Nach dem Diebstahl der Kontaktlisten ihrer wichtigsten Kunden wurde die Security-Consultant-Firma CQUR IT von der NZSDBG AG (Name zum Schutz der Betroffenen geändert) mit der Ausführung einer Sicherheitsanalyse beauftragt.
Wie wir feststellten, war das Funk-LAN (WLAN) des Kunden ungesichert und innerhalb einer Entfernung von ca. 170 Metern um das Bürogebäude zugänglich. Unentdeckt drangen wir in das Netz ein und riefen eine Kopie der Hauptkunden-Kontaktlisten ab.
Unsere nächste Aufgabe war es, unserem Kunden diese Nachricht zu überbringen und ihm zu sagen, was man verkehrt gemacht hatte und wie dem Abhilfe geschaffen werden konnte.
Nachdem wir die Schwachstellen des WLAN identifiziert hatten, setzten wir unverzüglich das Senior Management Team (SMT) von deren Wichtigkeit in Kenntnis. Am folgenden Tag trafen sich fünf der sechs SMT-Mitglieder zur Besprechung der Sicherheitsanalyse in ihren Geschäftsräumen. Der CEO (Geschäftsführer) schloss den CIO (IT-Manager) von diesem Treffen aus, damit die Ergebnisse rückhaltlos besprochen werden konnten.
Nachdem wir uns vorgestellt hatten, entnahmen wir unserer Aktentasche einen Laptop, öffneten ihn auf dem Konferenztisch und stellten diese rhetorische Frage: „Würden Sie irgendeinem Menschen mit einem Laptop erlauben, hier einfach hereinzuspazieren und sich in Ihr Netz einzuklinken?“
Das SMT saß mit amüsierten Mienen am Konferenztisch, bis der CEO mit einem wissenden Schmunzeln erwiderte: „Natürlich nicht. Aber ich vermute, dass Sie diese Präsentation nicht grundlos mit dieser Frage eröffnet haben.“
Wir erwiderten sein Lächeln drehten unser Laptop – und demonstrierten unsere Fähigkeit, auf die Daten des Kunden einschließlich der erbeuteten Kontaktlisten zuzugreifen. Dem folgte ein Schweigen, das nach etlichen Momenten durch den Geschäftsführer unterbrochen wurde mit den Worten: „Irgendwie habe ich das Gefühl, dass uns in dieser Besprechung noch schlimmere Nachrichten bevorstehen.“
Das halbherzige Gelächter und die ernsten Gesichter zeigten uns, dass wir unser Ziel erreicht hatten – nämlich zunächst einmal ihre Aufmerksamkeit zu erregen und unsere Bedenken bezüglich der aktuellen Sicherheit ihres Netzes zu äußern.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…