In meiner Jugendzeit war der Begriff Hacker im deutschen Sprachraum eindeutig definiert. Das war jemand, der mit einer Axt seiner beruflichen Tätigkeit im Wald nachging und für die Versorgung mit Brenn- oder Bauholz mitverantwortlich war.
Spricht man heute von einem Hacker, ist unmissverständlich die Person oder Personengruppe gemeint, die unberechtigt in ein eigentlich sicheres und vor fremden Zugriffen geschütztes IT-Netzwerk eindringt.
Ist das passiert, hängt es nur mehr von der Gesinnung des Täters ab und welche Ambitionen er verfolgt.
Gute Hacker, böse Hacker?
Um das Märchen vom guten Hacker gleich von vorneweg abzustellen: Hacker begehen immer eine Straftat, sobald diese sich unberechtigt Zugang zu einem Netzwerk oder Daten verschaffen. Dabei spielt es noch nicht mal eine Rolle, ob dabei nur eine Offenlegung von Schwachstellen oder eine tatsächliche Schadensabsicht dahintersteckt.
Selbst Sicherheitsunternehmen, die von Firmen vertraglich mit sogenannten Penetrationstests zur Aufdeckung von Schwachstellen und Sicherheitslücken beauftragt wurden, können sich schnell in eine rechtliche Grauzone begeben. Die Bezeichnung „White Hats“ oder „Ethical Hacker“ wird für solche Personen genutzt, die sich innerhalb der Grenzen des Gesetzes als auch der „Hackerethik“ bewegen.
Auch die oft genannten „Grey Hats“, also Hacker, die ohne Beauftragung durch das Unternehmen nur Sicherheitslücken aufspüren, um diese dann zu warnen, handeln strafrechtlich StGB §202 – Bundesministerium der Justiz.
Und um das Trio zu komplettieren, gibt es noch die „Black Hats“. Diese bezeichnen wir im allgemeinen Sprachgebrauch eben als Hacker. Sie handeln gegen das Gesetz und verfolgen das Ziel, Schaden anzurichten, zu erpressen oder ihre gesetzeswidrigen Handlungen in Geld oder Macht umzuwandeln.
Totalen Schutz gibt es nicht
Hier folgt auch schon der nächste Schockmoment. Den totalen Schutz gibt es nicht. Weder für die Daten noch für den Netzwerkzugriff. Je nachdem, welcher Aufwand betrieben wird und welcher Zeitraum zur Verfügung steht, kann nahezu jedes Netzwerk und jede IT auf die eine oder andere Art angegriffen und ausspioniert werden. Auch für den unfreiwilligen Datenabfluss gibt es unzählige Möglichkeiten, die genutzt werden könnten.
Ein einfaches Szenario zum Verständnis
Gezwungenermaßen müssen wir selbstverständlich immer davon ausgehen, dass mindestens eine Person Zugriff auf die Firmendaten hat. Natürlich ist es nicht mehr so wie früher, als der allmächtige Administrator der alleinige Herrscher über die Daten und Speicherorte war. Mittlerweile werden Berechtigungen sehr selektiv vergeben und auch die Administratoren haben keinen Zugriff auf bestimmte Daten oder Verzeichnisse.
Aber irgendwer muss mit den Daten und Dokumenten arbeiten, also hat auch irgendjemand aus dem Unternehmen Zugriff. Hier offenbart sich schon die erste Schwachstelle.
Erstens müssen regelmäßig die Berechtigungen im Unternehmen überprüft werden. Nichts ist einfacher, als bei einem Wechsel von einer Abteilung zur Anderen unbemerkt alte Berechtigungen mitzunehmen. Auch wenn das Vertrauen in die betroffene Person ungebrochen ist, so fallen diese Dinge im Laufe der Zeit gerne unter den Tisch.
Je mehr Personen auf schützenswerte Daten Zugriff haben, umso größer ist die Gefahr einer erfolgreichen Phishing-Attacke. Dabei werden durch wirklich sehr gut getarnte E-Mails dem Empfänger Zugangsdaten entlockt, indem die Angreifer mittlerweile hochprofessionell nachgebaute, gefälschte Login-Seiten nachbauen und mittels eines Links dorthin verweisen. Mit etwas Glück hat der Angreifer so den Zugriff auf eine umfangreiche Informationsquelle innerhalb des Netzwerkes oder gar der Cloud.
