Folge 8: Der Jäger nach verlorenen Schwachstellen

00:00:00: Hi und herzlich willkommen zu einer neuen Folge von Cloud und Deutlich.

00:00:03: Heute haben wir den Special-Gast dabei, und zwar den Schwachstellen-Scan-God.

00:00:08: Wir werden uns natürlich auch in dieser Folge alles rund um die Schwachstellen-Scans anschauen, was da wichtig drin ist, zu beachten, was zum Beispiel das erste Einfallstor sein könnte, vielleicht in einem Unternehmen und so weiter.

00:00:21: Aber ich will auch hier an dieser Stelle gar nicht weiter spoilern und diese Folge hiermit eröffnen.

00:00:25: Also viel Spaß beim Zuhören und beim Zuschauen.

00:00:28: und let's.

00:00:30: Hallo und herzlich willkommen zu Cloud und Deutlich, eurem Netplans Podcast rund um die IT-Welt.

00:00:35: Mein Name ist Nicole Whiske und ich bin der Host dieses Podcasts und natürlich freue ich mich, dass du wieder dabei bist.

00:00:41: In unseren Folgen tauchen wir tief in die IT-Welt ein und bringen dir spannende Gespräche, interessante Gäste und wertvolle Einblicke zu aktuellen Themen mit.

00:00:50: Wenn dir der Podcast also gefällt, lasst doch gerne sein Abo da.

00:00:53: Und jetzt viel Spaß mit der neuen Folge!

00:00:58: Hi Hendrik, sehr, sehr schön, dass du heute dabei bist.

00:01:00: Du hast natürlich spannende Themen mitgebracht und über die unterhalten wir uns ja heute.

00:01:05: Aber bevor wir das machen, weil du ja wirklich sehr interessante Themenbereiche abbildest und durchführst und vor Ort bist und crazy Sachen machst, möchte ich natürlich auch oder möchte natürlich auch die Zuhörer und Zuschauer.

00:01:20: Wissen wer bist du?

00:01:21: Was machst du bei den Netplans?

00:01:23: Wie lange bist du schon dabei?

00:01:25: Und was ist so dein Lieblingsbereich, in dem du dich aufhältst?

00:01:29: Okay, erst mal schön, dass ich hier sein darf.

00:01:31: Danke für die Einladung.

00:01:32: Ja, ich bin Hendrik, bin jetzt seit knapp drei Jahren bei den Netplans und bin Teamleiter Security Solutions und wir führen und ich führe sogenannte Schwachstellen Scans im Auftrag unserer Kunden durch.

00:01:43: Sehr schön.

00:01:44: Und das ist dein Lieblingsbereich?

00:01:46: Da ist es definitiv einer meiner Lieblingsbereiche.

00:01:51: Weil es macht unheimlich viel Spaß, sich mit der Thematik auseinanderzusetzen.

00:01:54: Da

00:01:55: muss ja auch jemand tun.

00:01:56: Deswegen sehr schön.

00:01:57: Also auch die drei Jahre, die wir uns jetzt kennen, das fühlt sich an wie ein Jahr.

00:02:00: Irgendwie ging die Zeit ziemlich schnell voran, weil man merkt ja auch, du bist ständig unterwegs.

00:02:05: Du hast unglaublich viele Termine und es ist einfach unglaublich, auch wie viele Geschichten du damit bringst.

00:02:12: Weil teilweise ist es so, ich komme in dein Büro.

00:02:14: Na Hendrik!

00:02:15: Was gibt's Neues?

00:02:17: Hast du was Spannendes zu erzählen?

00:02:18: Und du erklärst mir da irgendwas wie ... Als hättest du grad ein Action-Movie aufgenommen, weil es einfach so crazy war, was du da erlebt hast, bei so einem Schwachstellen-Scan, wenn du sogar vor Ort warst und dann deinen ... Wie nennst du das?

00:02:33: Physischen oder physikalischen Eindringungstest?

00:02:35: Dankeschön.

00:02:36: Der Fachbegriff dafür.

00:02:39: Durchgeführt hast.

00:02:40: Es ist wirklich immer super spannend.

00:02:41: Manchmal muss man da echt ein bisschen schmunzeln, weil es ist so crazy, was du erzählt hast.

00:02:47: Aber beim Thema zu bleiben, ich hab natürlich auch super viele Fragen an dich mitgebracht, weil wir ja auch jetzt wissen möchten wahrscheinlich.

00:02:56: Was ist denn überhaupt ein Schwachstellen-Scan?

00:02:58: Wo beginnt die ganze Thematik?

00:03:00: Also, wenn du jetzt eine Anfrage bekommst vom Kunden und die sagen dann, was?

00:03:05: Was?

00:03:07: Nein, also die sagen dann halt so, ja, wir möchten jetzt was damit erreichen.

00:03:11: Genau, richtig.

00:03:12: Also, der Schwachstellen-Scan, so wie wir das zumindest nennen, ist so eine Mischung aus Red-Teaming und Pentest.

00:03:19: Die verschiedensten Gründe oder meistens sind es eigentlich nur diese zwei folgenden Gründe, die die Kunden haben, nämlich einmal zu wissen, na ja, wo stehen wir gerade, wie viele Schwachstellen haben, wir haben wir Schwachstellen, wir wissen es nicht genau, könnt ihr uns mal irgendwie ein Status geben und mal so ein Schwachstellen-Scan durchführen und damit wir halt ein Status quo haben und wissen, hey, wo sind unsere Baustellen, IT Security sich gesprochen und wie gehen wir damit um?

00:03:46: Und wie setzen wir es irgendwie um, dass wir in die Lösung kommen?

