IT-Sicherheit im Alltag – Wie sich die eigene Wahrnehmung verändert

Fachbeitrag

Ist man länger im Bereich IT-Sicherheit beschäftigt, verändert sich auch die Wahrnehmung von Alltagssituationen. So werden Unternehmen, mit den ich im Alltag konfrontiert bin, von mir mental auf IT-Schwachstellen hin untersucht. Im folgenden Artikel möchte ich davon berichten, wie sich die eigene Wahrnehmung verändert hat.

Alltagssituation werden zum Audit

Der Alltag kann stressig sein. Es gibt aber auch Situation, in den man seinen Gedanken freien Lauf lassen kann und Zeit hat, sich in Ruhe umzuschauen, um den Blick schweifen zu lassen. So fällt der Blick in Läden, bei Ärzten oder auf Reisen schnell auf vorhandene Computer und deren (IT-)Sicherungsmaßnahmen. Dies kommt nicht von ungefähr. Komme ich zu neuen Kunden, prüfe ich bereits an der Eingangstür die physische Sicherheit. Gibt es hier Schwachstellen? Wird der Eingang kontrolliert? Können Betriebsfremde unbemerkt in das Gebäude eindringen?

Hätte man die Unternehmensräume (unbemerkt) betreten können, stellt sich die Frage, wo der erste Rechner steht, von dem ein Eindringen in die IT-Infrastruktur aus möglich wäre. Ein physischer Penetration Test.

Ein paar persönliche Beispiele

Wie dies konkret aussieht, zeige ich anhand von drei Beispielen. Zwei von drei haben dieses Jahr stattgefunden und lassen also auf den aktuellen Stand im Umgang mit Informationssicherheit schließen.

Neulich beim Arzt

Wer kennt es nicht: Nach einer Stunde im Warteraum darf man noch 30 Minuten im Behandlungszimmer auf den Arzt warten. That‘s life! Jedoch müssen diese 30 Minuten keine verschenke Zeit sein. Das Kurzaudit beginnt.

In meinem Zimmer befindet sich ein Desktop-Rechner, ein Laptop und ein großes Gerät zur Aufnahme von Bildern von Patienten. Was bei diesem Gerät direkt auffällt: es ist eine Nikon Spiegelreflexkamera angeschlossen. Ohne genauere Prüfung gehen wir mal davon aus, dass sich die SD-Karte mit den Bildern noch in der Kamera befindet. Diese zu entwenden, wäre in meiner Situation ein Leichtes gewesen.

Moment, hier unterstellen wir ja nur ein Fehlverhalten! Ja stimmt, aber in Anbetracht der Tatsache, dass die Kamera direkt an einen Monitor angeschlossen ist und somit direkt auf die Fotos zugegriffen werden kann, ist es nicht notwendig zur Sichtung der Aufnahmen die Karte zu entfernen. Mal ehrlich, wer sortiert im Laufe des Arbeitstages nach jedem Patienten die Daten aus? Aufgrund der Auslastung der Praxis scheint mit mir das nicht besonders realistisch.

Weiter geht’s: Am Desktop-Rechner hängt ein USB-Dongle. Anscheinend sind die Ports nicht gesperrt und der Rechner ist verführerisch mit der Rückseite zum Patienten hingedreht. Dem Angreifer stehen Tür und Tor für einen Bad-USB-Angriff offen. Weiterhin war der Rechner auch nicht gesperrt. Möglicherweise ist somit auch ein Zugriff auf Patientendaten möglich. Ich habe es auch an dieser Stelle lieber bei einem Schreibtischaudit belassen.

Zuletzt der Laptop. Dieser war ausgeschaltet oder zumindest im Standby. Das Gerät zeichnet sich besonders durch seine schlanke Bauweise aus, was jedoch dazu führt, dass kein physikalischer Netzwerkanschluss mehr vorhanden war. Dieser scheint aber für den Betrieb in der Praxis notwendig, denn an einem USB-Port hang ein sehr klobiger USB-Netzwerk-Adapter. Wie leicht es wäre diesen gegen ein Modell auszuwechseln, welcher den gesamten Netzwerkverkehr als Man-in-the-Middle zum Angreifer sendet. Dieser ist ca. genauso groß und schlicht schwarz. Ein Austausch würde vermutlich so schnell nicht auffallen. Ich verzichte aber an dieser Stelle bewusst auf eine Verlinkung zum Produkt. Da der Laptop sich wahrscheinlich nur in der Praxis aufhält und wenig herumgetragen wird, wäre ein etwas „dickeres“ Modell mit passenden Anschlüssen sinnvoller gewesen. Aber der Laptop ist halt flach, klein und echt schick, was soll man da machen.

Der Blick auf den PC statt aufs neue Sofa

Letztens war ich in einem großen Möbelhaus in Norddeutschland. Dies hatte sich zuletzt fusioniert und ihr Angebot und die Ausstellung erneuert. Leider galt dies offenbar nicht für die Ausrichtung der IT-Sicherheit.

Wie ich bereits zuvor beobachtet hatte, waren auch hier wieder Rechner ungeschützt über die Ausstellungsfläche verteilt in Betrieb. Das ergibt ja auch funktionell Sinn, möchte ein Verkäufer mich schnell beraten, geht er an den nahe gelegensten PC und besorgt die notwendigen Informationen. Als Kunde muss ich nicht lange warten. Aber ist die Eingabe eines Passworts eine Wartezeit, die ich als Kunde nicht ertragen kann? Für mich persönlich nicht.