Um den erfolgreichen Phishing-Erfolg zu verschleiern, leiten die Angreifer nach dem Abgriff der Zugangsdaten den User auf die richtige Seite weiter und geben, sofern möglich, die soeben frisch erbeuteten Zugangsdaten für den User ein. Dieser findet sich auf der gewünschten Seite wieder und schöpft keinen Verdacht.
Dass niemand Verdacht schöpft, ist ein weiteres Problem. Denn kein Hacker beziehungsweise Angreifer wird es laut in die Welt hinaus posaunen, wenn ein erfolgreicher Zugang zu einem fremden Netzwerk besteht. In der Regel verstecken sich die Angreifer über Wochen und Monate bereits im Netzwerk und ziehen kontinuierlich Informationen und Daten ab. Oder versuchen mit verschiedensten Mechanismen, sich noch mehr Rechte zu sichern. Im Idealfall holen sie sich mit Hilfe einer nicht gefixten Sicherheitslücke Administratorrechte und dann wird es in der Regel ganz übel für das betroffene Unternehmen.
Auch wenn Administratoren keinen direkten Zugriff auf alle Daten haben, so sind es abermals die Administratoren, die Zugriffe gewähren können, oder neue User mit umfangreichen Rechten ausstatten.
Die romantische Darstellung
Sicher haben Sie schon den einen oder anderen Kinofilm gesehen, in dem ein unglaublich talentierter Hacker in Sekundenschnelle (und meist auch in letzter Sekunde, bevor ein Alarm losgeht) eine hochkomplizierte Firewall ausschaltet und wie durch Magie plötzlich sofort die richtigen und geheimen Daten herunterlädt.
Mich erinnert das an die Filme, in denen Laserdrucker das Geräusch eines Nadeldruckers machen, wenn ein Blatt Papier aus dem Schacht kommt. Oder die IT-Anlage mit einer mechanischen Geräuschkulisse die Daten auf einem Bildschirm ohne Lautsprecher ausgibt. Ja, die Technik war auch schon früher ein Mysterium.
Darum kann man sich dieses Szenario tatsächlich aus dem Kopf schlagen. Ein Hacker sitzt in der heutigen Zeit nicht mehr vor dem PC, wählt sich mit einem Modem ein und lädt dann auch noch über seinen häuslichen Telefon- oder Internetanschluss geheime Daten herunter.
Automatisierung auch bei Hackern
Heutzutage geht das wesentlich bequemer. Die meiste Arbeit machen sogenannte Bots. Abgeleitet vom Wort Roboter verharren diese kleinen, niedlichen Programme auf infizierten Rechnern im Internet und warten auf die Kommandos ihrer Befehlshaber.
Ja, das können auch Rechner in Ihrem Unternehmen sein, die an der nächsten DOS-Attacke (DOS = Denial Of Service) beteiligt sind. Dabei werden an eine Zieladresse, meist von großen Unternehmen, so viele Anfragen über das Internet gestellt, dass deren Dienste überlastet werden und für eine Zeitlang nicht mehr erreichbar sind.
Und das Tolle daran (bitte ironisch auffassen) – solche Bots können auch Sie mieten. Das ist ein mittlerweile unheimlich großes Geschäft. Illegal, aber das dürfte den Hacker oder Angreifer kaum interessieren.
Die Bot-Netze können noch mehr
Um die Angstmacherei zum Ende zu führen, noch ein weiteres Anwendungsgebiet. Gegen DOS-Attacken kann man sich im ersten Moment nicht wehren. Der angegriffene Server bzw. Dienst geht in die Knie und ist nicht erreichbar. Abhilfe kann hier nur der zuständige Provider schaffen, indem er den Großteil der plötzlich auftretenden Anfragen zu blockieren beginnt. Kommen die alle aus einer Region, geht das relativ schnell. Sind diese weltweit verstreut, dauert es länger. Und zu guter Letzt sind diese DOS-Attacken ja meist auch zeitlich begrenzt.
Viel schlimmer für kleine und mittlere Unternehmen ist die ständige Suche nach Lücken in Ihrem Netzwerk.
Sie haben sich abgesichert? Und haben sogar für alle Dienste Verschlüsselung, Multi-Factor-Authentification (MFA) eingerichtet? Und eine saubere Benutzer- und Berechtigungsverwaltung etabliert?
Ja, auch dann müssen wir Sie enttäuschen. Denn manchmal sind Sicherheitslücken außerhalb Ihres Sicht- und Wirkungsbereichs vorhanden.
Die Kette ist so stark wie ihr schwächstes Glied
Bestens geschützte Netzwerke, ein umfassendes Sicherheitskonzept, regelmäßige Schulung der Mitarbeiter in Sachen Cyber-Sicherheit und verschlüsselte Daten. Klingt gut, ist es prinzipiell auch.
