Die Ethical Hacker von Radar Cyber Security werden von Kunden beauftragt, in Computersysteme oder Netzwerke einzudringen, um Sicherheitslücken sowie unzureichende Sicherheitsmaßnahmen zu finden, die ausgenutzt werden könnten. Dies geschieht, um potenzielle Bedrohungen für die Unternehmen zu reduzieren oder auch zu beseitigen. Ethische Hacker helfen, potenzielle Bedrohungen zu identifizieren, bevor diese von potenziellen Angreifern ausgenutzt werden. Wir sprachen mit einem unserer Experten, David Schwaiger, BSc., über Ethical Hacking, IoT, EU-DSGVO und Cybersicherheit.
Was macht ein Ethical Hacker?
Als White Hats oder Ethical Hacker stehen wir auf der Seite der Guten und helfen Firmen, ihre Sicherheit zu verbessern, indem wir wie reale Angreifer denken und arbeiten. Während der Arbeitszeit analysiere ich Applikationen und Systeme von Firmen auf Schwachstellen, Fehlkonfigurationen oder Logikfehler. Dazu werden diverse Tools, welche je nach Auftrag variieren, eingesetzt. Sobald man einen Fuß in der Tür hat, wird versucht, soweit wie möglich (und abgesprochen) in das jeweilige System vorzudringen, um interne Dokumente, Datenbanken, persönliche Informationen o. ä. zu finden. Nach Abschluss wird dem Auftraggeber ein vollständiger Bericht über das Assessment übermittelt. Privat suche und finde ich immer wieder gravierende Sicherheitslücken in diversen Applikationen und Webanwendungen, auf welche ich den jeweiligen Betreiber und Entwickler umgehend mittels „Responsible Disclosure“ aufmerksam mache.
Warum und wie hast du gelernt, wie man hackt?
Hacken hat mich seit der frühen Jugend begeistert. Aufgrund des Buchs „The Hacker’s Black Book“ versuchte ich, die darin geschilderten Hacks nachzumachen und mit diversen Programmen den Familiencomputer zu verseuchen. Während und neben meiner Ausbildung, zuerst an der Universität Salzburg und dann an der FH St. Pölten, habe ich mein Wissen durch viel Ethical Hacking erweitert. Seitdem habe ich privat und beruflich viel über Computer, Programme und Hardware gelernt. Das richtige Mindset spielt dabei eine wichtige Rolle. Dieses habe ich mir über Jahre hinweg erarbeitet. Hacken hat mich immer schon interessiert, weil es etwas ist, was nicht viele Menschen können und es keine „normale“ Arbeit ist. Ein guter Hacker zu sein ist sehr fordernd und es dauert lange, bis man soweit ist. Es ist die Herausforderung, Fehler zu finden und sich schnell an neue Umgebungen anpassen zu können. Diese und mehr Anforderungen sowie die ausgezeichnete Nachfrage nach Spezialisten wie mir machen diesen Job zu etwas Besonderem.
Was ist das Seltsamste, was dir bekannt ist, das je gehackt wurde?
Der Weg hinein ins System kann dank IoT recht ungewöhnlich sein. So wurde ein smartes Aquarium benutzt, um die Datenbank eines Casinos herunterzuladen. Das Gerät war online, um es über das Internet bedienen und überwachen zu können. Die Angreifer haben einige Gigabyte an Informationen aus der internen Datenbank heruntergeladen.
Welche Mittel werden am häufigsten für ethisches Hacking eingesetzt? Was ist dein Lieblingstool?
Es gibt eine Reihe von Standardtools. So benutzen viele einen dedizierten Vulnerability-Scanner wie Nessus, Nexpose o. ä. sowie einen Port Scanner wie nmap. Um Webapplikationen besser zu analysieren, werden Proxies verwendet. Das von mir am meisten geschätzte Tool ist der Proxy namens Burp Suite. Das Programm bietet alles an Funktionalität, um erfolgreich verschiedenste Aufträge durchzuführen. Oft reicht Burp aus, um Schwachstellen zu finden und auszunutzen. Falls nicht, können Ergebnisse exportiert und oftmals mit anderen Tools ausgenutzt werden.
