„Da wo es weh tut“: Digitale Identitäten, know how und personenbezogene Datenbanken im Visier organisierter Cyberkrimineller
Dieses spannende Thema wurde von Herrn Dirk Beerhenke, Kriminalhauptkommissar a.D., vorgetragen. Herr Beerhenke hat fast zwei Jahrzehnte lang in der Kölner Cybercrime Präventions-Abteilung verbracht. Somit konnte er nicht nur theoretisches Wissen, sondern den Zuhörern auch wertvolle Praxiserfahrung mit an die Hand geben.
Themenschwerpunkte waren vor allem Hackerkampagnen und forensische Fallanalysen aus dem Bereich Informationssicherheit. Zum Verständnis wurde beispielsweise ein Cybervorfall aufgegriffen und kurz besprochen.
Bei dem geschilderten Fall konnte der Hacker sich Zugriff auf ein Netzwerk verschaffen und in dieses unbemerkt über einen längeren Zeitraum eindringen und unbefugt Daten einsehen. Dabei hat der Hacker zunächst keinen unmittelbaren, also direkten, Schaden angerichtet.
Das unbefugte Eindringen sowie die Einsicht in die Daten stellen jedoch nach wie vor eine Straftat dar. Aufgrund der Tatsache, dass hier der Angreifer nicht unmittelbar das System angreift, sondern sich lediglich unbemerkt im Netzwerk bewegt und Daten auf Servern ausliest, ist diese Art von Angriff nur sehr schwer ausfindig zu machen.
War es den Ermittlern gelungen den Angreifer ausfindig zu machen, so mussten Sie im Anschluss noch klären, ob Dieser Zugriff auf Daten hatte oder möglicherweise Daten kompromittiert bzw. manipuliert hat.
Die Video-Aufzeichnungen der Vorträge sind auf dem YouTube-Kanal der IHK NRW veröffentlicht. Die PDFs zu den Vorträgen sind HIER.
„Aktive Suche nach IT-Sicherheitslücken im Betrieb“
Bei diesem Vortrag hat der Redner Herr Björn Hering seinen Werdegang vom Systemadministrator eines Autohauses zum freiberuflichen Ethical Hacker erläutert.
Insbesondere hat er von einem aktuellen Fall bzw. Auftrag erzählt. Bei diesem Auftrag sollte sich Herr Hering Zugang zum Netzwerk eines Autohauses verschaffen. Nach einer kleinen Bestandsaufnahme vom Objekt ist er Herr Hering wie folgt vorgegangen.
Er hat sich zunächst einen Termin für einen Öl-Wechsel geben lassen für sein Auto. Bei der Ankunft im Autohause hat Herr Hering seinen Laptop mitgenommen und drauf bestanden, während des Öl-Wechsels in der Lobby des Autohauses einen Kaffee zu trinken und zu „arbeiten“. In Wirklichkeit hatte sich Herr Hering während seines Aufenthalts in der Lobby sich Zugang zum Netzwerk mittels eines sog. Brute-Force Angriffs verschafft. Um die Brute-Force- Attacke gezielt einsetzen zu können, hat Herr Hering eine Vorauswahl von Worten (Autohaus, Auto, Au-To etc.) getroffen, um die Effizienz zu erhöhen.
Herr Hering war aber noch nicht am Ende seines Ziels. Er wollte noch einen Schritt weitergehen und sich Administratoren rechte verschaffen. Dieser Schritt hat ihm letztlich uneingeschränkten Zugriff auf das System gewährt. Es ist erschreckend, mit welcher Leichtigkeit er diesen Zugriff bekam.
Zunächst ließ er mithilfe eines Programms alle Geräte vom lokalen WLAN-Netzwerk abmelden. Dies hatte zufolge, dass alle Geräte sich neu einwählen und den WLAN-Sicherheitsschlüssel neu eingeben mussten.
Im Anschluss konnte Herr Hering mittels eines Programms die eingegebenen Passwörter entschlüsseln und auslesen.
Die ausgelesenen Passwörter konnte er sodann für die Anmeldung nutzen und sich entsprechend Administratoren rechte verschaffen. Der Zugang zum System wurde ihm durch veraltete Firmware auf den Systemen zusätzlich erleichtert.
