Diesen Beitrag per E-Mail versenden
|
Diesen Beitrag ausdrucken
|
|
|
Rubrik Dienstleistungen/Sicherheitsplanung IBM: Security
Consultants suchen die Schwachstellen in Unternehmen Kombination von Ethical Hacking und Social
Engineering (23.01.03) - Peter Klee erschwindelt sich Passwörter. Carsten Lorenz mogelt sich in Rechenzentren hinein. Christian Emmerich knackt Firmennetzwerke. Wenn sie erfolgreich sind, stehen sie vor Schränken mit wichtigen Kundendaten, können sensible Unternehmensdaten per Mausklick kopieren oder haben den Finger am Schalter, um die gesamte Infrastruktur lahm zu legen. Doch sie tun es nicht. Sie sind IT-Security Consultants bei IBM Global Services, dem Dienstleistungsbereich des weltgrößten IT-Dienstleisters. Ihr Auftrag: Das Unternehmen des Kunden auf Herz und Nieren auf Schwachstellen prüfen und anhand der Ergebnisse passende Sicherheitslösungen zu entwickeln. Angriff im BlaumannDie Angriffsmethoden erfüllen jedes Klischee. Im so genannten War-Dialing suchen die Sicherheitsberater nach privaten Modems bei Mitarbeitern, über die sie sich Zugang in Firmennetze verschaffen. Die Berater geben sich als IT-Security aus und bitten Mitarbeiter um die Herausgabe ihrer Passwörter – angeblich, um ein Problem zu beheben. "In etwa zwei Dritteln der Fälle klappt so etwas", schildert Peter Klee, IT Security Consultant, seine Erfahrungen. "Die Hälfte davon bemerkt hinter her aber sofort, dass sie das Passwort nicht hätten sagen dürfen." Oft durchwühlt das Security-Team den Papiermüll nach verwertbaren Informationen – Dumpster Diving heißt das im Fachjargon. "Das ist ein hoch seriöser Job", sagt Carsten Lorenz, IT Security Consultant. "Ich habe einen Blick für Unsicherheiten. Selbst in der Disco suche ich danach, wie man umsonst hineinkommen könnte." Sicheres Auftreten, Hemmungen fallen lassen und Rollen spielen - das seien Schlüsselqualifikationen. Darum schlüpft Lorenz für seine Arbeit auch schon mal in den Blaumann und marschiert überzeugten Schrittes mit Werkzeug am Pförtner vorbei - zur angeblichen Reparatur im Rechenzentrum des Kunden. Die Ergebnisse präsentiert das Team als Analyse dem Auftraggeber. Die Mitarbeiter werden sofort nach geglückter Attacke über die Sicherheitslücken aufgeklärt. "Niemand wird im verunsicherten Zustand zurückgelassen." Am erfolgreichsten sind die IBM Security Consultants, wenn sie technische Angriffe – also Hacking – mit nicht-technischen Angriffen, dem so genannten Social-Engineering, kombinieren. Kreativität ist dabei so wichtig wie Technologie. "Die Kollegen lachen, wenn wir mit unserer Kiste aus dem Büro gehen", erzählt Klee von seiner Arbeit. Eine schwere Kiste erleichtert das Eindringen in Firmengebäude. Man hat die Hände voll und setzt darauf, dass ein Mitarbeiter die Tür aufhält. Nur nach dem Inhalt sollte niemand fragen. "IBM-Handbücher", verrät Kollege Lorenz. Die Ergebnisse der Sicherheitsberater schrecken so manchen Geschäftsführer auf. So hatte ein weltweit agierendes Unternehmen beispielsweise ein Firewall-System eingeführt und danach festgestellt, dass es nahezu täglich angegriffen worden war. Daraufhin arbeiteten die Sicherheitsberater mit dem Unternehmen erstmals eine Sicherheitspolitik aus. Solche Angriffe schaden direkt oder indirekt. Systemausfälle können Millionen kosten, die Vernichtung oder Veröffentlichung von geistigem Kapital, beispielsweise in der Biotechnik, kann noch teurer werden. "IT-Sicherheit ist immer ein Kompromiss", erläutert Emmerich die Vorgehensweise der Berater. Es beginnt mit Risikomanagement. Welche Werte gibt es und wie teuer wäre ihr Verlust? Darum versuchen es die IBM Berater sehr häufig zunächst mit bekannter Software. Die Wahrscheinlichkeit, dass ein Unternehmen auf diese Weise auch tatsächlich angegriffen wird, ist hier am höchsten. Doch auch wenn die Vollzeit-Hacker der IBM einmal nicht erfolgreich waren, kann sich der Kunde nicht zurücklehnen: "Nur weil wir keine Sicherheitslücken finden, heißt es nicht, dass das Unternehmen auch hundertprozentig sicher ist", sagt Christian Emmerich. (ma)
|