00:03:50: Oder andererseits, der Kunde, der sagt, wir haben mir super viel investiert in den letzten Jahren in IT Security.

00:03:55: Und wir wollen mal wissen, fruchtet das überhaupt?

00:03:58: Ist das überhaupt auch vielleicht von einem anderen Blickwinkel betrachtet?

00:04:01: Auch das, wo man sagt, ja, das passt so?

00:04:03: Oder ist es irgendwas untergegangen bei der Planung oder ist irgendwas nicht berücksichtigt worden?

00:04:08: Manchmal ist es ja so.

00:04:09: Wenn wir vier Augen sehen, nur als zwei, wie sagt man?

00:04:12: Ich hab keine Ahnung, Sprichwirt, das ist auch nicht mein Ding.

00:04:15: Passt.

00:04:16: Aber ihr wisst, glaub ich, was wir meinen.

00:04:19: Ja, aber interessant.

00:04:21: Das heißt, okay, das heißt, der Kunde geht dann hin, der weiß, okay, wir haben jetzt alles uns vorbereitet, vielleicht auch mit uns, also vor vergangenen Jahren.

00:04:31: Wir haben jetzt aufgerüstet, wie sieht der zum Beispiel aus?

00:04:34: Oder sie kommen neu zu uns, neukunden und möchten jetzt einfach wissen.

00:04:37: Ja, wie sicher sind wir?

00:04:39: Und wie kann man das Ganze jetzt herausfinden?

00:04:42: Das heißt, der Scan wurde beauftragt.

00:04:45: Wie gehst du jetzt weiter damit vor?

00:04:47: Also du sprichst dann wahrscheinlich mit dem Kunden und dann mit welchen Personen wirst du dich dann da zusammensetzen?

00:04:53: Also was sind so die gängigsten Personen, mit denen du dich da absprichst, wie es weitergeht?

00:04:58: Also meistens die IT-Mitarbeiter oder zumindest ein Teil davon.

00:05:05: Das ist mein Hauptansprechpartner, mit dem ich alles plane.

00:05:07: Es gibt dann Kickoff-Meeting, da wird der zeitliche Rahmen festgelegt oder auch die zu extern betrachten Domains zum Beispiel.

00:05:14: Es muss ja auch klar sein, was da hab ich überhaupt von extern betrachten und Scan und so.

00:05:17: was war so rein rechtlich schon.

00:05:19: Und meistens weiß er noch irgendwie die Geschäftsführung Bescheid.

00:05:22: Die muss es ja irgendwie genehmigen und bezahlen

00:05:24: können.

00:05:25: Und vielleicht der Betriebsrat noch, weil es geht unter anderem auch um eine Fishing-Kampagne.

00:05:30: Und da ist halt oftmals der Betriebsrat involviert.

00:05:32: Der muss dann auch das einmal absegnen und zustimmen dem Ganzen.

00:05:36: Aber letzten Endes den Kontakt habe ich dann in der Regel nur mit IT-Ansprechpartnern.

00:05:40: Und das natürlich auch... festgelegt, wer dann mein Ansprechpartner ist.

00:05:44: Sehr cool.

00:05:45: So, und dann, ich werde jetzt einfach immer fragen, und dann, und dann, und dann,

00:05:49: wie

00:05:49: geht es dann weiter?

00:05:50: Wie

00:05:50: geht es weiter?

00:05:51: Nachdem das quasi dieser Personenbereich geformt wurde.

00:05:54: Was ist der nächste Step?

00:05:56: Genau, also bei diesem Kick-off-Mieting-Besprech mit dem ganzen Ablauf.

00:06:00: Und er sieht auch wie folgt aus.

00:06:02: Es startet in der Regel mit so einem Security Audit, nehmen wir das, das findet vor Ort statt, beim Unternehmen, beim Kunden.

00:06:09: Und da geht es einmal darum, dass ich mir auch Bildlich mir das einmal fort ansehe und das begehrt zusammen mit den Kunden und gehört doch dazu, dass wir uns den Server-Rom anschauen und Netzwerk verteilen.

00:06:20: Und auch da sieht man ja schon vielleicht im ersten Blick, naja, ist es überhaupt ein vorunbefugten Zutritt geschützt, der Server-Rom.

00:06:27: Da geht es ja schon los, wenn ich mir das ansehe.

00:06:28: Es ist irgendwie brandschutzgewehrleistet und so weiter.

00:06:32: Das sind alles auch Aspekte, die mit in den Berichten der Einfließen und in die Bewertung.

00:06:37: Oh, sogar eine

00:06:38: Bewertung.

00:06:39: Wie

00:06:39: sieht die denn aus?

00:06:40: Eins zu sechs?

00:06:41: Genau.

00:06:42: Echt?

00:06:42: Wir hatten mal am Anfang mit Schuhenotensystemen tatsächlich zusammenfassend gearbeitet, aber es ist im Bericht, in der sind die ganzen Auffälligkeiten gegliedert und aufgeführt, thematisch dann auch gegliedert.

00:06:55: Und das ist aber nicht nur, dass wir das den Kunden geben und sagen, hier bitte schon.

00:06:58: Wir

00:06:58: arbeiten damit, genau.

00:07:00: Lass ihn dann im Regen stehen, nein.

00:07:02: Es gibt natürlich zu jedem Punkt Handlungsempfehlung, die auch individuell auf den Kunden dann zurechtgeschrieben sind.

00:07:06: Also deswegen ist viel Schreibarbeit für mich immer.

00:07:09: Aber am Ende des Tages hat der Kunde noch tatsächlich mehr Wert, wenn er diesen Schwachstellen-Scan von uns durchführen lässt.

