Netzwerk gründlich zu testen und abzusichern. Damit gehört der Kurs zu den Flaggschiffen der SANS-Sicherheitstrainings.

Die vorgestellten Tools, Techniken und Methoden bieten eine gute Grundlage, um selbst einen Penetrationstest schrittweise durchzuführen. Am letzten Tag müssen die Teilnehmer ihre neu erworbenen Fertigkeiten unter Beweis stellen. Dafür ist ein umfangreicher und praxisnaher Penetrationstest geplant, bei dem die Teilnehmer Schwachstellen eines Netzwerks unter realistischen Bedingungen testen und identifizieren müssen.

Spezialisten für Sicherheit industrieller Steuerungssysteme

ICS515: ICS Active Defense and Incident Response richtet sich an Spezialisten der industriellen IT-Sicherheit und adressiert die Identifizierung und Abwehr von Angriffen auf industrielle Steuerungssysteme. Die Experten sollen mit den Kursinhalten befähigt werden, das vernetzte Ökosystem einer Industrieanlage zu überwachen und auf Vorfälle schnell und souverän zu reagieren. Dabei sollen die Teilnehmer aus den Interaktionen mit den Angreifern lernen, um die eigene Netzwerksicherheit zu verbessern.

In dem Kurs kommen praktische Ansätze und reale Malware zum Einsatz, um mögliche Cyberangriffe zu verstehen. Das Ziel ist es, Softwareentwickler, Ingenieure und auch das nicht technische Personal im Management zu rüsten, ihre Anlagen abzusichern und ein Bewusstsein für die möglichen Bedrohungen zu entwickeln.

Weitere Informationen zum Thema:

SANS Institut
Cyber Security Training at Frankfurt 2017

[datensicherheit.de, 16.07.2015] In diesem Jahr fanden rund 100 Security-Experten und Pentester zum dritten Mal im Rahmen der Pen Test Berlin 2015, den Weg an die Spreemetropole, um sich in fünf verschiedenen Kursen Wissen rund um das Thema Penetrationstests anzueignen. In diesem Jahr lag vom 22. bis 27. Juni der Fokus durch die Entwicklungen in den letzten Jahren vor allem auf den durch Heartbleed oder Shellshock hinterlassenen

Unsicherheiten in IT-Systemen, die viele Teilnehmer dazu bewogen haben, sich am SANS Institut im Bereich Penetrationstests weiterzubilden. Fünf international renommierte Trainer vermittelten in fünf verschiedenen Tracks unterschiedlicher Schwierigkeitsstufen von Web App-, Network- und Wireless-Penetration-Testing über Ethical Hacking bis hin zu Exploit Writing die neuesten Angriffstechniken und den Umgang mit speziellen Tools. Zwischen den Trainings im Radisson Blu Hotel forderten die SANS-Mitarbeiter die Anwesenden zu sogenannten Challenges heraus, die in den Stufen leicht, mittel und schwer über eine spezielle Seite freigeschaltet wurden. Wer schnell genug war und die Lösung „erhackte“,  konnte sich in den Stufen mittel und schwer sogar über einen Preis freuen, der ihm am Ende der Woche zusammen mit der Urkunde für das Bestehen des Kurses verliehen wurde.

Entwickler und Pentester sollten wie Hacker denken

An den Abenden nach den Trainings standen dieses Jahr gleich sechs SANS@Night Talks an, die über die Kurse hinaus Einblick in die Arbeitspraxis von Pentestern und Securityexperten gab. Den Anfang machte am Montag James Shewmaker mit seinem Vortrag, wie Pen Tester das offizielle Managementtool von Windows namens PowerShell für ihre Zwecke nutzen können. Er zeigte auf, wie sich die Tools Veil-PowerView, Nishang und Magic Unicorn zur Manipulation von Firewall Konfigurationen und zur Erweiterung von User-Rechten nutzen lassen.

Am Dienstag demonstrierte dann Jose Selvi, wie man die HTTP Strict Transport Security (HSTS) umgeht und SSL-Strip Attacken durchführt, gegen die der Webseiten-Policy-Mechanismus eigentlich schützen soll. Der Vorführung folgten eine Gegenüberstellung der Stärken und Schwächen von HSTS sowie eine Demonstration, wie sich die Schwächen ausnutzen lassen.

