Politiker-Hack und wie wir daraus lernen können

Die Offenlegung vieler persönlicher Daten zahlreicher Politiker und Prominente hielt die Republik in Atem. Nüchtern betrachtet ist es ein Glücksfall zu sehen, wie offensichtlich ein einzelner Hacker sich solchen Datenreichtum aneignen konnte. Denn daraus können wir alle lernen.

Das Problem

Dabei stehen wir alle in der Verantwortung. Das Problem ist umfassender, als es das Verteilen der Daten offenbart. Verknüpfungen, Datenweitergabe und unvorsichtige Endbenutzer scheinen diesen Vorfall erst ermöglicht zu haben. Informationen sind komplex aber vielfältig. Endbenutzer und selbst Adminstratoren verlieren mehr und mehr den Überblick – die Folge: Daten und Ihre Verbreitung werden zu einem unübersichtlichen Wust. Das unbewusste Agieren wird zum Sündenfall, spätestens wenn Hacker die Möglichkeit nutzen, gewonnen Daten zu verbinden und zu veröffentlichen. Ein Klick hier, ein Klick da und das private Telefonbuch landet irgendwo in der Cloud. Über das Internet zugänglich, geschützt durch eine E-Mail-Adresse und ein Passwort. Werden diese Daten in einem Internetshop geknackt, beginnt das Dilemma. Der Angreifer hat Zugriff auf das Telefonbuch und weitere sensible Daten. Dabei ist dem Hacker nur bedingt die Verantwortung in die Schuhe zu schieben, denn die Kette die erst dazu führte, begann schon wesentlich früher.

  • der Benutzer, der seine Daten in die Cloud lädt und damit auch die Daten (hier im Telefonbuch gespeicherte Geburtstage und Telefonnummern) anderer offenbart
  • der Webshop, der über eine Sicherheitslücke verfügte
  • der Nutzer der ein zu unsicheres Passwort nutzte
  • der Nutzer der das gleiche Passwort auch anderswo nutzte

Und dabei ist dieses Angriffsmuster nur ein Mögliches von Vielen. Im Hintergrund steht vor dem Missbrauch von Daten eben immer der unsensible Umgang mit diesen.

Die Verantwortung

Viel zu häufig erleben wir in unserem Alltag als Penetration-Tester, dass von uns gemeldete Lücken ignoriert werden. Wenn Sie dann doch geschlossen werden erleben wir es in einer hohen Vielzahl, dass man das Problem klein redet. Anstatt eine Fehlerkultur zu etablieren, die das Auffinden von Lücken honoriert, hat sich die Kultur des Abwiegelns in den Köpfen der Verantwortlichen manifestiert. Hier ist ein Umdenken zwangsläufig erforderlich. Denn ob eine Lücke tatsächlich schon genutzt wurde, das Erkennen was damit für Risiken einhergehen, bedeutet eben auch, dass man diese Vorfälle nachhaltig prüft. Denn nur weil abgeflossene Daten nicht ( sofort irgendwo ) auftauchen, bedeutet dies nicht, dass Sie noch nicht Opfer einer Hackerattacke wurden.

Für Unternehmen ist es deshalb empfehlenswert, die IT nach Gesichtspunkten der ISO27001 auszurichten und so Prozesse zu schaffen, um Gefährdungen von vornherein in die Geschäftsprozesse einzubeziehen und zu minimieren. Wir beraten diesbezüglich im Hinblick auf die Informationssicherheit und das sowohl bei der Einführung und Umsetzung eines Informationssicherheitssystemes nach ISO 27001, als auch im Bezug auf den “kleinen Bruder” der ISIS12.

Prävention durch Penetration-Testing

Penetration-Testing ist der Gegenpart des “deskrutiven Hackens”. Wer regelmäßig Penetration Tests einführt, ermöglicht es, eventuelle Lücken im Voraus zu erkennen, diese zu schließen und so einem tatsächlichen Angriff zuvor zu kommen. Zahlreiche Unternehmen nutzen schon jetzt dieses Abklopfen der eigenen IT Infrastruktur um auch langfristig einen Verlust des Ansehens, sowie der Daten und Geschäftsinterna zu verhindern. Beauftragen Sie Penetration Tests, erwerben Sie sich Know How, welches Ihre IT aus dem Blickwinkel eines Angreifers betrachtet und Ihnen so die Möglichkeit gibt, Gefahrenpotentiale zu erkennen. HackerWerkstatt steht Ihnen dabei bundesweit für etwaige Penetration-Tests zur Verfügung.

Gehen Sie mit uns in die Zukunft. Verhindern Sie Angriffe, vermindern Sie das Risiko selbst Opfer erfolgreicher Hacker-Attacken zu werden.