Was würdest du Unternehmen empfehlen, um nicht Opfer eines Cyberangriffs zu werden?
Es ist sehr wichtig, alle seine Systeme (intern und extern) auf einem aktuellen Patchstand zu halten. Starke Passwörter, Zwei-Faktor-Authentifizierung und Sicherheitsempfehlungen der Hersteller sind die Basis dafür, dass die eigenen Umgebungen sicher laufen. Um sich vor Phishing-E-Mails zu schützen, helfen strenge Mail-Gateway-Regeln wie z.B. das Entfernen von allen Makros aus Office-Dateien. Was langfristig hilft ist, Mitarbeiter gründlich in Cybersecurity-Themen zu schulen. Um zu sehen, ob die getroffenen Maßnahmen Wirkung zeigen oder ob noch Löcher im Schutz vorhanden sind, sollten Unternehmen Penetration Tests und Social-Engineering-Attacken auf ihre Systeme und Mitarbeiter durchführen lassen. Pentests von Spezialisten, die wie echte Hacker agieren, sind die beste Überprüfung der eingesetzten Schutzmaßnahmen in einem kontrollierten Umfeld.
Wie schätzt du den Sicherheitsstatus europäischer Unternehmen bzw. den allgemeinen Cybersicherheitsstatus in der EU ein?
Europäische Unternehmen sind in Sachen Datenschutz mittlerweile besser aufgestellt. Die EU-DSGVO hat dafür gesorgt, dass sich Firmen bezüglich der Sicherheit ihrer Kundendaten stark verbessert haben. Generell sind Systeme, Webauftritte und Applikationen um einiges sicherer als noch vor ein paar Jahren. Mittlerweile haben Unternehmen begriffen, dass Hacking-Angriffe eine reale Bedrohung darstellen, jede Firma treffen können und teuer kommen. Natürlich gibt es nach wie vor viele Systeme, die ohne viel Aufwand übernommen werden können, aber es zeichnet sich eine deutliche Besserung ab.
Ist amerikanische Software oder Hardware sicher? Brauchen wir mehr europäische Lösungen, um die Cybersicherheit zu verbessern?
Amerikanische Unternehmen sind nicht gerade für ihren Datenschutz bekannt. Verwendet man in Europa Geräte oder Software aus Amerika, ist oft fraglich, welche und wie viele Daten mehr oder weniger heimlich das Netzwerk verlassen und auf Servern am anderen Ende der Welt gespeichert werden. Solange sich am amerikanischen Datenschutz und der Datensammlungswut der Geheimdienste nichts ändert, ist es auf jeden Fall besser, auf rein europäische Lösungen zu setzen.
Was sollten Menschen beachten, um online sicher und geschützt zu sein?
Die eigenen Systeme aktuell zu halten sollte oberste Priorität haben. Ein Browser mit eingebauten Schutzmaßnahmen wie Brave, Opera oder Chrome und Firefox mit Adblocker Add-on, wie zum Beispiel uBlock Origin, sorgt ebenfalls für Schutz. Programme sollten generell nur aus sicheren Quellen, wie Webseiten von Herstellern bzw. vertrauenswürdigen Drittfirmen, installiert werden. E-Mail-Phishing ist seit Jahren der wohl am meist durchgeführten Hack. Darum ist es wichtig, E-Mails immer aufmerksam zu lesen, angefangen beim Absender über den Betreff bis zur Satzstellung. Unerwartete Email Anhänge wie Office-Dateien mit Makros sollten nicht ausgeführt werden, egal was das Dokument fordert. Angehängte Zip-Dateien, die mit einem in der E-Mail angefügten Passwort gesichert sind, enthalten meistens infizierte Dateien, die der E-Mail-Gateway nicht sehen soll. Seien Sie in Bezug auf Ihr Online-Gegenüber immer skeptisch und hinterfragen Sie dessen Absichten.
