Einbrechen, Datenklau, Server löschen? Nichts ist unmöglich.
Vom Informatiker zum Berufs-Hacker: Andreas Heideck, Gründer von „Impossible Security“, treibt die Neugier an: Schafft er es wieder, unerkannt in ein Unternehmen einzudringen? Die Antwort lautet: ja. Unser Top-Speaker beim LWsystems Professional Day gewährt einen Blick hinter die Kulissen seiner spannenden Arbeit …
Herr Heideck, Ihr Business ist der professionelle Einbruch: Was steckt dahinter?
„Mein Hauptfokus liegt darauf, physisch in Bereiche eines Unternehmens einzudringen, in die ich als Fremder keinen Zutritt haben sollte – wobei ich auch digitale Methoden nutze. So decke ich auf, wo die Schwachstellen und Eintrittstore für Hacker liegen. Beim Physical Assessment Test könnte meine Mission lauten: Kann ich bis in den Serverraum vordringen? Komme ich an den Rechner eines Mitarbeiters ran? Gelingt es mir, ins Büro des CEOs zu spazieren? Oder sogar sein Notebook zu stehlen?“
Wer bucht Ihre Angriffe?
„Energieversorger, Rechenzentren, Banken, Automobilhersteller: Vom Kleinstunternehmen bis zum namenhaften Weltkonzern bin ich schon überall eingebrochen. Es ist immer wieder überraschend, wo man sich überall Zutritt verschaffen kann.“
Was sind Ihrer Erfahrung nach die größten Einfallstore für Kriminelle?
„Digital wie vor Ort ist die größte Sicherheitslücke der Mensch. Mitarbeiter fallen auf meine gefälschten Firmen-E-Mails rein, lassen sich am Telefon mit Social Engineering manipulieren oder im Unternehmen abwimmeln. Klassische Orte, über die man am einfachsten ins Gebäude kommt, sind Neben- und Lieferanteneingänge, Tiefgaragen oder Türen, vor denen Mitarbeiter Pause machen und rauchen.“
Klingt spannend! Plaudern Sie doch mal aus dem Nähkästchen …
„Ein Auftrag eines Unternehmens aus der Finanzbranche lautete: Dringe in ein hochgesichertes Gebäude mit Vereinzelungsschleuse ein. Die Vereinzelungsschleuse war keine Option. Die Wache hätte sehr naiv sein müssen, um mich mit der Ausrede ´Ich habe meinen Ausweis vergessen`, dort durchzulassen. Also habe ich eine andere Schwachstelle gefunden. Der Angriff war erfolgreich, ich hatte es in das Gebäude geschafft. Anschließend wurde diese Schwachstelle ausgemerzt. Dann hieß es: Versuch noch einmal in das Gebäude hineinzukommen.“
Hoffentlich ist Ihnen das kein zweites Mal gelungen?
„Doch. An dem Tag des nächsten Eindringens war zufälligerweise ein Kamerateam vor Ort. Mein Kollege und ich haben uns der Gruppe angeschlossen und so getan, als würden wir zu ihnen gehören. So konnten wir die Vereinzelungsschleuse umgehen und wurden mit dem Kamerateam ins Haus gelassen.“
Das klingt wie im Krimi …
„Definitiv … In dem Gebäude selbst mussten wir rund zwei Stunden suchen, bis wir das hausinterne Rechenzentrum fanden. Wir hatten vorab keinen Lageplan vom Kunden bekommen. Die Tür war wegen Bauarbeiten nur angelehnt. Mein Kollege wurde von Mitarbeitern, die dort die Anmeldung machten, angesprochen. Er ist nicht aufgeflogen, weil er eine Ausrede hatte, wurde aber aus dem Bereich hinausbegleitet. Mich hatten die Mitarbeiter nicht gesehen, da ich vorausgegangen war und sie in ein Gespräch vertieft waren. Daher konnte ich ins Rechenzentrum spazieren.“
Welche Folgen hätten Ihre Erfolge, wenn Sie kriminell wären?
„Sobald man in einem Unternehmen drin ist, gehen die meisten Mitarbeiter davon aus, dass man autorisiert ist. Das heißt oft: Ich habe freie Hand. Vom Abschalten eines Energieversorgers bis zum Infiltrieren des Firmennetzwerkes über eine Netzwerkdose im Meetingraum ist dann Vieles möglich.“
Beim LWsystems Professional Day werden Sie noch tiefere Einblicke in Ihre Arbeit geben. Ist es so einfach, in Unternehmen einzudringen?
„Das Wichtigste ist die Vorbereitung! Ich gehe nie in eine Firma, ohne eine glaubhafte Geschichte oder logische Ausreden parat zu haben. Dafür recherchiere ich im Internet und im Darknet. Häufig ist mein Mitarbeiterausweis gefälscht, ich habe eine ähnliche Kleidung wie der Lieferant an undsoweiter. Allerdings stehen mir für diese Vorbereitungen nur rund ein bis zwei Wochen Zeit für Verfügung oder nur wenige Tage. Richtige Angreifer dagegen haben Monate oder Jahre.“
Kleinere Unternehmen denken häufig, dass es nur die Großen trifft. Aktuelle Studien widerlegen dies. Wie ist Ihre Wahrnehmung?
„Das kenne ich auch aus der Praxis. Es herrscht das Vorurteil: Wir sind eine Klitsche mit 20 Mann, was soll es hier zu holen geben? Meine Antwort darauf: ´Also haben Sie kein Problem damit, wenn Sie mir Ihre Daten geben oder ich Ihre Server lösche?` Theoretisch ist nahezu jeder für einen Hacker interessant. Es ist ein bekanntes Vorgehen, dass Angreifer gezielt Lieferanten oder kleinere Unternehmen hacken, um diese als Sprungbrett für Angriffe auf größere Firmen zu nutzen.
Endlich unabhängig werden
WEITERE NACHRICHTEN
NEWSLETTER
Melden Sie sich für unseren informativen Newsletter an.
Jeden 1. Donnerstag im Monat informieren wir Sie über spannende Themen aus der IT-Welt.