Demgegenüber stehen aber mehrere kritische Punkte. Zum einen wägt man sich gerne zu sehr in Sicherheit. Das kann (muss nicht) in einer lässigen Handhabung von anderen Dingen ausarten. Wir sind „safe“ und haben trotzdem die Daten an eine kriminelle Hackergruppe verloren?
Ja, und dagegen kann man nur etwas tun, wenn die Sicherheit nicht nur einmalig etabliert wurde, sondern regelmäßig auf Herz und Nieren geprüft wird.
Die Rede ist hier vor allem von Software. Sie haben sicher schon gehört, dass es Sicherheitslücken in Software (Betriebssystemen, Serversoftware, Programmen, Tools, etc.) gibt. Diese werden zwar von den Herstellern regelmäßig geschlossen, sofern diese Lücken überhaupt bekannt geworden sind. Das bedeutet aber noch lange nicht, dass damit alle Sicherheitslücken geschlossen werden.
Denn nicht die Hersteller finden meist den Fehler, sondern spezielle Unternehmen (oder Gruppen). Ist es ein kommerzielles Unternehmen, dass dafür Geld von den Herstellern kassiert, um Fehler zu finden und dem Hersteller zu melden, gibt es in der Regel einen Patch. Und je nachdem, ob der Fehler (Bug) oder Lücke als kritisch eingestuft wird, gibt es eine mehr oder weniger deutliche Warnung vom Hersteller.
Die ständige Wartung der IT-Anlagen
IT-Administratoren sind dazu angehalten, sich über die im Netzwerk vorhandene Software genauso Gedanken zu machen, wie über die eingesetzte Hardware. Nicht nur die Firewall, der Router oder der WLAN-Zugang sind essenziell, sondern auch die eingesetzten Softwareprodukte. Hier ist es unerlässlich, sich ständig über den neuesten Patch-Stand auf dem Laufenden zu halten. Wer erst reagiert, wenn das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine kritische Warnung mit Alarmstufe rot ausruft, für den dürfte es wahrlich zu spät sein.
Dennoch gibt es genügend Unternehmen, die das nicht besonders kümmert. Inwieweit dies im Falle eines Datenverlustes als fahrlässig einzustufen ist, überlassen wir lieber den Advokaten. Fest steht, dass das Unternehmen speziell für Kunden- und Personendaten im Rahmen der DSGVO den Kopf hinhält.
Es ist übrigens auch interessant, mal zu sehen, was so alles an DSGVO-Bußgeldern verhängt wird.
Und eine Sicherheitslücke im eigenen Netzwerk zu unterhalten, geht schneller als man denkt. Denn nicht einmal die Hersteller kennen sie alle. Hacker nutzen solche Lücken oftmals schon viel früher aus, bevor sie überhaupt bekannt werden.
Und auch wenn nicht, haben Hacker in der Regel genügend Zeit, auch bereits bekannte und offiziell per Patch gefixte Sicherheitslücken auszunutzen. Viele Unternehmen gehen sehr sorglos damit um und lassen ihre Server und Hardware oft monatelang auf einem viel zu alten Patch-Stand.
Und letztendlich der Mitarbeiter
Nicht jeder Kollege, der einen Computer am Arbeitsplatz bedient, muss unweigerlich ein IT-Profi sein. In den meisten Fällen sind diese Kollegen Profis im Umgang mit ihrem Werkzeug. Für andere Bereiche wie Cyber-Sicherheit, Phishing-Mails oder Schadsoftware sind sie das nun mal nicht.
Aber auch, wenn versehentlich dadurch die Sicherheit im Unternehmen gefährdet wird, kann und darf man ebenfalls nicht ausschließen, dass Mitarbeiter selbst Daten entwenden oder zumindest an nicht sichere Orte überspielen.
Einen Auszug aus Excel-Listen auf das Smartphone oder auf die lokale Festplatte des Notebooks kopiert: Schon sind Daten außerhalb der sicheren Sphäre des Unternehmensnetzwerkes. Und wenn das firmeneigene Notebook zu Hause an den heimischen Router angeschlossen wird, dann können auch Millionen Euros in die Sicherheit der Unternehmens-IT geflossen sein. Die greift dann aber nicht mehr.
Kann man sich überhaupt richtig schützen?