00:07:16: Aber ganz kurz, du hattest ja gerade eben den Punkt angesprochen.

00:07:19: Tatsächlich auch, du musst natürlich auch die... Geschäftsführung und quasi diese bestimmten Benutzergruppen mit ein Inkludieren wegen der Besprechung von den Punkten, die die überhaupt bearbeiten darf.

00:07:33: Das heißt, gibt es da auch paar Punkte, wo der Kunde sagt, okay, diesen Test darfst du nicht durchführen, aus denen und den Gründen.

00:07:39: Genau.

00:07:40: Das kommt auch mal vor, genau.

00:07:43: Mit welchem Aspekt aber?

00:07:45: Ein Beispiel kann ich nennen.

00:07:48: Ich spüre mal kurz vor bei dem Security Audit, bringe ich auch, wenn der Kunde das mit beauftragt hat und mit gewünscht hat, eine spezielle Workstation, die ich aufbaue für einen internen Schwachstellen-Scan.

00:07:59: Das kann man bei uns auch modular mit als Paket dazubuchen.

00:08:03: Und dann mache ich... letztens ein Pentest im Netzwerk.

00:08:06: Und es gibt Kunden, die sagen, hey, das ist unser Produktionsbereich und es wäre super kritisch, wenn hier irgendwelche Anlagen ausfallen würden, bitte dient die Systeme nicht scannen, weil das kann sein, dass vielleicht, wenn so ein Netzwerksscanner darüber läuft, irgendwelche Sachen passieren.

00:08:19: Und ich hatte auch schon einmal den Fall, dass irgendein Labeldrucker irgendwie hat sich immer aufgehangen, wenn der

00:08:24: Scanner das Ding gerückt hat.

00:08:27: Deswegen, das kann mal vorkommen und insensiblen Bereichen.

00:08:31: oder auch gerade im Bereich Luftfahrt sind es als Systeme, die man vielleicht nicht unbedingt scanen soll, um da einfach zu gewährleisten, dass da nichts passiert.

00:08:38: Oder man legt Zeiträume fest, Wartungsfenster, dann kann man das natürlich auch individuell besprechen und doch so durchführen.

00:08:45: Genau.

00:08:47: Und bei diesem Security Audit vor Ort und nach der Begehung, die ich mit dem Kunden so eine Checkliste durch, das ist ja so ein Fragenkatalog, da sind verschiedene Fragen drin, teils technischer Natur, teils organisatorischer Natur.

00:09:01: Eine Frage ist beispielsweise, welche Betriebssysteme haben sie noch im Einsatz?

00:09:06: Und wenn dann die Antwort ist Windows XP?

00:09:08: Nein!

00:09:08: Nein!

00:09:08: Oder vielleicht, je nachdem, wenn das einfach noch so ein Windows XP-Maschine im Netz ist.

00:09:14: Und das kommt erstaunlicherweise gar nicht so selten vor.

00:09:17: Genau.

00:09:18: Aber wie lange dauert jetzt so eine Vorbereitung vom Audetin bis zum, du hast ja schon gerade eben angeteasert, Fishingkampagnen.

00:09:28: Wie ist da so der Zeitraum?

00:09:30: Wie kann man das so einplanen oder grob einschätzen?

00:09:32: Das ist tatsächlich genauso.

00:09:34: Die Vorbereitung für die Fischkampagne, das kann schon mal je nachdem mehrere Tage sein, die man da braucht, um das Ganze fortzubereiten.

00:09:43: Das ist von verschiedenen Faktoren abhängig.

00:09:46: Ich starte da immer mit... ... mit der Informationsbeschaffung.

00:09:51: jetzt nennens aus dem Nennens- und Fachbereich aus sind, also Open Source Intelligence.

00:09:55: Ich versuche so viel personenbezogenen Informationen wie möglich über ... ... eine Person, die im Unternehmen arbeiten zu finden im Internet, in öffentlichen Quellen.

00:10:04: Deswegen Open Source bezieht sich auf öffentlich verfügbare Quellen.

00:10:08: Quasi-Stalking?

00:10:09: Genau, ich stalke quasi.

00:10:11: Ganz illegal da in dem Moment.

00:10:14: Du

00:10:14: kriegst sogar Geld dafür.

00:10:15: Ich kriegst

00:10:16: sogar Geld dafür, das macht doch mehr Spaß.

00:10:17: Unglaublich.

00:10:18: Und schau halt.

00:10:20: Klar, ich fange an auf der Unternehmenswebseite.

00:10:22: Da kann ich ja schon mal mehr, mal weniger ableiten.

00:10:24: Ich hab da nur eine Impresse und da steht ein Geschäftsführer drin, okay.

00:10:28: Manchmal sind die Firmen oder Unternehmen so nett und haben noch einen Mitarbeiter.

00:10:34: Übersicht irgendwie mit der Weiterverzeichnis auf der Webseite.

00:10:37: Manchmal sind es auch dazu verpflichtet, das zu führen.

00:10:40: Und auch da habe ich ja direkt eine Übersicht, hey, welche Personen arbeiten, vielleicht auch in welchen Abteilungen.

00:10:45: Und dann nochmal ganz nett für mich, welche E-Mail-Adresse haben Sie, weil wenn ich eine Fishing-Kampagne durchführen möchte, brauche ich auch eine Ziele.

00:10:51: Also ich brauche E-Mail-Adressen, wo ich ja diese Mail hinschicke.

00:10:55: Und auch da ... Manchmal reichen halt auch nur Namen, weil man kann ja relativ leicht erahnen, wie die E-Mail-Adresse lautet und Handesnamens.

