Nach dem Diebstahl der Kontaktlisten ihrer wichtigsten Kunden wurde die Security-Consultant-Firma CQUR IT von der NZSDBG AG (Name zum Schutz der Betroffenen geändert) mit der Ausführung einer Sicherheitsanalyse beauftragt.
Wie wir feststellten, war das Funk-LAN (WLAN) des Kunden ungesichert und innerhalb einer Entfernung von ca. 170 Metern um das Bürogebäude zugänglich. Unentdeckt drangen wir in das Netz ein und riefen eine Kopie der Hauptkunden-Kontaktlisten ab.
Unsere nächste Aufgabe war es, unserem Kunden diese Nachricht zu überbringen und ihm zu sagen, was man verkehrt gemacht hatte und wie dem Abhilfe geschaffen werden konnte.
Nachdem wir die Schwachstellen des WLAN identifiziert hatten, setzten wir unverzüglich das Senior Management Team (SMT) von deren Wichtigkeit in Kenntnis. Am folgenden Tag trafen sich fünf der sechs SMT-Mitglieder zur Besprechung der Sicherheitsanalyse in ihren Geschäftsräumen. Der CEO (Geschäftsführer) schloss den CIO (IT-Manager) von diesem Treffen aus, damit die Ergebnisse rückhaltlos besprochen werden konnten.
Nachdem wir uns vorgestellt hatten, entnahmen wir unserer Aktentasche einen Laptop, öffneten ihn auf dem Konferenztisch und stellten diese rhetorische Frage: „Würden Sie irgendeinem Menschen mit einem Laptop erlauben, hier einfach hereinzuspazieren und sich in Ihr Netz einzuklinken?“
Das SMT saß mit amüsierten Mienen am Konferenztisch, bis der CEO mit einem wissenden Schmunzeln erwiderte: „Natürlich nicht. Aber ich vermute, dass Sie diese Präsentation nicht grundlos mit dieser Frage eröffnet haben.“
Wir erwiderten sein Lächeln drehten unser Laptop – und demonstrierten unsere Fähigkeit, auf die Daten des Kunden einschließlich der erbeuteten Kontaktlisten zuzugreifen. Dem folgte ein Schweigen, das nach etlichen Momenten durch den Geschäftsführer unterbrochen wurde mit den Worten: „Irgendwie habe ich das Gefühl, dass uns in dieser Besprechung noch schlimmere Nachrichten bevorstehen.“
Das halbherzige Gelächter und die ernsten Gesichter zeigten uns, dass wir unser Ziel erreicht hatten – nämlich zunächst einmal ihre Aufmerksamkeit zu erregen und unsere Bedenken bezüglich der aktuellen Sicherheit ihres Netzes zu äußern.
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…