Die Frage ist leicht zu beantworten. Nein, kann man definitiv nicht. Mit genügend Aufwand und Zeit lässt sich nahezu jeder Sicherheitsmechanismus umgehen. Womit wir aber schon beim richtigen Ansatz für ein größtmögliches Schutzpotential sind. Nämlich den Aufwand für den Angreifer so hochzuschrauben, dass es für ihn schlicht und ergreifend uninteressant wird.
Das bedeutet, dass sofort (und nicht erst in 1-2 Wochen) sämtliche kritische Sicherheits-Patches, die bekannt werden, eingespielt werden. Dazu ist es nötig, die aktuellen Softwarestände von allen Geräten, Programmen und Betriebssystemen zu kennen. Ja, von allen.
Zu aufwändig? Ok, dann verstehen Sie auch die Denkweise eines Hackers. Denn dann muss es sich schon wirklich lohnen. Wozu Aufwand betreiben, wenn es hunderte von Unternehmen gibt, die nicht einmal das kleine Einmal-Eins der IT-Sicherheit kennen oder beachten.
Professionell in allen Bereichen
Beim Thema Sicherheit gibt es keine halben Sachen. Und nur, weil man viel Geld investiert hat, kann man sich danach auch nicht auf den Lorbeeren ausruhen.
Sicherheit muss gelebt werden. Und das Tag für Tag, Stunde für Stunde. Für den IT-Administrator bedeutet dies, dass er zu jeder Zeit die vollkommene Übersicht über ALLES im IT-Netzwerk hat. Über das eigene Netzwerk, über das Netzwerk in den Außenstellen, die Zugänge zum Netzwerk von innen und außen, über die Software und deren Versions- und Patch-Stände, die Firmware in den Geräten, die Berechtigungen und noch so vieles mehr.
Sich selbst helfen oder Hilfe holen
Kaum ein IT-Verantwortlicher kann heute in allen Bereichen alles überblicken oder die alleinige Verantwortung übernehmen. Eigentlich kann es ab einer gewissen Größe keiner mehr, dennoch trifft man hier und da immer wieder auf völlig überarbeitete IT-Mitarbeiter, die genau diese Quadratur des Kreises schaffen wollen (oder müssen).
Dabei sind das laufende Tagesgeschäft, die Planungs- und Wartungsarbeiten des IT-Netzwerkes und die Koordination der IT-Angelegenheiten innerhalb des Unternehmens bereits eine voll auslastende Tätigkeit.
Risiko oder Kosten sparen
Der Verantwortliche eines Unternehmens, meist Geschäftsführer oder dergleichen, muss die Entscheidung treffen, ob er das Risiko eingehen möchte, leichtes Ziel für einen Angriff von außen zu werden. Entscheidet er sich dafür, kann es ihn Kopf und Kragen kosten, mindestens aber eine Menge Geld und eine nicht wieder umzukehrende Reputationseinbuße. Nochmal zur Erinnerung – DSGVO – Bussgeld-Datenbank
Entscheidet er sich für das Optimum an Sicherheit, kostet es „nur“ Geld. Auch eine Menge, aber mit der richtigen Herangehensweise lassen sich viele Dinge mit überschaubarem Aufwand regeln.
Die Basis für eine sichere IT
Grundsätzlich muss eine Möglichkeit geschaffen werden, dass sich IT-Verantwortliche innerhalb kürzester Zeit einen Überblick über die aktuelle IT-Landschaft verschaffen können. Dazu gehören nicht nur die Geräte (Computer, Drucker, Server, etc.), sondern auch, wie schon mehrfach angesprochen, eine komplette Auflistung der vorhandenen und eingesetzten Software.
Anstatt dafür zu sorgen, dass sich der IT-Administrator die Daten hierfür regelmäßig von den einzelnen Geräten holt, muss man den umgekehrten Weg gehen. Die Geräte sollen von sich aus die erforderlichen Daten liefern. Und ja, das ist möglich.
Die professionelle Lösung
Lange Rede, kurzer Sinn. In jedem Unternehmen, egal welcher Größe, kommt eine vernünftig geführte IT nicht um eine professionelle Inventarisierung und der daraus entstehenden IT-Dokumentation herum. Vor allem die erforderliche Aktualität der Inventardaten ist mit manuellen Methoden nicht durchführbar. Allein schon die Software- und Patch-Stände können sich nahezu täglich ändern. Eine Kontrolle wäre unmöglich.
Darum müssen diese Daten automatisiert und ohne weiteres Zutun erhoben werden. Und zwar auch von allen Standorten, die zu dem Unternehmen gehören. Nichts wäre schlimmer als wenn das Hauptunternehmen zwar sicher ist, sich aber ein Hacker über ein internes Netzwerk von einer Außenstelle Zugang verschafft hätte. Klingt gruselig, aber genauso passiert es.
