Die rapid ansteigende Zahl an Cyber-Attacken führt dazu, dass mittlerweile immer mehr kleine und mittlere Unternehmen ebenfalls zahlreichen Angriffen ausgesetzt sind. Oftmals erfolgen hierbei große Angriffskampagnen vollautomatisiert, sodass im Endeffekt jeder betroffen sein kann. Angreifer hebeln hierzu häufig nicht die Verteidigungstechnik eines Unternehmens aus, sondern täuschen Menschen, um zum Beispiel in Netzwerke eindringen zu können. Dabei werden durch geschickte Manipulationen menschliche Schwächen ausgenutzt – daher wird dieser Angriffsbereich auch „Social Engineering“ oder Schwachstelle Mensch genannt. Oder von Angreifern werden bekannte Passwörter genutzt, die bei anderen Hacks bereits erbeutet wurden, um sich Zugang zu Systemen zu verschaffen. Der Schutz von sensiblen Unternehmensdaten und der IT-Infrastruktur hängt daher neben der technischen Ausstattung des Unternehmens vor allem auch von den personellen Kompetenzen der Mitarbeiter und dem vorhandenen Fachwissen ab.
Cyber Security Workshop
Der Cyber Security Workshop „IT-Sicherheit im Büroalltag” fand am 14.03.2022 von 10:00 bis 16:00 Uhr in Euskirchen statt. Den Fokus des Workshops legte ich nicht auf technische Lösungen, sondern erläuterte den Hintergrund von Cyber-Angriffen und das Vorgehen von Cyber-Kriminellen. Im Rahmen der praxisorientierten Veranstaltung mit Live-Vorführungen und kleinen Praxisübungen für die Teilnehmenden behandelte ich folgende Themen der IT-Sicherheit:
Cyber Security
Angreifer scannen mit Tools das gesamte Internet automatisiert nach angreifbaren Systemen. Dadurch können auch kleine Unternehmen betroffen sein, auch wenn diese nicht gezielt im Fokus der Angreifer stehen. In diesem Block zeigte ich Beispiele von einfach auffindbaren Systemen und suchte gemeinsam mit den Teilnehmenden nach erreichbaren Webcams, die aber nicht für die Öffentlichkeit bestimmt sind.
Social Engineering
Ein großer Teil aller Angriffe erfolgt, indem Menschen manipuliert werden und nicht wie häufig vermutet, mit raffinierten Schadcodes oder durch unbekannte Sicherheitslücken. Durch gewieft gemachte Phishing-Mails oder mit gefälschten Telefonanrufen werden Betroffene mit psychologischen Tricks zu Handlungen verleitet. Die Teilnehmenden durften selbst E-Mails fälschen und ich zeigte, wie einfach sich auch SMS manipulieren lassen.
Passwortsicherheit
Durch einfach zu erratende bzw. schnell zu knackende Passwörter oder bereits durch andere Hacks bekannte Passwörter können Angreifer leicht Systeme übernehmen. Eine starke und sichere Authentifizierung ist essenziell für den Schutz der eigenen Systeme. Die Teilnehmenden durften mit einer Hacking-Software Passwörter von PDF-Dateien knacken.
Hacking Hardware
Werden gezielte Angriffe durchgeführt, kommt bei lokalen Attacken häufig spezielle Hardware zum Einsatz. Damit können Tastatureingaben oder Bildschirminhalte ausgespäht werden oder ganze Rechnersysteme zerstört werden. Ich zeigte die am häufigsten eingesetzte Hacking Hardware, beschrieb konkrete Angriffsszenarien und stellte reale Vorfälle vor.