IT-Sicherheit: Zwischen Schwachstellen, Penetrationstest, Social Engineering, Red-Team-Assessment

Diese Frage gilt möchten Sie gerne durch eine entsprechende Sicherheitsüberprüfung beantworten. Führen wir – im übertragenen Sinne – also die unterschiedlichen Überprüfungen mal durch.

Schwachstellenscan

Als erstes machen wir einen externen Schwachstellenscan. Der ist am einfachsten und günstigsten. In unserer bildlichen Darstellung bedeutet das etwa:

• Wir kommen zu Ihrem Grundstück.
• Wir schauen, ob wir auf dem Gartenzaun einen Hersteller, eine Chargen-Nummer oder Ähnliches finden können.
• Haben wir etwas gefunden, dann prüfen wir in einschlägigen Datenbanken, ob es bekannte Fehler in der Konstruktion gibt.
• Als nächstes schauen wir auf das Garagentor, die Fensterrahmen, die Haustür u.s.w. – mit dem gleichen Ziel.
• Haben wir einen Fehler zu einem Produkt gefunden, dann haben wir einen Befund – der nicht immer tatsächlich stimmen muss.
• Damit nicht genug der Prüfungen: wir wissen auch, dass Häuser in der Regel stabil stehen sollten: Wir drücken einmal gegen die Hauswand.
• Ein weiteres Sicherheitsmerkmal: die Türen und Fenster. Auch hier drücken wir mal gegen und schauen, ob sie auf gehen.
• Schließlich schauen wir noch, ob der Weg vom Gartentor zum Haus sicher ist, also etwa vor unbefugten Einblicken geschützt.

Das Ergebnis: Sie sind sicher.

Pentest

Da Sie planen sich einen neuen, modernen und sau teuren 8k-Fernseher zu kaufen, kommt Ihnen der Schwachstellenscan etwas wenig vor. Machen wir zusätzlich noch einen Pentest mit etwas mehr Aufwand und technischer Tiefe:

• Wir kommen zu Ihrem Grundstück.
• Wir prüfen, ob wir das Schloss vom Gartentor öffnen können: Mit einem Lock-Pick-Set.
• Sind wir auf dem Gelände, fängt der Spaß erst richtig an.
  • Versuchen wir das Schloss der Tür zu knacken.
  • Prüfen wir ob Fenster offen stehen, über die wir Zugang zum Haus bekommen – oder ob sich das Fenster mit sanfter Gewallt öffnen lässt.
  • Eventuell ist die Garage ja nicht richtig zu. Schauen wir auch dort. Die Funkfernbedienung ist vielversprechend.
• Haben wir einen Weg gefunden, dann schauen wir weiter. Steht der 8k-Fernseher schon da? Schnell ein Foto machen für den Bericht: Hier gibt es nachweislich ein Security-Problem; Keine False-Positives.

Social Engineering

Das Türschloss ist stabil, die Fenster geschlossen und der Gartenzaun vom Feinsten. Suchen wir uns also „weiche Ziele“ fernab der Technik:

• Wir kommen zu Ihrem Grundstück.
• Mit einem Namensschild auf dem „Techniker“ steht, klingeln wir an Ihrer Tür.
• Wir versichern Ihnen, dass es einen Schaden an der zentralen Wasser-Hochdruckleitung der Stadt gab und wir dringend den Hausanschluss prüfen müssen.
• Nach ein paar weiteren überzeugenden Argumenten lassen Sie uns rein.
• Im Keller stellen wir fest, dass der Leitungsschaden Ihr Haus betroffen hat und wir zur Sicherheit alle Sanitäten Anlagen prüfen sollten.
• Während der kostenfreien Führung durch Ihr Haus sehen wir einige spannende High-Tech-Geräte und Schmuck.
• Während Sie auf unsere Bitte hin im Keller nachsehen, ob wir dort unseren Schraubenzieher liegen haben, schnappen wir was geht und sind weg.
• Anschließend listen wir Ihnen auf, was alles schief gelaufen ist und durch Training und Übung korrigiert werden könnte.

Red-Team-Assessment

Das war Ihnen eine Lehre! Ohne Termin kommt kein Techniker mehr ins Haus.
Also: Keine Schwachstellen in den verwendeten Komponenten, kein offenes Fenster und kein simples Türschloss. Zeit für Red-Teaming:

• Im Grundbuchamt erfahren wir Details zum Grundriss Ihres Hauses, dem Architekten und Bauträger.
• Wir nehmen Kontakt auf, um unter einem Vorwand die konkreten Innenmaße des Schornsteins in Erfahrung zu bringen – vllt. könnte man sich ja abseilen…
• Das würde ohnehin nur klappen, wenn Sie nicht da sind. Mit Hilfe Ihres Namens und Ihres Kennzeichens versuchen wir Ihre Facebook-, Xing- und Instagram-Accounts ausfindig zu machen – vllt. steht ja Urlaub an.
• Etwas niedergeschlagen weil dies nicht gelingt schnappen wir uns ein paar Dosen Energy-Drink und parken mit unserem Auto für die nächsten Tage in der Nähe Ihres Hauses – Aufklärungsarbeit.
• Am 2. Tag sehen wir, wie Ihre Nachbarin Ihr Haus betritt, um Mittags mit Ihrem neuen Wachhund spazieren zu gehen – die Dame hat einen Schlüssel.
• Wir untersuchen das Haus Ihrer Nachbarin. Ein ähnlich hohes Sicherheitsniveau – Wird nicht leicht rein zu kommen.
• Bei unserer Aufklärungsarbeit stellen wir fest, dass Ihre Nachbarin eine Putzfrau hat.
• Bei einem fröhlichen Bar-Besuch passen wir die Putzfrau Ihrer Nachbarin ab und machen ihr ein Angebot, was sie nicht ablehnen kann – Geld gegen Haustürschlüssel.
• Wenige Tage später bekommen wir von der Putzfrau die Schlüssel für unser Zielobjekt übergeben. Schnell fertigen wir mit etwas handwerklichem Geschick und Utensilien aus dem Bastelladen eine Kopie des Schlüssels an. Der Original-Schlüssel wird unbemerkt an seinen Ursprungsort zurück gelegt.
• Am nächsten Tag zur Mittagszeit, wenn Ihre Nachbarin mit dem Hund spazieren ist brechen wir mit dem kopierten Schlüssel ins Haus ein.
• Zunächst machen wir schnell ein paar Fotos – ohne sichtbare Spuren zu hinterlassen. Ein Bild vom Fernseher, ein Bild vom Terminkalender, …
• Eine sorgfältige Auswertung der Aufklärungsarbeiten ergab, dass die wertvollsten Gegenstände im Schlafzimmer sind und Sie in einer Woche zu einer Party inklusive Haustieren mit Ihren direkten Nachbarn im Restaurant am anderen Ende vom Ort eingeladen sind.
• Der perfekte Zeitpunkt…
• Die aufwändigen Vorarbeiten werden akribisch dokumentiert und Ihnen in einem umfassenden Termin im Detail vorgestellt.

Ist mein Haus nun sicher?!

Sie haben nachgebessert und Ihre Nachbarn ausgetauscht. Wenige Monate nach dem Ende der Assessments kommen Sie abends nach Hause. Ihr Haus ist leer. Der Angreifer kam:

• fuhr mit seinem Kleintransporter durch den Gartenzaun,
• schlug mit einem Vorschlaghammer die Fensterscheibe zur Küche ein,
• klaute die wertvollsten Gegenstände und
• verschwand, ehe ihn ein Nachbar entdeckt hat.