00:11:03: Du wirst vielleicht n.viske.net-plans.de haben oder n.koll.viske.net-plans.de.

00:11:08: Oh mein Gott, da hat

00:11:09: ein League.

00:11:10: Da geht's schon los.

00:11:11: Es ist nicht so schwer, an diese Information zu kommen, wenn man mal den Namen hat.

00:11:15: Und die Domain hat man in der Regel sowieso.

00:11:19: Und so gehen Angreifer ja auch vor.

00:11:20: Das

00:11:21: heißt quasi, jetzt muss ich natürlich wieder mit meinem Co-Pilot-Wissen hier rauskommen.

00:11:26: Du, du, du buddelst quasi, du groundest nach den Daten.

00:11:30: Du, du schaust, du buddelst, du schaust einfach, was könnte jetzt hier sein?

00:11:34: Was könnte ich gegen oder für den Kunden quasi verwenden?

00:11:39: Alles kann und wird gegen die Kunden verwendet, damit es halt so sicher wie möglich getestet wird.

00:11:46: Und dann, ja, gut, dann, dann hast du jetzt alle deine Dinge gesammelt und dann geht es weiter.

00:11:50: Wie?

00:11:51: Dann geht es weiter, genau.

00:11:52: Selbst mal diese Information, die muss ich irgendwie für mich aufwerten und wie darstellen.

00:11:55: Das mache ich dann alles.

00:11:58: Und nehme mal an, ich habe dann irgendwann eine Liste von möglichen E-Mail-Adressen und Empfängern.

00:12:03: Und dann vielleicht auch, ich muss ja irgendwie, ich gehe da jetzt gar nicht zu sehr ins Detail, aber irgendwie überlegen mir eine Story, wie ich irgendwie ihn anschreibe.

00:12:10: Und da muss ich auch deswegen ein bisschen über die Beziehung der Person vielleicht was wissen, damit halt die Mail so ... Ja, weil jede unser echt wie möglich aussieht, dass derjenige die Mail bekommt, gar nicht überlegt, was ist denn das, sondern dass der schon glaubt, dass jetzt der Kollege Y und einen anschreibt.

00:12:24: Und dann vielleicht auf irgendein Link klickt zum Beispiel, dass ich Linne dazu bewege.

00:12:27: Hey,

00:12:27: hier, der neue Aberzone-Link.

00:12:30: Genau.

00:12:30: Und da hab ich was Cooles für dich.

00:12:32: Du wolltest doch letztens sowas und sowas kaufen.

00:12:35: Zum Beispiel, das gibt ja verschiedene Szenarien.

00:12:37: Ich hab da auch kein fertiges, keine Ahnung, Schubladenmodell, wo ich dann sage, ABC, führe ich jetzt irgendwie beim Kunden durch.

00:12:43: Das ist immer sehr individuell.

00:12:44: Also ich versetze mich wirklich.

00:12:45: ... in die Lage eines Angreifers, ... ... so weit es geht.

00:12:49: Und ... ... das ist auch diese ... ... ja, dieses Szenario, ... ... dieses ... ... diese Fishing-Angriff so realistisch ... ... wie möglich ist ... ... und greife auch dann nicht auf ... ... interne ... ... Informationen zurück, ... ... die uns als Netplant natürlich vorliegen.

00:13:01: Das Ergebnis ist sonst verfälschen.

00:13:03: Sondern schau wirklich, ... ... was finde ich mit Internet.

00:13:06: Das heißt,

00:13:06: du bist dann ... ... du lebst dann quasi ... ... in der Zeit lang in dem System.

00:13:11: Also es ist ja jetzt nicht nur ein Tag, den du da verbringst, sondern es geht ja jetzt über, sind das mehrere Wochen?

00:13:16: Sind mehrere Tage.

00:13:17: Mehrere Tage.

00:13:19: Und quasi bist du dann irgendwann der, ich sag jetzt einfach, Max Mustermann, der dann halt einfach mit den Kollegen schreibt, ein bisschen kommuniziert oder wie kann man das sich sonst noch so ein bisschen vorstellen?

00:13:33: Weil wenn du sagst, du möchtest auf die... Du wolltest nicht ins Detail gehen, aber trotzdem, wenn du ja Informationen über die User in dem Unternehmen haben möchtest, wie kommst du dann noch tiefer da rein?

00:13:44: Oberfläche, aber noch ein bisschen tiefer.

00:13:46: Was Informationen angibt, hilft auch viel so was wie LinkedIn und Xinc und Co.

00:13:50: die ganzen sozialen Netzwerke, weil da sehe ich ja auch vielleicht, wenn es nicht auf der Homepage steht, aber wer arbeitet in diesem Unternehmen und in welcher Abteilung sind sie, was haben sie für Hobbys?

00:14:00: All die Informationen kann man ja... einfach öffentlich einsehen.

00:14:05: Das ist schon sehr hilfreich, wenn man so einen Angriff plant.

00:14:08: Dann brauche ich aber noch technisch gesehen, muss ich ja auch irgendwie, vielleicht irgendwie ein Lock-in vorgaukeln, mehr oder weniger für irgendeine Anmeldeseite, nehmen wir mal das Beispiel Office three-fünf-sechzig oder Microsoft three-fünf-sechzig.

00:14:22: Wenn ich z.B.

00:14:22: heraus finde, dass diese Benehmendienste da nutzt, dann nehmen wir mal Exchange Online oder OneDrive, keine Ahnung.

00:14:29: Diese Information muss ich ja auch mir herausfinden und da gibt es ja auch ... die verschiedensten Wege, das zu tun.