Die Video-Aufzeichnungen der Vorträge sind auf dem YouTube-Kanal der IHK NRW veröffentlicht. Die PDFs zu den Vorträgen sind HIER.
ANGRIFFSRADAR – MEIST GENUTZTE SCHWÄCHEN, SCHNITTSTELLEN UND EINFALLSTORE (ÜBERBLICK)
Der folgende Vortrag handelt die Themen Cyber-Angriffe, Schwächen, Schnittstellen und Einfallstore ab. Es wurde verständlich dargelegt, für welch kleines Geld man im Darknet Dienstleistungen erwerben kann, die einem ermöglichen Cyber-Angriffe durchzuführen.
Der Verkauf von solchen kriminellen Dienstleistungen wird im Fachjargon auch „Cybercrime as a Service“ kurz CAAS genannt. Heutzutage werden Angriffe auf unterschiedliche Weise auf Systeme durchgeführt. Phishing-Angriffe, Aufspielen von Schadsoftware im Web oder einfach die Verbreitung von Viren durch Hardware-Komponenten sind nur einige Beispiele davon.
Die Effektivität solcher Angriffe wurde im Vortrag durch einen Ransomware-Angriff näher erläutert.
Ein Ransomware-Angriff ist eine Attacke, bei dem alle Daten des Unternehmens vom Hacker verschlüsselt werden.
Nach der Verschlüsselung können die Daten nicht ohne weiteres entschlüsselt werden.
In der Regel verlangen die Kriminellen für die Entschlüsselung der Daten ein Lösegeld. Dieses Beispiel wurde deshalb erläutert, da momentan viele kleine aber auch mittelständische Unternehmen mit solchen Ransomware-Angriffen zu kämpfen haben. Damit die Angreifer unerkannt bleiben, „bauen“ Sie Zahlungsaufforderungen sowie Zahlungssysteme direkt als Anzeige zusammen mit dem Angriff beim Opfer ein. Darüber hinaus bevorzugen die Angreifer sich in Kryptowährungen, insbesondere Bitcoins bezahlen zu lassen. Dies erschwert es den Ermittlungsbehörden zusätzlich, die Zahlungsströme zurückzuverfolgen.
Wird das Lösegeld nicht gezahlt, droht der Angreifer die Daten zu veröffentlichen oder zu löschen.
Unternehmen sollten jedoch bedenken, dass solche „Deals“ in den meisten Fällen von den Kriminellen nicht eingehalten werden. Vielmehr muss sogar damit gerechnet werden, dass die Angreifer weitere Geld einfordern werden bzw. erpressen.
Die Video-Aufzeichnungen der Vorträge sind auf dem YouTube-Kanal der IHK NRW veröffentlicht. Die PDFs zu den Vorträgen sind HIER.
Daten im Darknet
Das Darknet bietet aber nicht nur kriminelle Dienstleistungen, sondern beherbergt auch eine Fülle von Daten. Ein Standbetreiber auf der Messe stellte den Besuchern beispielsweise das Tool „Kaduu“ vor. Dieses Tool ermöglichte es einen Überblick über die veröffentlichten Daten im Darknet zu erhalten. Dabei konnten eine Reihe von Benutzernamen, E-Mail-Adressen sowie entsprechende bzw. dazugehörige Passwörter eingesehen werden. Durch die Eingabe einer Domäne auf „Kaduu“ erhält man in kürzester Zeit entsprechende Domänenbenutzer mit den dazugehörigen Anmeldedaten und sogar entsprechende Passwörter einsehen.
Die Besucher am Stand hatten sich zu diesem Zeitpunkt alle gefragt, wie die Daten ins Darknet gelangen konnten. Dies lässt sich relativ simpel erklären. Wie in den Beiträgen zuvor auch, haben sich Angreifer sich in die Systeme von entsprechenden Nutzern gehackt, unbemerkt Daten ausgelesen und diese anschließend im Darknet veröffentlicht bzw. zum Handel angeboten.
Die Video-Aufzeichnungen der Vorträge sind auf dem YouTube-Kanal der IHK NRW veröffentlicht. Die PDFs zu den Vorträgen sind HIER.
itsecuritycoach als Partner/Aussteller auf dem regionalen Kongress für IT-Sicherheit, von Niroshann A. George und Emre Akduman
