View
416
Download
2
Embed Size (px)
Citation preview
BIEG Hessen Börsenplatz 4 60313 Frankfurt
Tel.: 069 2197-1380 Fax: 069 2197-1497 [email protected] www.bieg-hessen.de
Träger des BIEG Hessen
Frankfurt am Main Fulda Hanau-Gelnhausen-Schlüchtern Offenbach am Main
gefördert durch das
B I E G Hessen
Die Zombies des Internets
Harmlos sehen sie aus, klein und unscheinbar. Doch so mancher USB-Stick hat
es in sich. Denn mit ihm lässt sich mühelos jede Firewall knacken. Das
Ausspionieren geheimer Firmendaten sei „kinderleicht“, erklärte Livehacker Mark
Semmler den Teilnehmern des Webweisers 6.0, Hessens größter E-Business-
Tagung, die dieses Jahr in Schloss Höchst stattfand. Seine Vorführung war
Abschluss und Höhepunkt des Tages. Die Zuhörer blieben wie gebannt, obwohl
der Experte für IT-Sicherheit seine Vorführung um zwei Stunden überzog.
„Zombies gibt es mittlerweile 3 Millionen“, erklärte Semmler. Die meisten seien sich
ihres Schicksals überhaupt nicht bewusst. Gemeint sind damit natürlich nicht die
Untoten des US-amerikanischen Filmklassikers „Night of the Living Dead“ aus dem
Jahre 1968. Nein, die Gefahr ist real. Es handelt sich um mit Schadsoftware, also Viren,
Würmern und Trojanern infizierte Rechner, sogenannte Zombie-PCs.
Wie von Geisterhand gesteuert fangen diese plötzlich an, Aktionen durchzuführen.
Beispielsweise werden Firmengeheimnisse ausgespäht, Massenmails verschickt,
Kundendaten verändert oder gar gestohlen und gelöscht. Wenn sie im Verbund
arbeiten, spricht man von sogenannten Bot-Netzen, erklärte Semmler während seiner
Live-Hacking-Show auf dem Webweiser. Am 12. September trafen sich rund 150
Entscheider aus mittelständischen Unternehmen zur sechsten Ausgabe des
Webweisers, um sich über Trends im E-Business zu informieren. Online-Marketing,
Recht und Sicherheit sowie die Optimierung von Geschäftsprozessen waren die
Themen des Tages.
Die Live-Hacking-Show am Ende der Tagung rief so manches Staunen bei den
Teilnehmern hervor. Zum Beispiel darüber, wie leicht ein PC zum Zombie wird. Man
braucht lediglich ein paar vorbereitete USB-Sticks, etwas Zeit und die Unwissenheit der
Mitarbeiter des Unternehmens, das man angreifen möchte. Auf dessen Gelände werden
BIEG Hessen Börsenplatz 4 60313 Frankfurt
Tel.: 069 2197-1380 Fax: 069 2197-1497 [email protected] www.bieg-hessen.de
Träger des BIEG Hessen
Frankfurt am Main Fulda Hanau-Gelnhausen-Schlüchtern Offenbach am Main
gefördert durch das
B I E G Hessen
einige Sticks einfach verteilt. Sobald ein Mitarbeiter dann seiner Neugier folgt und einen
gefundenen Stick in den USB-Port seines Rechners steckt, ist die Arbeit so gut wie
getan. Es öffnet sich, ausgelöst durch eine Datei namens autorun.inf, ein Auswahlmenü.
An dessen erster Stelle steht „Ordner öffnen und Dateien anzeigen“. Natürlich ist die
Meldung präpariert. Beim Anklicken installiert sich eine Schadsoftware, die nach ihrer
Ausführung die Spuren verschwinden lässt, indem sie die Inhalte des USB-Sticks löscht.
Voilà: Der Zugang zum Firmennetz steht – der Zombie ist zum Leben erwacht.
Doch es geht noch einfacher. Fast 80 W-LANs konnte Herr Semmler aufspüren: Zu
Fuss und innerhalb von 15 Minuten auf dem Weg vom Höchster Bahnhof zum Schloss.
Viele davon waren unverschlüsselt. Selbst für den Laien ist es ein leichtes, sich auf
diesen PCs einzuklinken und Daten auszuspionieren. Doch auch eine Verschlüsselung
bietet nicht immer Schutz. Viele PCs arbeiten noch mit dem Verschlüsselungs-Standard
WEP, der bereits seit 2001 löchriger ist als Schweizer Käse. Forschern der TU
Darmstadt ist es kürzlich gelungen, den Schlüssel in weniger als einer Minute zu
knacken. Das Knackprogramm „Aircrack“ kann jedermann kostenlos herunterladen.
Ähnlich ungeschützt sind viele Server von Firmen im Netz. Semmler konnte auf
Hunderte von Netzwerkrechnern zugreifen. Damit sind deren Daten verfügbar, und
schon die Namen mancher Netzwerkrechner verrieten, dass sie in einem Unternehmen,
einer Arztpraxis oder Anwaltskanzlei stehen. In manchen Fällen blieben selbst
Warnungen unbeachtet, die Semmler den Administratoren der Maschinen zugehen
liess.
Andererseits erheiterte der Fachmann die Zuhörer mit dem Ausruf: „Warum ‚ne Firewall
angreifen, das Gute liegt so nah“. Denn schon ein Blick in die Papiermüll-Container
mancher Unternehmen kann das eine oder andere Firmengeheimnis ans Tageslicht
bringen. Ob Bilanzen, personenbezogene Daten oder Rechnungen – Herr Semmler
konnte schon manche so aufgefundene Interna den verdutzten Firmenchefs vorlegen.
BIEG Hessen Börsenplatz 4 60313 Frankfurt
Tel.: 069 2197-1380 Fax: 069 2197-1497 [email protected] www.bieg-hessen.de
Träger des BIEG Hessen
Frankfurt am Main Fulda Hanau-Gelnhausen-Schlüchtern Offenbach am Main
gefördert durch das
B I E G Hessen
„Sicherheit braucht ein Konzept“, so Mark Semmlers Botschaft. Nach wie vor wird das
Thema stiefmütterlich behandelt. Viele sind der Meinung, Firewall und Virenscanner
böten ausreichend Schutz. So ist es eben nicht. IT-Sicherheit ist mehr als Technik.
Organisatorische und menschliche Faktoren spielen eine mindestens genauso wichtige
Rolle. Selbst Haftungsfragen sind betroffen (Straf- und Zivilrecht). Das Thema darf nicht
auf den Schultern einiger weniger Personen (den Administratoren) abgeladen werden.
Ausnahmslos jeder Mitarbeiter ist für die IT-Sicherheit im Rahmen seiner Möglichkeiten
verantwortlich. Dazu brauchen die Mitarbeiter Vorgaben, die sie akzeptieren und
respektieren. Diese müssen direkt von der Führungsebene kommen.
Daniel Weichert BIEG Hessen