00:14:35: Ich schaue mir die Domains an, ... ... finde ich irgendwelche D&S Einträge, ... ... finde ich dahinter irgendwelche Anmeldeportale ... ... und das kann man nutzen, um das nachzuahmen ... ... und dann letzten Endes ... ... diese Fishing Mail zu schicken ... ... mit dem Link, wo man dann ... auf so ein vermeidliches Anmeldeportal, das Unternehmens geleitet wird, was aber dann eigentlich mein Anmeldeportal ist und jeder, der seine Zugangsdaten eingibt, die landen dann bei mir.

00:14:59: So wäre das Vorgehen und damit versuche ich dann wiederum weiterzukommen und vielleicht keine Ahnung, einen Zugriff zum Netzwerk herzustellen.

00:15:06: Du

00:15:06: greifst dir halt einfach die Daten ab, dann.

00:15:08: Genau.

00:15:10: Das ist schon sehr interessant.

00:15:12: Okay, so, jetzt hast du das getan.

00:15:15: Wie geht es dann weiter?

00:15:17: Naja, wenn ich es tatsächlich schaffe, ins Unternehmensnetzwerk zu kommen, beispielsweise, weil SSL-VPN fürs Homeoffice genutzt wird, was aber nicht mit einer zwei Faktor-Ordentifizierung abgesichert ist und ich habe Zugangsdaten, dann bin ich relativ schnell drin.

00:15:33: Und das ist erstaunlicherweise relativ häufig noch anzutreffen, dass keine zwei Faktor-Ordentifizierung genutzt wird als Sicherheitsmechanismus, als Schutz.

00:15:43: Und dann schaue ich mich halt in diesem Netzwerk um und gucke, kann ich mich... ... lateral Bewegung im Netzwerk, um noch weitere ... ... oder mehr Berechtigung zu erhalten.

00:15:52: Das ist immer das Ziel letzten Endes.

00:15:53: Also

00:15:53: so viel wie möglich aus der Situation quasi auszuholen.

00:15:55: Genau, richtig.

00:15:56: Ah,

00:15:56: okay.

00:15:57: Gut, und das notierst du dann natürlich auch dann in einer Checkliste.

00:16:01: Wo hat was angeschlagen?

00:16:02: quasi und wo siehst du jetzt ein Risiko?

00:16:07: Genau, also es ist in dem Fall bei der Fishing-Kampagne jetzt dann keine Checkliste mehr, weil das nicht statisch ist, das ist jedes Mal anders.

00:16:13: Aber es wird alles dokumentiert.

00:16:17: Und welche Daten ich wiegekommen bin, das kriegt dann der Kunde auch final dann alles präsentiert.

00:16:21: Ja, gut, dann bleiben wir jetzt bei dem Thema mit, okay ein User-Fishing-Kampagne kennt man jetzt mittlerweile, wir kriegen die E-Mail da, es ist irgendwie so ein Link hinter, wir geben unsere Daten ein und dann könnte man ja rein theoretisch sagen... Egal wie gut die Firewall ist, egal wie gut die Sicherheit generell schon im Unternehmen ist, könnte man sagen, dass der User das erste quasi Medium ist, die erste Schwachstelle für das Unternehmen darstellen könnte.

00:16:50: oder siehst du das Ganze ein bisschen kritischer?

00:16:54: In dem Fall ist es tatsächlich so, dass es oftmals so ist, dass... ... die Angreife auch sehr erfolgreich mit Fishing-Kampagnen sind ... ... und dass das immer ... ... für den initialen Zugriff ... ... quasi das Haupteinfalls-Tor immer auch Fishing ist.

00:17:06: Ja.

00:17:08: Das sehen wir noch so ... ... leider, muss man dazu sagen ... ... in der freien Wildbahn, nenn ich's mal, ja ... ... das ist immer noch ... ... relativ gut funktioniert.

00:17:16: Ja.

00:17:17: Und ... ... der zweite Punkt ist so ... ... naja, ungepetschte ... ... Systeme, die extern erreichbar sind.

00:17:23: Es könnte irgendwie ... ... keine Ahnung, beispielsweise eine Firewall sein ... ... ohne Sicherheitslücke drauf ist, die dann ... Irgendwann auch bekannt ist und nicht zeitnah gepatched wird von den zuständigen IT-Lauten oder von der IT oder Dienstleister, wie auch immer.

00:17:37: Und dass dann einfach die Schwachstelle ausgenutzt wird oder es ist eine noch nicht bekannte Schwachstelle.

00:17:41: Gut, dann kann man da auch nichts für.

00:17:44: Aber das sind immer so die klassischen Einfallstorre.

00:17:46: Also Schwachstellen von Systemen, die nicht gepatched sind oder halt User.

00:17:52: Und das trifft aber auch nicht nur auf.

00:17:54: die normalen User zu, weil die IT sagt man auch, diese User klicken mal drauf.

00:17:58: Ich kann berichten, es sind auch manchmal die abends hier auf diese Fishing-Mails reinfallen.

00:18:04: Und deswegen umso wichtiger ist es auch nicht nur klar, Awareness zu schaffen, also Sachen Fishing und etc.

00:18:10: IT Security generell, sondern auch alle Systeme zu patchen.

00:18:14: Also, dass die Sicherheitsstrategie nicht darin gehend ausgelegtes Fishing Angriffe irgendwie abzuwehren erfolgreich im Sinne von, dass der User nicht oben hingeklickt, sondern auch die Systeme intern noch mal komplett zu schützen, damit wenn es einer mal so weit schafft, um dann Zugangsdaten zu kommen, damit letzten Endes aber auch dann nicht viel weiter kommt.