Foto: Ralf Reinhardt

Ralf Reinhardt

Für die vielen Interessierten konnte Ralf Reinhardt mit seinem Vortrag am Dienstag aufzeigen, wie einfach Web Applikationen und Web Services mit Hilfe von SQL-Injection basierten Attacken ausgehebelt werden können. „Viel zu viele Web-Services und Web-Applikationen im Internet sind nicht gut genug gesichert. Entwickler sind heutzutage so sehr unter Zeitdruck, dass der Einbau von Sicherheitsmaßnahmen von vielen vernachlässigt wird. Oft fehlen auch die Kenntnisse und die Perspektive, die ein Hacker einnimmt, um die eigene Entwicklung vor fremden Zugriffsversuchen abzusichern“, erläutert Reinhardt. Manuel Schönthaler, Direktor Deutschland beim SANS Institut fügt hinzu: „Security-by-Design im Entwicklungsprozess wird leider kaum umgesetzt, deshalb ist es so wichtig, dass anschließend wenigstens Penetrationstests durchgeführt werden, um enthaltene Schwachstellen aufzudecken, bevor es die tun, die damit Schaden anrichten wollen.“

Modbus und Zombie-Apokalypse

In dem Vortrag „Playing with SCADA’s Modbus Protocol“ spannte Trainer Justin Searle den Bogen von Penetrationstests für Webseiten und Anwendungen hin zu Industriesteuerungen. Am Donnerstagabend führte er vor, wie sich das SCADA-Protokoll Modbus für eine Kompromittierung von Industriesteuerungen missbrauchen lässt. In einem Praxisversuch konnte er sogar die Kontrolle über eine simulierte Steuerung übernehmen. Wer seinen Versuch nachahmen will, kann dies mit der aktuellen Version von SamuraiSTFU in einer VMware-Umgebung ausprobieren.

Was passiert, wenn die kritischen Infrastrukturen versagen und das Internet zusammenbricht, darüber machte sich dann Trainer Larry Pesce im Vortrag „Hacking Survival: So you want to compute post-apocalypse?“ seine Gedanken. Für den Fall eines globalen Shutdowns, beispielweise verursacht durch einen EMP, schlägt er vor, nicht nur in einem Hobbykeller vorzusorgen und die obligatorischen Vorräte anzulegen, sondern auch Unmengen an Radios und Routern vorzuhalten. Er brachte darüber hinaus auch die Idee auf, mit IP-über-Morsecode zu kommunizieren, um den Austausch von Informationen und die Kommunikation über den eigenen Häuserblock hinaus aufrechtzuerhalten. Der Schlüssel zum Erfolg sei seiner Ansicht nach die Routine, also sich immer wieder Szenarien auszudenken, um im Falle eines Falles vorbereitet zu sein und schnell reagieren zu können.

Der letzte Vortrag am Freitag führte den Anwesenden schließlich vor Augen, wie verwundbar Bankautomaten sein können. Mit Hilfe verschiedenster im Darknet auffindbarer Code-Schnipsel und Tools lassen sich die Sicherheitseinstellungen vieler dieser stationären Geldausgabegeräte kompromittieren und dazu bringen, geradezu mit Geld um sich zu werfen. Natürlich zeigte Trainer Erik van Buggenhout auch auf, wie sich Filialbetreiber und Automatenhersteller vor solchen Angriffen schützen und künftig für mehr Sicherheit sorgen können.

Fazit

Die Trainings, die am Samstag mit einem Capture-the-Flag-Contest abgeschlossen wurden, waren wieder ein bunter Mix aus Theorie und Praxis, bei denen die Kenntnisse der Teilnehmer auch in kleinen Übungen über den gesamten Kursverlauf hinweg weiter vertieft wurden. Veranstalter Manuel Schönthaler zeigte sich dann auch zufrieden mit dem Feedback: „Die Hauptstadt ist immer eine Reise wert und mit diesem spezialisierten Event einmal im Jahr treffen wir einen Nerv, deshalb werden wir auch 2016 wieder mit unserem Pen-Test-Event in die nächste Runde gehen. Unsere international gefragten Trainer schaffen es immer wieder die richtige Balance zwischen Frontalunterricht, fachlichem Austausch und Hands-On-Übungen zu finden. Das Feedback zur Veranstaltung fiel dementsprechend auch wieder durchweg positiv aus. Das SANS Institut will in Deutschland weiter wachsen und deshalb haben wir uns für nächstes Jahr nicht nur eine Neuauflage des Berlin-Events vorgenommen, sondern werden auch zwei weitere Events, ein zusätzliches in München und ein neues in Frankfurt ausrichten.“

Wer sich jetzt schon darüber informieren möchte, der findet unter www.sans.org/de Informationen zum nächsten lokal stattfindenden Event.

[datensicherheit.de, 08.12.2014] Etwa 33 Millionen Bundesbürger werden nach Angaben des BITKOM ihre Weihnachtsgeschenke 2014 online kaufen. Millionen Daten also, die für Hacker gerade zur Weihnachtszeit ein lukratives Geschäft sind – Passwörter, Kreditkartendaten und Geburtsdaten etwa sind besonders beliebt.

Materielle und immaterielle Schäden für Webshops

Gestohlene Daten werden entweder verkauft oder die Datendiebe gehen damit selbst auf Kosten der Bestohlenen einkaufen, warnt Philipp Reger, Vorstandsassistent (Vertrieb) bei der Profihost AG. Für Webshops sei es in jedem Falle nicht nur ein immenser wirtschaftlicher Schaden, sondern vor allem auch ein hoher Vertrauensverlust.