Mit der professionellen IT-Dokumentationslösung Docusnap wird genau dies realisiert. Unabhängig vom personellen Aufwand wird automatisiert und in regelmäßigen, frei definierbaren Abständen das gesamte Netzwerk katalogisiert und mit Versionshistorie in einer zentralen Datenbank gespeichert.
Das ist schon die halbe Miete, denn nicht nur die Hardware wird registriert, sondern auch sämtliche Software, die auf den Geräten installiert wurde. Inklusive der aktuell installierten Versions- und Patch-Stände.
Ebenso werden die Berechtigungen aus den Windows-Domänenstrukturen abgefragt und hinterlegt. Damit steht eine lückenlose Aufzeichnung mit den aktuellsten Daten zu jeder Zeit bereit.
Nicht nur Daten halten, sondern auch abfragen
Die Daten an einem zentralen Sammelpunkt aufzubewahren, bringt aber nicht viel, wenn diese nicht akkurat ausgewertet werden können.
Und hier sind wir beim nächsten, extrem wichtigen und umfangreichen Teil einer professionellen Lösung.
Mit Docusnap steht eine große Anzahl von individuell anpassbaren Berichten und Abfragen zur Verfügung, mit denen sich genau der detaillierte Überblick verschaffen lässt, den man für ein optimal abgesichertes Netzwerk benötigt.
Von Berichten über den aktuellen IT-Bestand, über die hinterlegten Lizenzierungen, der Suche nach bestimmten Softwareständen, der Übersicht über die Aktualität der Virenscanner und, und, und.
Noch dazu sind die Berichte editierbar und können so auf die individuellen Bedürfnisse angepasst werden.
Und womit werden am besten ganze IT-Netzwerke dargestellt? Richtig, mit einem grafischen Netzwerkplan. Ältere Administratoren denken jetzt wohl genau wie ich noch an die Zeiten von Visio und die von Hand gezeichneten Netzwerkpläne. Ja, der Blog heute ist einfach gruselig, ich weiß.
Netzwerkpläne, Topologiepläne, Benutzerrechte in einer grafischen Übersicht und noch mehr sind ebenfalls bereits Bestandteil von Docusnap und lassen sich in Sekundenschnelle abrufen.
Docusnap als Bestandteil von Zertifizierungen
Die Basics haben wir also geklärt. Umfangreiche Informationen über alle Aspekte des IT-Netzwerkes. Geht da noch mehr?
Selbstverständlich, denn es waren bis hierher erstmal nur die Basics.
Docusnap selbst ist die Basis für viele Zertifizierungen wie zum Beispiel die ISO 27001 (mehr dazu in unserem Blogbeitrag zur ISO27xxx und Docusnap). Oder für kritische Einrichtungen. Oder eben für alle, die auch eine regelmäßige Berichterstattung an Vorgesetzte oder Andere durchführen müssen.
Denn auch hier glänzt Docusnap mit einer Reihe von Optionen, mit denen sich automatisch generierte Berichte an die zuständigen Stellen weiterleiten lassen. Ohne Gefahr, dass ein Termin vergessen oder durch eine Abwesenheit ausfallen müsste.
Richtig beginnen und professionell agieren
Mit Docusnap wird auf eine breite Basis nicht nur für die IT-Sicherheit gesetzt. Die Möglichkeiten für die gesamte IT und deren Organisierung sind sehr umfangreich. Welche Möglichkeiten sich damit für ein Unternehmen auftun, beschreiben wir regelmäßig in unseren Blogbeiträgen, in unseren How-To-Videos und Tutorials und betreiben natürlich auch ein professionelles Forum, wo sich die Docusnap-Community untereinander austauscht.
Mit dazu gehört natürlich ein professioneller Support, der alle Fragen zu Docusnap und dessen Einsatzgebiet bis ins Detail klären kann.
Neugierig geworden?
Ohne einen Haken, ohne ein verstecktes Abonnement. Im Gegenteil. Damit Sie optimal von Docusnap bereits in der Testphase profitieren können, steht Ihnen auch in der kostenlosen Testphase unser Experten-Team im Support zur Verfügung. Telefonisch oder per E-Mail. Und auch der ist für Sie in der Testphase kostenlos enthalten.
Also, worauf warten Sie noch? Machen Sie sich mit Docusnap vertraut und heben ihre IT-Abteilung und die IT-Dokumentation auf ein neues, hochprofessionelles Level.