00:18:31: Und trotzdem machst du das ja auch so, das habe ich ja auch bei dir schon rausgehört, dass jetzt zum Beispiel wenn Lieschen Müller da irgendwo sich angemeldet hat und das siehst du ja dann halt, weil du hast ja die Seite erstellt, dementsprechend weißt du, wo denn jetzt die Fishing-Kampagne quasi oder die Deaktion erfolgreich war, dass man eben nicht zu dem User hingeht oder ich weiß nicht, wie du es löst, aber halt eben nicht sagt, hey, man zeigt jetzt mit dem Finger auf ein User und sagt, hey, was machst du denn da überhaupt?

00:19:00: wirklich kacke, was du da gemacht hast, sondern awareness nochmal.

00:19:04: Also das heißt, sammelt, sammelt du dann alles so von wegen, also zeigst du diese Daten, dann trotzdem sprichst du die dann mit dem Personenkreis, der ausgewählt ist, wo es vielleicht Risiken gibt und um dann einfach nochmal...

00:19:17: Sehr guter Punkt.

00:19:18: Also

00:19:19: generell vorweg sage ich schon mal... Und das mache ich auch immer dem Kunden deutlich, auch später bei der Präsentation vom Bericht.

00:19:25: Es geht nie darum, Fingerpointing zu betreiben oder irgendjemanden vorzuführen, ist ganz wichtig.

00:19:29: Sei es jetzt ein User, der auf dem Link geklickt hat oder vielleicht, naja, ein Verantwortlicher für ein IT-System, was irgendwie nicht gepatched war, sag ich mal, was auch im Bericht dann aufhält.

00:19:40: Es geht darum, zu unterstützen, die Leuten zu helfen.

00:19:43: Und genau, Awareness zu schaffen.

00:19:46: Ich hab auch immer wieder so Momente, wo dann der Auftraggeber sagt, wir müssen unbedingt mit der Person sprechen.

00:19:51: Das darf doch nicht sein, dass ihr auf die Linke klickt habt.

00:19:53: Und auch da versuche ich mal einzulenken und sagt, hey, bitte klärt das irgendwie,

00:19:58: macht das,

00:19:59: betreibt Aufklärungsarbeit und schimpft jetzt nicht mit den Personen.

00:20:02: Das nützt nichts, weil...

00:20:04: Psychologischer Aspekt.

00:20:05: Genau, psychologischer Aspekt.

00:20:06: Weil wenn man jetzt der User jetzt dann einen auf den Deckel kriegt, sag ich mal, so Salopp.

00:20:10: Und dann das nächste Mal, wenn er eine komische E-Mail... oder

00:20:13: generell eine E-Mail bekommt.

00:20:14: Genau,

00:20:14: oder mit dem Fishing-Link, oder wenn man sich unsicher wird, ist es dann nicht nochmal melden, wenn man sich nicht draufgeklickt hat, weil da weiß ich, ich kriege dann eh wieder nur Ärger, dann verheim nicht Essen.

00:20:21: Das macht es noch schlimmer, so gut es ist, wenn man irgendwas irgendwo draufgeklickt hat und sich unsicher ist, bitte immer den Verantwortlichen in der Typischheit geben, damit die das prüfen können.

00:20:31: Wichtiger Aspekt, genau.

00:20:32: Sehr krass, okay.

00:20:33: Und jetzt haben wir uns ja die Externe quasi, deinen Fishing-Angriff angeschaut.

00:20:39: Und jetzt ist meine Frage... Was ist dein verrücktes das Ereignis, was du jemals quasi da aus den Informationen in diesem Unternehmensökosystem quasi erlangt hast?

00:20:53: Also, gibt es da irgendwas, was du uns teilen kannst?

00:20:56: Genau.

00:20:56: Also, was du

00:20:58: am besten fandest.

00:20:59: Nichts

00:20:59: ums Detail gehen.

00:21:00: Natürlich.

00:21:01: Aber es war mal auch durch die Fischenkampagne, hatte ich Zugangsdaten zu einem Office-Dreifem-Sechzig-Login von einem Anwender.

00:21:09: ... und war dort drin, weil ... ... es war auch nicht abgesichert irgendwie ... ... mit Continental Access etc.

00:21:14: oder MFA ... ... und ich habe mich da ... ... einfach mal oben geschaut ... ... in den ... ... in den Services ... ... und bin dann auf Teams gestoßen ... ... doch ... ... dein beliebtes Team

00:21:24: ist ... ...

00:21:26: vor den Co-Pilot-Zeiten ... ... hätte aber auch nichts geändert.

00:21:29: wahrscheinlich ... ... es war in einem Teams-Kanal ... ... wurden mehrere Dokumente geteilt ... ... in dieser ... ... Abteilung, es war

00:21:35: ...

00:21:35: ... außerhalb der IT-Abteilung ... ... also in der Verwaltung oder so ... Die IT wusste auch nichts von dieser Austauschplattform, davon abgesehen.

00:21:44: Und dort war eine Excel-Liste, habe ich gefunden.

00:21:47: Und da dachte ich in dem Moment nur Jackpot für mich in dem Moment.

00:21:51: Sie hieß schon kenwortliste.xlsx.

00:21:53: Nein!

00:21:54: Und es war ungelogen.

00:21:55: Einfach, also ausgedruckt waren es, wären es gewesen, vier Diener, vier Seiten Kennwörter von einem Standort dieses Unternehmens.

00:22:04: Von dem ganzen Standort?

00:22:05: Genau, verschiedene Kennwörter, die diese Abteilungen wie vorlag, warum auch immer.

00:22:09: Und die Excel-Liste war auch nicht mit dem Passwort versehen oder sonst was, sondern sie war in OneDrive und sorry, in Teams.