Aber gut, mein Interesse war geweckt. Gerade in Zeiten von Corona sind die Läden nicht überfüllt, sodass ich eine „ruhige Ecke“ in der Sofaabteiltung fand, in der ich mir ungestört den entsperrten Rechner mit gewisser Distanz anschauen konnte. Natürlich ohne Tastatur und Maus zu verwenden. Nur gucken, nicht anfassen. Ohne jetzt Details preisgeben zu wollen, sind sämtliche Programme, die in Gebrauch sind, sowie natürlich Software zum Schutz des Rechners, direkt auf dem Bildschirm einsehbar. Das wäre somit schon eine sehr gute Datenquelle, um einen möglichen Angriff vorzubereiten. Weiterhin bietet so ein Rechner natürlich einen idealen Startpunkt für einen Angriff. Höchstwahrscheinlich sind alle Rechner im Verkauf im selben Netzwerk, sodass es mit einer einzigen Schadsoftware sicher möglich wäre, den Verkaufsbetrieb in wenigen Minuten lahmzulegen. Je nachdem wie der Rechner konfiguriert ist, können auch Bordmittel reichen.

Der wirtschaftliche Schaden wäre, wenn zumindest an diesem Tag Möbel, Küchen und Ähnliches nicht mehr verkauft werden könnte, sicher nicht unerheblich. Zudem leidet der Ruf des Unternehmens. Möchte ich nochmal meine Küche planen mit dem Risiko, dass der Rechner des Verkäufers am Ende wieder ausfällt? Die Möglichkeiten, die ein entsperrter Rechner im Firmennetzwerk bietet, sind jedenfalls beträchtlich. Hätte ich ein Jackett dabei, würde mich vermutlich auch kein anderer Kunde ansprechen, würde ich an dem Rechner sitzen. Außer natürlich derjenige hat eine Frage. Aber das wäre kein Problem, ich würde es halten wie bei einem Elektromarkt, in welchem ich ab und zu bin: „Das ist nicht meine Abteilung“. Für weitere Beobachtungen war keine Zeit, meine Frau bat mich dann doch, mich bitte wieder auf die Sofas zu fokussieren. Schade!

Fluggastbrücke am Flughafen

2018 war ich in Kopenhagen. Auf dem Weg zu meinem Flugzeug kam ich an dem Steuerungscomputer in der Fluggastbrücke vorbei. Was könnte mich dabei vertrauensvoller begrüßen als der altbekannte Bildschirmschoner von Windows XP. Das machte mich an dieser Stelle und zu dem Zeitpunkt wirklich betroffen.

Auch unter der Prämisse, dass die Flughafenbrücke nicht mit anderem System im Flughafen vernetzt ist, schafft es für mich kein Gefühl von Sicherheit, beim Einsteigen in das Flugzeug. Einziger Trost: Offene USB-Ports konnte ich in den 20 Sekunden, die ich davorstand, nicht entdecken. Mehr Zeit hätte ich mir wahrscheinlich mit einer gelben Warnweste verschaffen können – das schafft Autorität.

Es muss kein ausgereifter Angriff sein

Jetzt stellt sich natürlich die Frage, welchen Nutzen ein Angreifer davon haben sollte. Diese Frage möchte ich meinem Zitat aus der Kinofilmreihe „Batman“ beantworten:

„Einige Menschen wollen die Welt einfach nur brennen sehen.“

Gerade sogenannten „Skriptkiddies“ geht es meist darum, Schaden zu verursachen ohne dadurch direkt einen wirtschaftlichen Vorteil zu erlangen. Das Know-how bei dieser Tätergruppe ist überschaubar. Heutzutage ist es aber sehr einfach an Schadsoftware wie Ransomware heranzukommen und dann „zum Spaß“ an anderen Rechnern auszuprobieren.

Insofern darf man sich gerade als kleines Unternehmen nicht in falscher Sicherheit wiegen, nicht Ziel eines Angriffs über einer der skizzierten Szenarien zu werden. Gelegenheit macht nicht nur Diebe, sondern auch Dummheiten. Besonders ärgerlich ist es, wenn nachdem der Schaden eingetreten ist hinterher herauskommt, dass dieser sehr einfach hätte vermieden werden können.

Manchmal sind es die Kleinigkeiten, auf die es ankommt

Gehen Sie deswegen besser ab und zu mit kritischem Auge durch ihren Betrieb und melden ggf. auch kleine Problem, die erstmal unscheinbar und wenig problematisch wirken. Gegebenenfalls sieht eine fachkundige Person ein noch deutlich größeres Risiko, als Sie bereits identifiziert haben. Es sind nicht selten die kleinen Dinge, die einen großen Einfluss auf die IT bzw. die Informationssicherheit haben. Insbesondere bei Unternehmen mit Publikumsverkehr sollten auch Kleinigkeiten ernstgenommen werden.

Gleiches gilt für vermeintlich betriebsfremde Personen. Vielleicht kennen Sie diese wirklich nur nicht und es wird eine für Sie peinliche Situation, wenn Sie diese ansprechen und fragen, was sie hier macht. Vielleicht läuft aber auch gerade wirklich jemand Unbekanntes ohne Begleitung und ohne Grund über das Betriebsgelände. Kleider machen keine Kollegen und zu oft lassen wir uns von vermeintlich autoritätsausstrahlenden Kleidern wie Anzügen täuschen. Das „Hacken“ des Menschen ist ein wichtiger Bestandteil von Angriffen auf die IT-Sicherheit, weshalb ein kritischer Geist zu jeder Zeit gefragt ist.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

3 Kommentare zu diesem Beitrag

  1. Das Arzt-Erlebnis kann ich mehrfach bestätigen. Dazu kommt, dass als Betriebssystem Windows 2000 oder Windows XP (im Windows 2000 look) verwendet wurde. Der Nach-Nach-Nachfolger Windows 7 wird schon nicht mehr mit Sicherheitspatches unterstützt…

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.