Tobias Ospelt (29) arbeitet bei der modzero AG als Sicherheitsberater und Security-Tester.
Ich teste Software und Hardware für Unternehmen: Zuerst sammle ich Informationen zum Produkt und lese mich ins Thema ein. Nach der Recherche suche ich nach Schwachstellen und Risiken, die beim Designen des Produktes nicht bedacht wurden. Ausserdem führe ich unzählige Tests durch und beobachte, wie das System auf meine Inputs und Befehle reagiert. Im nächsten Schritt möchte ich dann herausfinden, welche Gründe es für Auffälligkeiten geben könnte, wo die Schwachstellen liegen und wie diese ausnutzbar sein können.
In der Regel wird nachgebessert, um die Sicherheitslücken im Programm zu schliessen. IT-Systeme sind üblicherweise sehr modular aufgebaut, wodurch man fehlerhafte Teile meistens ersetzen kann. Wenn wir grobe Designfehler bei der Entwicklung einer Applikation entdecken, entschliessen sich Kunden manchmal dazu, das Programm nochmals neu aufzubauen.
Die Angreifer senden Befehle an die Webseite und beobachten, wie sie reagiert. Dieser Prozess dauert in der Regel nicht Minuten, sondern eher Tage. Die Befehle der Angreifer können Fehlermeldungen generieren und geben unter anderem Auskunft darüber, wo die Anfragen beantwortet werden und welche Software verwendet wird. Die Hacker analysieren also das Verhalten der Website. In gewissen Fällen schaffen es die Hacker beispielsweise, spezifische Zeichenketten zu senden, wodurch sie einen Datenbankfehler als Antwort erhalten. In diesen Fällen wissen die Angreifer, dass es die Eingaben ungefiltert bis zur Datenbank des Systems geschafft haben und sozusagen mit dem Herzstück des Systems kommunizieren. Wenn die Hacker schliesslich auf die Datenbank angepasste Kommandos senden und diese ausgeführt werden, ist das System geknackt. In diesen Fällen erhalten die Angreifer auf ihre Anfragen die gewünschten Daten angezeigt – und keine Fehlermeldung. Die Konsequenz dieses Fehlers kann im schlimmsten Fall sein, dass die Daten aller Benutzer ausgelesen oder manipuliert werden können.
Oft stehen bei Angriffen die finanziellen Interessen im Vordergrund. Die Angreifer wollen an Geld gelangen – von wem oder wie ist zweitrangig. Es sind deshalb sowohl Privatpersonen als auch Unternehmen gefährdet. Ein Beleg dafür ist die Malware «Locky», die seit mehreren Monaten im Umlauf ist. Die Malware verschlüsselt die Daten – wie Textdateien – auf dem Computer des Opfers. Erst wenn man dem Erpresser ein Lösegeld bezahlt, erhält man den Schlüssel, um die Daten wieder freizugeben. Es ist deshalb sehr wichtig, dass man das Thema Sicherheit im Unternehmen und privat ernst nimmt.
Eine gute Liste findet man zum Beispiel beim Bundesamt für Sicherheit in der Informationstechnik BSI. Allgemein gilt: Man sollte das Bewusstsein für legitime und nicht legitime Inhalte stärken, keine unbekannten Programme ausführen, regelmässige Software-Updates durchführen und Adblocker verwenden. Insbesondere bei Unternehmen kommen zahlreiche weitere Aspekte hinzu. Hier kümmert sich die IT-Abteilung um die technischen Belange.
Das «Internet of Things» wird sicher eine grosse Herausforderung darstellen. Gemeint sind Geräte, die ans Internet angeschlossen sind, jedoch oft über wenig Leistung verfügen. Man spricht bei diesen Geräten von «Embedded Devices». Um diese Geräte sicher zu entwickeln, muss viel Arbeit investiert werden. Zudem ist spezifisches Know-how nötig. Ob dies bei einem Hersteller vorhanden ist, der beispielsweise 20 Jahre Kühlschränke gebaut hat, ist fragwürdig. Oftmals ist auch die Zeit bis zur Markteinführung zu knapp berechnet, weshalb die Geräte voller Fehler sind und unzählige Angriffsflächen bieten. Häufig steht nicht einmal ein Update-Mechanismus zur Verfügung, wodurch keine wichtigen Software-Updates gemacht werden können, falls ein Fehler im Produkt identifiziert wurde.
Zu Beginn lernt man viel aus Büchern. Heute helfen mir aber meist Informationen aus dem Internet weiter – vom Whitepaper von Universitäten bis zum Blogpost, der auf aktuelle Angriffe eingeht. Zudem gibt es einen regen Austausch zwischen den Security-Testern und spezielle Security-Konferenzen mit Vorträgen zu aktuellen Themen.