00:22:15: Und es ist halt von extern kam ich halt rein.

00:22:18: Und dort war auch ein Eintrag für einen Wartungszugang von einem Server, der an diesem Standort war mit dem Team-Viewer-Host, inklusive admin, Kenward und halt für diesen Team-Viewer-Zugang.

00:22:30: Ich konnte unbeaufsichtig mich da anmelden und war im Netzwerk drin mit admin rechten.

00:22:34: Und von daraus konnte ich mich halt weiter bewegen und konnte aufgrund falscher Berechtigungsstrukturen auf Profil-Nutzer-Daten zugreifen und

00:22:41: so weiter.

00:22:41: Dann

00:22:42: hattest

00:22:43: du alles.

00:22:43: Also, Reintür hatst

00:22:44: du an.

00:22:45: Und das sind so Punkte, das war zum Beispiel, wie gesagt eben schon, der IT gar nicht bewusst, das ist diese... Ja, diese Liste da gibt oder diesen Austausch.

00:22:53: Ja klar, weil das läuft ja im Hintergrund von den

00:22:55: Newsern.

00:22:55: Die Personen haben sich auch gar nichts Böses bei gedacht.

00:22:57: Und das wieder der Punkt Erwährendes schaffen, Aufklärungsarbeit leisten, dass man sowas nicht einfach ungeschützt in Teams-Abdeck zum Beispiel.

00:23:05: Immer schön mit den Newsern sprechen.

00:23:07: Das ist der erste Step.

00:23:08: Kommunikation

00:23:09: hilft.

00:23:09: Kommunikation ist das erste Mittel zum Erfolg.

00:23:12: Richtig.

00:23:13: Okay, vielleicht hast du ja jetzt noch kurz Zeit.

00:23:16: Wir haben uns jetzt den externen Angriff angeschaut.

00:23:18: Du hattest da vorhin so ein richtig krasses Lang... ist Wort getroppt mit

00:23:23: physischer Eindringungs-Test.

00:23:25: Danke schön.

00:23:26: Lass uns noch ganz kurz darüber sprechen.

00:23:28: Na klar, gerne.

00:23:28: Wie sieht es denn da aus?

00:23:30: So heißt es sich in einem Auto morgens und denkst dir, hi, ich bin heute der Max-Mustermann und ich arbeite jetzt heute in einem anderen Unternehmen.

00:23:39: So ist es tatsächlich, fast, genau.

00:23:42: Also ich versuche tatsächlich physikalischen Zutritt zum Unternehmen, zu lang zum Gebäude.

00:23:49: ... und auch dort ist dann immer so das Ziel, ... ... mich mit einem, ... ... mit meinem Laptop, ... ... also sprich mit einem Firmen fremden Laptop ... ... wiederum ins Netzwerk einzuklinken, um zu schauen.

00:23:59: Ja.

00:23:59: A, werde ich da irgendwie ... ... aufgehalten, gibt es irgendwie eine Anmeldung, eine Zentrale, ... ... werde ich angesprochen, ... ... werde ich gefragt, was ich da mache.

00:24:05: Einfach so hörten.

00:24:06: Oder kann ich da einfach rumlaufen, unbemerkt.

00:24:08: Ja.

00:24:10: Und dann halt ... ... nächstes Step, ... ... Netzwerkzugriff erlangen ... ... und schau, komme ich ins Netzwerk.

00:24:15: Ja.

00:24:15: ... wenn ich gefragt werde, was ich da tue, ... ... könnte ich sagen, ich bin Person xy ... ... und ich mach Druckerwartung meistens, ... ... so das zieht ganz gut, ... ... weil der fragt keine Eier auch, ... ... die klassischen Drucker- und Kopiererwartung.

00:24:28: Und man hat auch relativ, ... ... also die meisten Firmen, ... ... eine von drei großen Druckerherstellern ... ... irgendwie im Einsatz, ... ... und dann nennt man da so einen Namen, ... ... und dann passt das meistens schon.

00:24:38: Nein, aber tatsächlich ... ... ist relativ schnell klar geworden, wie seit ich das mache.

00:24:44: dass man sich sehr einfach in Gebäuden und frei bewegen kann, oftmals.

00:24:50: Und ich werde sehr selten angesprochen.

00:24:51: Und wenn klappt das mit der Ausrede ganz gut und nur ein, zwei Mal von meinen ganzen Meeren mal inzwischen, wurde dann irgendwie, wo ich gesagt habe, na ja, die IT weiß Bescheid, dann wurde die IT angerufen.

00:25:03: Aber ich wurde da noch immer aus den Augen gelassen.

00:25:05: Und bis dann weg?

00:25:06: Da bin ich einfach wieder weitergegangen.

00:25:07: Oh ja, der nächste Drucker.

00:25:09: Zum nächsten Drucker.

00:25:09: Ich mein, man muss dazu sagen, es ist jetzt nicht das klassische Angriffsszenario.

00:25:13: Also, dass jetzt eine Hackergruppe aus Nordkorea nach Deutschland fliegt, um hier irgendein Unternehmen im Hund zurück oder Frankfurt vor Ort, um ein Netzwerkgerät einzuschleusen, damit sie die Remoten-Zugriff bekommen.

00:25:24: Was soll

00:25:24: das, was machst du?

00:25:25: Das mache ich

00:25:25: dann.

00:25:26: Aber das waren die Wendere-Mote.

00:25:28: Aber ist ja das Thema... Ist ja allgemein, man muss sich auch schützen vor verärgerten Kunden, niemaligen Mitarbeiter vielleicht oder einfach irgendjemanden, der Chaos stiften will oder vielleicht Diebstahl, auch das ist vielleicht ein Thema weniger auf IT Security gesehen, aber

00:25:44: generell.