Konsequente Verschlüsselung der Kommunikation

Um Schaden zu vermeiden, können und müssen Shop-Betreiber einige Maßnahmen zur Absicherung ihres Unternehmens, ihrer Daten und der Daten ihrer Kunden selbst durchführen. Dazu zählen neben einer Grundsicherung – etwa dem Einsatz einer Firewall, der konsequenten Verschlüsselung der Kommunikation mit SSL-Zertifikaten oder Passwortregeln für Käufer – beispielsweise auch der Einsatz von „Session Cookies“ und die Nutzung sicherer Bezahlverfahren.
Shopbetreiber, die als Zahlungsart Bankeinzug oder Kreditkarte anbieten, sollten sich der Sensibilität dieser Daten bewusst sein und z.B. einen zertifizierten „Payment Service Provider“ zu Abwicklung der Transaktionen wählen, rät Reger. Website-Betreiber sollten grundsätzlich die Nutzer-Daten so speichern, dass sie für unbefugte Dritte möglichst unbrauchbar sind, also im Idealfall verschlüsselt und unknackbar. Hierzu stünden diverse kryptografische Hash- und Salt-Funktionen zur Verfügung, die über Zusatzmodule auch mit vielen beliebten Content-Management-Systemen genutzt werden könnten.
Die Sicherheitsmaßnahmen seien übrigens für Besuchern und Kunden „sichtbar“ und gäben Vertrauen – ein Schloss-Symbol in der Browser-Leiste oder die grüne Adressleiste zeugten davon, dass persönliche Informationen verschlüsselt an den Anbieter übertragen werden.

Interne und externe Täter

Oft sei es hilfreich, aus einer neutralen Position heraus und mit dem nötigen Fachwissen die Server-Sicherheit von Außen zu prüfen. Profihost z.B. stelle mit sogenannten Penetrationstests dabei die IT-Sicherheit mit simulierten Angriffen auf die Systeme und IT-Infrastruktur auf die Probe. Das Ziel dabei sei, mögliche Schwachstellen zu erkennen und frühzeitig zu handeln, so Reger.
Beim Penetrationstest werden eine Hosting-Umgebung, das darunterliegende System, der SSH- und FTP-Zugang sowie die Login-Bereiche aus Sicht eines unangemeldeten Besuchers auf ihre Sicherheit hin überprüft. Die simulierte Attacke geschehe immer von verschiedenen Angriffspunkten aus – einerseits werde versucht, das System aus der Sicht eines x-beliebigen Besuchers heraus zu manipulieren, andererseits werde überprüft, ob unbefugte Zugriffe durch Mitarbeiter des Unternehmens möglich sind. Denn häufig seien es leider auch Mitarbeiter, die in einem Unternehmen versehentlich oder zum eigenen Vorteil unberechtigt auf Daten zugriffen und diese womöglich missbräuchlich nutzten, erklärt Reger.

[datensicherheit.de, 10.08.2011] cirosec geht eine Partnerschaft mit Core Security, seit vielen Jahren als Hersteller des kommerziellen Exploit-Frameworks „Core Impact“ bekannt, ein:
Zahlreiche Sicherheitsexperten weltweit verwenden „Core Impact“ bei Penetrationstests und zum realen Nachweis der Ausnutzbarkeit von Schwachstellen.
Im Gegensatz zu einfachen Verwundbarkeitsscannern sei ein Prüfer mit „Core Impact“ in der Lage, Schwachstellen nicht nur zu erkennen, sondern diese auch tatsächlich auszunutzen. Dadurch könne er die Kontrolle über ein verwundbares System übernehmen. Darauf aufbauend könne er dann von diesem System aus nach weiteren Schwachstellen suchen, die möglicherweise vom bereits übernommenen System aus erreichbar sind. Das Framework biete für alle diese Aufgaben eine professionelle Benutzeroberfläche sowie eine Protokollierung jeder Aktivität für den späteren Nachweis und die Nachvollziehbarkeit. Darüber hinaus verfüge es zur Ausnutzung von Schwachstellen über eine umfangreiche Sammlung professioneller Exploits, die ausgiebig auf Stabilität getestet worden seien.
Gerade für den Einsatz in Unternehmen sei es äußerst wichtig, bei Penetrationstests nicht den IT-Betrieb zu stören. Genau in diesem Punkt unterscheide sich „Core Impact“ als professionelles Werkzeug von einfachen, im Internet verfügbaren Exploits – deren Einsatz in Unternehmen sei äußerst problematisch und führe häufig zu Störungen oder Abstürzen der Zielsysteme.
Mit dem Produkt „Core Insight“ biete Core aber nicht nur ein Exploit-Framework, sondern auch eine Plattform, die automatisch und kontinuierlich die Sicherheit kritischer Netzwerkbereiche überwache. Technologische Basis sei dabei die Technologie aus dem bekannten „Core-Impact“-Produkt.

Weitere Informationen zum Thema:

cirosec, 10.08.2011
Werkzeug zur Sicherheitsüberprüfung nutzt Schwachstellen real aus / cirosec schließt Partnerschaft mit Core Security