Was das Backup wert war, erweist sich, sobald man es versucht ganz oder teilweise wiederherzustellen. Spätestens dann macht sich die Wahl des richtigen Tools ... (mehr)

"Klar ist abgeschlossen"

Wohin will der Angreifer eigentlich?. Vielleicht möchte er in den Serverraum. Hier findet sich hoffentlich eine stabile Tür, die ihm den Zutritt doch deutlich erschwert. Und spätestens hier glauben viele, wird der Angreifer scheitern. Leider ist dies häufig falsch. Obwohl die meisten Verantwortlichen betonen, dass ihre Serverräume immer abgeschlossen sind, stellt sich bei Penetrationstests immer wieder heraus, dass die Türen nur zugezogen werden und daher schon mit einem einfachen Draht zu öffnen sind.

Der zweite Fehler, dem ein Penetrationstester in der Praxis immer wieder begegnet, besteht darin, dass vermutet wird, die Serverraumtüre würde sicherlich keinen Fluchttürmechanismus beinhalten. Schließlich betreten hier ja nur wenige speziell geschulte Personen den Raum. Dies stimmt aber nur so lange, wie keine Feuerlöschanlange installiert ist. Spätestens mit der Installation einer Gaslöschanlage wird oft auch ein Fluchttürmechanismus eingebaut, sodass auch hier die Türklinkenangel gute Dienste leistet.

Warum geht man aber überhaupt davon aus, dass ein Angreifer den Serverraum betreten möchte? Gerade, wenn er unbemerkt und ohne Beschädigungen zu hinterlassen im Gebäude unterwegs ist, ist es für ihn oft sinnvoller, die Arbeitsplätze aufzusuchen. Mit Insiderkenntnissen oder auch durch einfachste Hinweise wie Türschilder sind lohnende Arbeitsplätze schnell gefunden. Oft liegen dann sensible Unterlagen herum, die nicht eingeschlossen wurden, oder das allseits bekannte Post-It mit dem Passwort. Doch selbst wenn nicht, kann ein Keylogger installiert werden, der alle Tastaturanschläge aufzeichnet.

Solche Keylogger gibt es in Gestalt kleiner Adapter, die sich einfach zwischen Tastatur und PC stecken lassen (Abbildung 4). Sie sind für Virenscanner nicht entdeckbar und selbst für erfahrene Anwender kaum von normaler IT-Hardware zu unterscheiden. Wer kontrolliert schon täglich unter seinem Schreibtisch die Anschlüsse an der Rückseite des PCs und würde einen solchen Keylogger erkennen? Im Rahmen eines zweiten "Besuchs" kann der Angreifer sich dann normalerweise bequem am betroffenen PC anmelden und von dort auch auf die Server zugreifen. Die Passwörter kennt der Keylogger, sofern der reguläre Benutzer sie in der Zwischenzeit verwendet hat.

Abbildung 4: In diesem kleinen, unscheinbaren Gehäuse steckt ein Keylogger, der alle Tastaturanschläge aufzeichnet und so später die Passwörter verrät.

Darüber hinaus ist es wichtig, die Sicherheitsmaßnahmen nicht nur auf den direkten Arbeitsort zu beschränken. Wichtige Unterlagen und Laptops befinden sich heute zwangsweise nicht mehr nur in den eigenen Räumen, sondern etwa auch in Hotels. Dort existieren genau die gleichen Probleme, so sind fast alle Zimmertüren in Hotels mit einem Fluchttürmechanismus ausgestattet.

Bereits mit den bis hierher vorgestellten Methoden kommt ein Angreifer in der Praxis relativ weit in einem Gebäude. Ein Angreifer braucht nur den Fluchtwegen rückwärts zu folgen. Besonders kritisch ist, dass ein Abfluss von Daten so meist gar nicht auffällt. Ähnlich wie bei rein digitalen Angriffen bleiben keine offensichtlichen Spuren zurück. Und genau das macht die zerstörungsfreien Öffnungsmöglichkeiten gefährlich.

Gegenmaßnahmen

Wie kann man sich schützen? Während man für einzelne Türen im Rahmen einer Brandschutzbegehung vielleicht sogar den Fluchttürmechanismus entfernen darf, ist dies in der Regel natürlich nicht möglich. Wird eine Türe im Alltag gar nicht genutzt, wie zum Beispiel Fluchttüren, die ins Freie führen, hilft eine akustische Alarmierung, ähnlich wie es heute jedes Kaufhaus macht. Wichtig ist natürlich, dass die Mitarbeiter auch geschult sind, einem Alarm direkt nachzugehen. Denn wenn er nicht auf eine Gefahrenmeldeanlage aufgeschaltet ist, bringt ein Dauerton alleine nichts. Ist das Gebäude zu bestimmten Zeiten nicht besetzt, so hilft nur eine Gefahrenmeldeanlage mit Alarmverfolgung. Hierdurch wird der Einbruch zwar auch nicht abgewehrt, aber er wird zunächst einmal überhaupt bemerkt und außerdem beschränken sich die Möglichkeiten des Angreifers massiv, wenn so nur wenig Zeit bis zum Eintreffen des Wachdienstes oder auch der Polizei bleibt.

Gibt es eine Alarmverfolgung, sollte man sie regelmäßig testen. Es ist erstaunlich, welche Fehler selbst professionellen, VDS-zertifizierten Dienstleistern unterlaufen. So wurde einer der Penetrationstester aus der Firma des Autors einmal auf dem Betriebsgelände vom Wachdienst überrascht. Da aber am nächsten Morgen keine Einbruchsspuren und auch keine gestohlenen Gegenstände aufgefallen sind, wurde der Vorfall dem Kunden überhaupt nicht mitgeteilt. Auch wenn Personen den Mitarbeitern innerhalb des Gebäudes auffallen, ist es schwierig, richtig zu reagieren. Denn der Angreifer kann sich vorher eine genaue Legende für diesen Fall zurechtlegen, der Mitarbeiter hingegen kommt unerwartet in die Situation.

Wird der Eindringling angesprochen, hat sich beispielsweise eine Antwort wie die folgende bewährt: "Schön, dass Sie mich ansprechen. Wir testen hier gerade im Auftrag der Geschäftsführung, ob unbekannte Personen im Gebäude auffallen und angesprochen werden. Kann ich mir Ihren Namen notieren, damit ich Sie im Bericht lobend erwähnen kann? Und bitte bewahren Sie über den Test Stillschweigen, damit wir weiter testen können."

Klassisches Social-Engineering: Zumindest im Rahmen von Penetrationstests wird nicht einmal gelogen. Lügen fällt den meisten Personen von Natur aus schwer und könnte daher zu Misstrauen führen. Weiterhin wird dem Mitarbeiter ein Vorteil für die Kooperation in Aussicht gestellt und zu guter Letzt auch noch Druck aufgebaut. Eine Nicht-Kooperation würde nämlich zu einem Problem führen: Der im Auftrag der Geschäftsführung durchgeführte Test müsste dann abgebrochen werden.

Dieses einfache Beispiel zeigt anschaulich, wie wichtig es ist, Mitarbeiter genau darin zu schulen, wie sie sich in solchen Situationen verhalten sollen und dürfen. Gerade durch den Einsatz von Gefahrenmeldeanlagen finden viele Angriffe zu Geschäftszeiten statt.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022