00:25:44: Hattest du nicht letztens sogar erwähnt, du hattest dir irgendwie so ein... ... da hatte der Kunde sogar ein ... ... das Unternehmen ... ... neuen Rollout gemacht mit neuen Geräten ... ... und du hast ja einfach so ein Laptop beschnatt.

00:25:54: Genau.

00:25:55: Richtig.

00:25:56: Ich kam nicht aus diesem ominösen Kopierraum, ... ... wo ich Wartungen gemacht habe ... ... und da war da eine Tür ohne Beschriftung ... ... und die war nicht abgeschlossen, ... ... da bin ich einfach mal reinspaziert ... ... und siehe da, es war das IT-Lager ... ... und die standen wie du schon sagst ... ... von einem Rollout neuer Geräte ... ... und ich habe dann einfach so ein ... ... Laptop mal noch neu verpackt ... ... und dann abends ... ... geschnappt und gekrallt und bin da durch die Flure.

00:26:19: Aber wird auch mit dem Personenkreis, mit dem du davor das Audit besprochen hast, die Checkliste quasi, ... ... wird auch besprochen, an welchem Tag du genau kommst, oder ist es ...

00:26:27: Tatsächlich, die wissen genau.

00:26:29: Also, wenn ich die Anwendungstest mache, ... ... das ist relativ genau auch rechtlich gesehen, ... ... mit Uhrzeit tatsächlich geplant, ... ... damit wenn was ist, damit wir das sofort aufklären können.

00:26:39: Das heißt, du packst auch

00:26:39: ... ... nicht

00:26:41: auf dem Parkplatz, sondern du parkst auch verdeckt irgendwo ... ... ein bisschen weiter weg.

00:26:45: Wichtig.

00:26:45: Ich park nicht mit dem Auto, ... ... mit dem schönen Netplantzlogo, ... ... nur drauf auf dem Parkplatz, ... ... es wird halt auffallen, sondern immer weiter weg.

00:26:53: Keiner sieht dir, der ist ja von Netplantz, ... ... und dann ist das Ergebnis, der dann direkt verfälscht.

00:26:57: Aber das ist so, ... ... also ich finde das allein schon der Aspekt, ... ... der ist

00:27:00: so

00:27:00: unglaublich spannend, ... ... weil das sind so kleine Dinge.

00:27:04: Wie gesagt, wir haben ja vorhin schon gesprochen.

00:27:06: Man kann so viel Sicherheit haben, Firewall, alles Mögliche.

00:27:09: Und dann scheitert es an, hey ja, du Hendrik Port, du siehst voll vertrauenswürdig aus.

00:27:17: Komm, ich halte ihn auch die Tür auf und voila, bist du drinne.

00:27:21: Das ist ein Willkommensgeschenk einfach.

00:27:25: Also unglaublich krass.

00:27:27: Also vielen Dank für die Einblicke.

00:27:29: Sehr gerne.

00:27:29: Wenn du jetzt noch einen Punkt hast, sprich, oder wir kommen jetzt gleich zu deinem Abschlusswort.

00:27:36: Ja, wir können aus dem letzten Punkt ja einen Abschluss machen.

00:27:38: Ja, gerne.

00:27:40: Genau.

00:27:40: Also, was ich gerne noch all mitgeben würde, um halt zu vermeiden, dass solche Angriffe, die in unserem Fall ja Gott sei Dank nur eine Simulation mehr oder weniger sind, dass sie aber sonst erfolgreich sind, schützt eure Systeme, indem ihr zwei Faktor-Autifizierung überall einführt, wo es geht, patcht alle Systeme, betreibt Awareness.

00:27:58: Ja.

00:27:58: Und es gibt doch viele weitere Möglichkeiten.

00:28:01: Darüber sprechen wir gerne in einer anderen Folge, welches System man wie schützt und was man, was mir da noch immer so auffällt, damit sie und ihnen da draußen, ja, oder damit sie besser schlafen können, die vor Angriff geschützt sein.

00:28:15: Und die

00:28:15: Daten sicher bleiben im Unternehmen.

00:28:18: Ich danke dir sehr, Hendrik, für diese sehr, sehr spannende Folge und dass du mir auch noch viele weitere Einblicke schenken konntest und natürlich euch auch.

00:28:26: Und jetzt ist natürlich, wir kommen zum Ende leider von dieser Folge.

00:28:31: Aber wenn ihr das genauso spannend fandet und auch noch mehr zum Punkt Sicherheit oder generell irgendwelche interessanten Themen habt, über die wir gerne berichten sollen, dann schreibt uns das gerne in die Kommentare, lasst uns das wissen.

00:28:43: und natürlich auch wenn euch die Folge gefallen hat, lasst doch auch gerne einen Daumen hoch, da folgt auch gerne dem Kanal und seid auch das nächste Mal mit dabei.

00:28:52: Und dementsprechend bedanke ich mich noch mal ganz herzlich an den schönen Gast, den Hendrik Port.

00:28:57: Und wir freuen uns natürlich auch viele weiteren Folgen mit dir.

00:29:00: Und du bist natürlich auch herzlich eingeladen.

00:29:02: Vielen

00:29:02: Dank.

00:29:03: Danke, Hendrik.

00:29:05: Und in dem Sinne sage ich auch Adios.

00:29:08: Bis zum nächsten Mal und seid doch das nächste Mal wieder dabei.

00:29:11: Bei Klaut und Deutlich, unserem Podcast.

00:29:13: Bye.

00:29:14: Ciao.